autentificare reciprocă în protocolul STS

Protocolul STS este astfel:

1. $A \rightarrow B:~ g^x$
2. $A \leftarrow B:~ g^y, E_K(S_B(g^y, g^x))$
3. $A \rightarrow B:~ E_K(S_A(g^x, g^y))$

Întrebarea mea este de ce spunem în STS că avem autentificare reciprocă? De exemplu:

1. $A \rightarrow C: g^x$
2. $C \rightarrow B: g^x$
3. $C \leftarrow B: g^y, E_K(S_B(g^y, g^x))$
4. $A \leftarrow C: g^y, E_K(S_B(g^y, g^x))$

deci A va autentifica C în loc de B!

Principala problemă în această întrebare este rolul lui C.
Aici C nu face altceva decât să transfere datele. deci acționează cumva ca un fir. deci nu va fi luat în considerare în protocol.

Să spunem servitor, într-un model server-client ambele părți trebuie să fie identificate. În faza de autentificare a cheii cu autentificare, clientul Ci este identificat cu evaluarea MACk (IDCi, TCi, R, R), în timp ce serverul cu evaluarea MACk = (IDCi, TCi, L), respectiv. Un atacator nu poate crea o sesiune validă dacă nu cunoaște identitatea reală a clientului și calculează valoarea R calculată în mod obișnuit și k = H3 corectă (IDCi, TCi, R, R).

Rezistență la atacul desincronizat,

Crearea unui nou AID necesită un calcul modern pentru ambele părți.Dacă clientul nu primește mesajul de la server, este posibil să nu se poată conecta la acesta. Deci, este o presupunere rezonabilă că autentificarea reciprocă cu un protocol de schimb de chei este doar începutul sesiunii, urmată de un schimb de mesaje securizat. În timpul acestui schimb are loc un proces important pentru protocol. Dacă serverul nu primește un mesaj după autentificarea reciprocă, serverul va ști că este posibil ca clientul să nu primească mesajele și va opri actualizarea AID-ului cu o nouă valoare.

La întrebarea (cu specificul „atac”) i s-a răspuns în detaliu în Sec. 1.5.6, Atac/ Figura 1.6 .

În esență, depinde de definiția specifică a „autentificării reciproce” sau, mai general, a obiectivelor de autentificare. În lucrarea citată se ajunge la definiția „autentificării reciproce” (Def. 14 de mai jos), întrucât ambele părți pot verifica dacă mesajele provine din partea respectivă. De exemplu, A știe că mesajul $g^y, E_K(S_B(g^y, g^x))$ provin din B prin verificare $S_B$, și astfel că B are cunoștințe despre conținut.

Cu toate acestea, definiția „autentificarea puternică a entității” (vezi Def. 13 de mai jos) nu este îndeplinită, deoarece „A ar fi greșit să concluzionez, după o rulare reușită, că B dorește să comunice cu ea.” Sec. 1.5.6

„Definiția 13. Autentificarea puternică a entității de la A la B este furnizată dacă B are un nou asigurarea că A cunoaște despre B ca entitate egală” Def 13., Strong Entity Authentication

„Definiția 14. Autentificarea reciprocă are loc dacă ambele entități sunt autentificate la fiecare altele în același protocol. Autentificare unilaterală (uneori numită au- autentificare) apare dacă doar o entitate este autentificată la cealaltă.” Def 14., Autentificare reciprocă