Протокол Отвея

Криптографические обозначения, используемые в протоколах проверки подлинности и обмена ключами

$A$	Идентифкаторы Алисы (Alice), инициатора сессии
$B$	Идентифкатор Боба (Bob), стороны, с которой устанавливается сессия
$T$	Идентифкатор Трента (Trent), доверенной промежуточной стороны
$K_A, K_B, K_T$	Открытые ключи Алисы, Боба и Трента
$K_A^{-1}, K_B^{-1}, K_T^{-1}$	Секретные ключи Алисы, Боба и Трента
$E_A, \left\{...\right\}_{K_A}$	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
$E_B, \left\{...\right\}_{K_B}$	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
$\left\{...\right\}_{K_B^{-1}}, \left\{...\right\}_{K_A^{-1}}$	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
$I$	Порядковый номер сессии (для предотвращения атаки с повтором)
$K$	Случайный сеансовый ключ, который будет использоваться для симетричного шифрования данных
$E_K, \left\{...\right\}_{K}$	Шифрование данных временным сеансовым ключом
$T_A, T_B$	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
$R_A, R_B$	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно

Протокол Отвея—Рииса — симметричный протокол аутентификации и обмена ключами с использованием доверенной стороны.

Описание протокола

Алиса генерирует сообщение из случайного числа, порядкового номера сессии и идентификаторов себя и Боба, после чего шифрует общим с Трентом ключом. Зашифрованное сообщение вместе с порядковым номером и обоими идентификаторами отправляются Бобу.

$Alice \to \left\{ I, A, B, E_A \left( R_A, I, A, B \right) \right\} \to Bob$

Боб дополняет это зашифрованными его общим с Трентом ключом случайным числом, порядковым номером и идентификатором, после чего посылает Тренту — доверенной промежуточной стороне.

$Bob \to \left\{ I, A, B, E_A \left( R_A, I, A, B \right), E_B \left( R_B, I, A, B \right) \right\} \to Trent$

Трент генерирует случайный сеансовый ключ и посылает два сообщения Бобу, вместе с номером сессии. Первое зашифровано общим ключом с Алисой, второе - с Бобом.

$Trent \to \left\{ I, E_A \left( R_A, K \right), E_B \left( R_B, K \right) \right\} \to Bob$

Боб получает ключ и убеждается, что случайное число и порядковый номер сессии не изменились за время работы протокола.

$Bob \to \left\{ I, E_A \left( R_A, K \right) \right\} \to Alice$

Алиса получает ключ и убеждается, что случайное число и порядковый номер сессии не изменились за время работы протокола.

Литература

• Шнайер Б. Протокол Отвея—Рииса // Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — С. 80—81. — 816 с. — 3000 экз. — ISBN 5-89392-055-4
• D. Otway, O. Rees Efficient and Timely Mutual Authentication // Operating Systems Review, — v. 24, — n. 1, — 1987, — pp. 8—10 — DOI:10.1145/24592.24594