xác thực lẫn nhau trong giao thức STS

Giao thức STS là như thế này:

1. $A \rightarrow B:~ g^x$
2. $A \leftarrow B:~ g^y, E_K(S_B(g^y, g^x))$
3. $A \rightarrow B:~ E_K(S_A(g^x, g^y))$

Câu hỏi của tôi là tại sao chúng tôi nói trong STS chúng tôi có xác thực lẫn nhau? Ví dụ:

1. $A \rightarrow C: g^x$
2. $C \rightarrow B: g^x$
3. $C \leftarrow B: g^y, E_K(S_B(g^y, g^x))$
4. $A \leftarrow C: g^y, E_K(S_B(g^y, g^x))$

vì vậy A sẽ xác thực C thay vì B!

Câu hỏi (với "cuộc tấn công" cụ thể) đã được trả lời chi tiết trong Sec 1.5.6, Tấn công/ Hình 1.6 .

Về cơ bản, nó phụ thuộc vào định nghĩa cụ thể của "xác thực lẫn nhau" hay nói chung hơn là các mục tiêu xác thực. Trong tác phẩm được trích dẫn, đã đạt đến định nghĩa về "xác thực lẫn nhau" (Def. 14 bên dưới), vì cả hai bên có thể xác minh rằng các thông báo bắt nguồn từ bên tương ứng. Ví dụ, A biết rằng thông điệp $g^y, E_K(S_B(g^y, g^x))$ đến từ B bằng cách xác minh $S_B$, và do đó B có kiến ​​thức về nội dung.

Tuy nhiên, định nghĩa về "xác thực thực thể mạnh" (xem Def. 13 bên dưới) không được đáp ứng, vì "A sẽ sai khi kết luận, sau khi chạy thành công, rằng B muốn giao tiếp với cô ấy." Phần 1.5.6

"Định nghĩa 13. Xác thực thực thể mạnh từ A đến B được cung cấp nếu B có đảm bảo rằng A biết về B là thực thể ngang hàng của mình" Def 13., Xác thực thực thể mạnh

"Định nghĩa 14. Xác thực lẫn nhau xảy ra nếu cả hai thực thể được xác thực cho mỗi khác trong cùng một giao thức. Xác thực đơn phương (đôi khi được gọi là xác thực một chiều) thentication) xảy ra nếu chỉ một thực thể được xác thực với thực thể kia." Def 14., Xác thực lẫn nhau

Vấn đề chính trong câu hỏi này là vai trò của C.
Ở đây C không làm gì khác ngoài việc truyền dữ liệu. vì vậy nó bằng cách nào đó hoạt động như một sợi dây. vì vậy nó sẽ không được tính trong giao thức.

Giả sử serverent, Trong mô hình máy chủ-máy khách, cả hai bên phải được xác định. Trong giai đoạn xác thực khóa có xác thực, máy khách Ci được xác định với đánh giá MACk (IDCi, TCi, R, R), trong khi máy chủ với đánh giá MACk = (IDCi, TCi, L), tương ứng. Kẻ tấn công không thể tạo phiên hợp lệ nếu không biết danh tính thực của khách hàng và tính toán giá trị R thường được tính và k = H3 (IDCi, TCi, R, R) chính xác.

Khả năng chống lại cuộc tấn công không đồng bộ,

Tạo một AID mới yêu cầu một tính toán hiện đại cho cả hai bên.Nếu máy khách không nhận được tin nhắn từ máy chủ, nó có thể không kết nối được với nó. Vì vậy, giả định hợp lý là xác thực lẫn nhau với giao thức trao đổi khóa chỉ là phần đầu của phiên, tiếp theo là trao đổi thông báo an toàn. Trong quá trình trao đổi này, một quá trình quan trọng cho giao thức diễn ra. Nếu máy chủ không nhận được thông báo sau khi xác thực lẫn nhau, máy chủ sẽ biết rằng máy khách có thể không nhận được thông báo và ngừng cập nhật AID với giá trị mới.