Протокол Деннинга

Криптографические обозначения, используемые в протоколах проверки подлинности и обмена ключами

$A$	Идентифкаторы Алисы (Alice), инициатора сессии
$B$	Идентифкатор Боба (Bob), стороны, с которой устанавливается сессия
$T$	Идентифкатор Трента (Trent), доверенной промежуточной стороны
$K_A, K_B, K_T$	Открытые ключи Алисы, Боба и Трента
$K_A^{-1}, K_B^{-1}, K_T^{-1}$	Секретные ключи Алисы, Боба и Трента
$E_A, \left\{...\right\}_{K_A}$	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
$E_B, \left\{...\right\}_{K_B}$	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
$\left\{...\right\}_{K_B^{-1}}, \left\{...\right\}_{K_A^{-1}}$	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
$I$	Порядковый номер сессии (для предотвращения атаки с повтором)
$K$	Случайный сеансовый ключ, который будет использоваться для симетричного шифрования данных
$E_K, \left\{...\right\}_{K}$	Шифрование данных временным сеансовым ключом
$T_A, T_B$	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
$R_A, R_B$	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно
$K_A, K_B, K_T$	Заранее созданные пары открытых и закрытых ключей Алисы, Боба и Трента соответственно
$K_p$	Случайная сеансовая пара открытого и закрытого ключей, которая будет использоваться для ассиметричного шифрования
$S_A, S_B,$$S_T, S_{K_p}$	Подписывание данных с использованием закрытого ключа Алисы, Боба, промежуточной стороны (Trent) или закрытого ключа из случайной пары соответственно
$E_{K_A}, E_{K_B},$$E_{K_T}, E_{K_p}$	Ассиметричное шифрование данных с использованием открытого ключа Алисы, Боба, промежуточной стороны (Trent) или открытого ключа из случайной пары соответственно

Протокол Деннинга — Сакко — протокол аутентификации и обмена ключами с открытым ключом. Как и в случае протокола DASS промежуточная сторона — Трент — поддерживает базу данных всех открытых ключей.

Протокол обладает уязвимостью, позволяющей одной из сторон после окончания сеанса выдавать себя за другую сторону.

Описание протокола

Алиса отправляет Тренту сообщение со своим идентификатором и Боба:

$Alice \to \left\{ A, B \right\} \to Trent$

Трент отправляет Алисе открытые ключи и Алисы, и Боба, вместе с идентификаторами, подписав их своим закрытым ключом:

$Trent \to \left\{ S_T \left( A, K_A \right), S_T \left( B, K_B \right) \right\} \to Alice$

Алиса отправляет Бобу сеансовый ключ вместе с меткой времени, подписав это своим ключом и зашифровав это открытым ключом Боба, вместе с обоими сообщениями от Трента:

$Alice \to \left\{ E_{K_B} \left( S_A \left( K, T_A \right) \right), S_T \left( A, K_A \right), S_T \left( B, K_B \right) \right\} \to Bob$

Боб расшифровывает сообщение, проверяет подписи на ключах (используя открытый ключ Трента), проверяет подписи на сеансовом ключе (используя открытый ключ Алисы) и может использовать сеансовый ключ $K$ для безопасного обмена данными с Алисой.

Отсутствие в сообщении от Алисы $E_{K_B} \left( S_A \left( K, T_A \right) \right)$ идентификатора получателя (Боба) приводит к тому, что Боб может использовать принятые от Алисы данные для того, чтобы выдать себя за неё в новом сеансе с другой стороной. Однако это легко поправить, добавив в это сообщение идентификаторы Алисы и Боба, тем самым ограничив возможность использования этого сообщения данным сеансом.

Литература

• Шнайер Б. Глава 3. Основные протоколы. Протокол Деннинга-Сакко // Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — С. 84-85. — 816 с. — 3000 экз. — ISBN 5-89392-055-4
• D. E. Denning, G. M. Sacco Timestamps in key distribution protocols (англ.) // Communications of the ACM. — New York, NY, USA: ACM, 1981. — В. 8. — Т. 24. — С. 533—536. — ISSN 0001-0782. — DOI:10.1145/358722.358740