Encrypted Key Exchange

Encrypted Key Exchange (anche detta EKE) è una famiglia di metodi di interazione tra due o più partecipanti per l'autenticazione e la condivisione di una chiave crittografica di sessione. Basati sulla conoscenza condivisa di una comune password, sono stati descritti da Steven M. Bellovin e Michael Merritt.^[1] Alcune varianti di EKE presenti nella pubblicazione originale hanno mostrato diverse debolezze, ma altre sue varianti, migliorate e potenziate, hanno reso EKE il primo metodo efficace per ricavare una chiave di sessione condivisa e l'autenticazione mutua mediante una password condivisa.

Requisiti[modifica | modifica wikitesto]

Un protocollo EKE per essere considerato sicuro deve poter garantire la robustezza nei confronti di diversi attacchi:

• anche se le due parti condividono una password debole il protocollo deve essere forte rispetto attacchi off-line (dizionario, forza bruta) sui pacchetti scambiati;
• il protocollo deve essere robusto nei confronti dei replay attack.

DH-EKE[modifica | modifica wikitesto]

Una delle versioni presenti nella pubblicazione originale ed effettivamente sicura è basata sul metodo di scambio di chiavi Diffie-Hellman. Si riporta di seguito il protocollo. Si supponga che ${\displaystyle A}$ sia il client, ${\displaystyle S}$ sia il server e ${\displaystyle w}$ sia ${\displaystyle H(password)}$ con ${\displaystyle H}$ funzione crittografica di hash.

${\displaystyle A\rightarrow S:w[g^{a}mod(p)]}$

con ${\displaystyle w[g^{a}mod(p)]}$ indichiamo la cifratura con un algoritmo a chiave simmetrica di ${\displaystyle g^{a}mod(p)}$ con la chiave ${\displaystyle w}$

${\displaystyle S\rightarrow A:K(n_{1}),w[g^{b}mod(p)]}$

${\displaystyle S}$ calcola K come ${\displaystyle k=g^{ab}mod(p)}$ e sceglie un nonce ${\displaystyle n_{1}}$

${\displaystyle A\rightarrow S:K(n_{1},n_{2})}$

${\displaystyle A}$ può decifrare il challenge ${\displaystyle K(n_{1})}$ selezionare un nuovo nonce ${\displaystyle n_{2}}$. In questo modo invia un challenge al server e nel contempo mostra di conoscere ${\displaystyle K}$ autenticandosi come ${\displaystyle A}$ verso il server

${\displaystyle S\rightarrow A:K(n_{2})}$

il server risponde al challenge autenticandosi verso ${\displaystyle A}$. Di qui in poi i due attori del protocollo sono autenticati e dispongono di una chiave di sessione. Si noti che un attacco brute force sui messaggi cifrati con ${\displaystyle w}$ sono inattuabili poiché un attaccante non può verificare (se non per tentativi on-line) che la decifratura è andata a buon fine. La quantità ${\displaystyle g^{a}mod(p)}$ è infatti casuale. Lo stesso motivo (la scelta di quantità ${\displaystyle a}$ e ${\displaystyle b}$ casuali mette al sicuro il protocollo nei confronti di reply-attack).

Vulnerabilità di DH-EKE[modifica | modifica wikitesto]

DH-EKE è vulnerabile ad un attacco di discovery sul database del server. Se infatti un malintenzionato riuscisse a rubare l'hash ${\displaystyle w}$ potrebbe inscenare un protocollo di autenticazione sia camuffandosi da server, che da client.

Augmented-EKE[modifica | modifica wikitesto]

Per eliminare la vulnerabilità precedente si fa in modo che il server conservi non la password, ma una quantità derivata da una funzione one-way applicata sulla stessa. In questo modo un attaccante anche rubando le informazioni presenti sul server non può utilizzarle per rimpiazzare il client.

Note[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

• http://www.cs.columbia.edu/~smb/papers/aeke.ps

Portale Crittografia

Portale Sicurezza informatica