¿Podemos construir un protocolo de intercambio de claves sin certificados?

4

Supongamos que tanto el servidor como el cliente tienen alguna clave secreta K. ¿Es posible tener un protocolo de intercambio de claves con autenticación entre ellos de tal manera que el ataque MITM no pueda mantenerse y si la clave está expuesta en algún momento en las sesiones anteriores? ¿Todavía estás en secreto?

Lo intenté usando el protocolo de intercambio de claves Diffie-Hellman regular con pasar una firma de K al servidor, pero en cada versión de él un MITM puede hacerse pasar por el cliente y el servidor y ver toda la sesión ...

    
pregunta Bush 13.01.2014 - 22:09
fuente

1 respuesta

6

Sí, se puede hacer. Esto se denomina Cambio de clave autenticado por contraseña . Dichos protocolos reutilizan los elementos "criptográficos asimétricos" (como Diffie-Hellman) y los mezclan "inteligentemente" con un secreto compartido, de modo que:

  • El cliente y el servidor se autentican entre sí con respecto al secreto compartido.
  • Adivinar el secreto compartido no permite descifrar sesiones pasadas.
  • Nada en lo que se registra da suficiente información para probar los valores potenciales del secreto compartido.

La tercera condición implica que un secreto compartido de baja entropía, por ejemplo, Una "contraseña", todavía se puede usar de manera segura, de ahí el nombre para este tipo de protocolo. El concepto criptográfico fue inventado en 1992 por Bellovin y Merrit, bajo el nombre de "intercambio de clave cifrada" (formalmente, un intercambio de clave DH en el que los mensajes se cifran simétricamente con el secreto compartido, de modo que el descifrado con el secreto incorrecto todavía produce un DH sintácticamente válido) mensajes - los requisitos matemáticos reales son sutiles).

En el contexto de SSL / TLS, se ha definido un protocolo PAKE estándar, bajo el nombre SRP (vea también la página de Wikipedia ). SRP es bueno. Desafortunadamente, los navegadores web no parecen admitirlo (todavía).

    
respondido por el Thomas Pornin 13.01.2014 - 22:40
fuente