3.7.2  Needham-Schroeder協(xié)議

很多事情都可能出錯(cuò)，這里給出安全協(xié)議歷史上一個(gè)著名的實(shí)例。很多現(xiàn)有的密鑰分發(fā)協(xié)議都源自1978年的Needham-Schroeder協(xié)議［960］。這個(gè)協(xié)議和上面提到的有些類(lèi)似，但是使用的是Nonce，而不是時(shí)間戳。該協(xié)議運(yùn)行過(guò)程如下：

消息1  A→S：  A,B,NA

消息2  S→A： {NA,B,KAB,{KAB,A}}

消息3  A→B： {KAB,A}

消息4  B→A： {NB}

消息5  A→B： {NB-1}

這里，Alice發(fā)起請(qǐng)求，并向Sam聲稱(chēng)：“我是Alice，我想和Bob通話(huà)，我的隨機(jī)Nonce是NA。”作為應(yīng)答，Sam給她提供一個(gè)會(huì)話(huà)密鑰，該會(huì)話(huà)密鑰用他和Alice共享的密鑰進(jìn)行加密。密文中也包括Alice的Nonce，因此她可以確定這不是一次重放。Sam還給她一個(gè)證書(shū)讓她把密鑰轉(zhuǎn)給Bob。Alice把證書(shū)發(fā)給Bob，之后Bob進(jìn)行一次“質(zhì)詢(xún)-應(yīng)答”，以便確認(rèn)Alice在場(chǎng)而且是就緒的。

這個(gè)協(xié)議有一個(gè)小問(wèn)題：Bob必須假定他從Sam(經(jīng)由Alice)那里收到的KAB是新鮮的，實(shí)際上可能并非如此——?Alice在第2和第3步之間可能等待了一年。在很多應(yīng)用中，這個(gè)問(wèn)題并不重要，甚至還可以幫助Alice緩存密鑰，以預(yù)防服務(wù)器發(fā)生失敗的情況。但是如果對(duì)手，比如Charlie獲取了Alice的密鑰KAS，他就可以使用這個(gè)密鑰和其他很多主體建立會(huì)話(huà)密鑰。

比如，假設(shè)Alice也申請(qǐng)并收到了和Dave進(jìn)行通信的密鑰，Charlie偷竊她的密鑰以后，就可以假冒Alice向Sam發(fā)送消息，并獲得與Freddie和Ginger進(jìn)行通信的密鑰。他還有可能觀察到Alice和Dave通過(guò)協(xié)議交換的消息2。因此，現(xiàn)在Charlie可以冒充Alice與Dave、Freddie和Ginger進(jìn)行通信。當(dāng)Alice發(fā)覺(jué)其密鑰被偷竊(或許是通過(guò)和Dave比較消息記錄發(fā)現(xiàn)的)，她就必須讓Sam和每個(gè)她曾發(fā)放過(guò)密鑰的人取得聯(lián)系，并通知他們?cè)瓉?lái)的密鑰失效了。她本人無(wú)法做到這一點(diǎn)，因?yàn)樗龑?duì)Freddie和Ginger一無(wú)所知。換句話(huà)說(shuō)，撤消權(quán)限是一個(gè)問(wèn)題：Sam可能必須保留自己所做操作的全部日志，這些日志一直都在增長(zhǎng)，除非主體的名字在將來(lái)某個(gè)固定的時(shí)間過(guò)期。

大概30多年以后，這個(gè)實(shí)例仍在安全協(xié)議領(lǐng)域引發(fā)爭(zhēng)議。簡(jiǎn)化的觀點(diǎn)是認(rèn)為Needham和Schroeder做錯(cuò)了，Susan Pancho和Dieter Gollmann爭(zhēng)論的觀點(diǎn)(我比較傾向于這個(gè)觀點(diǎn))則認(rèn)為，這又是一個(gè)改變假設(shè)而導(dǎo)致協(xié)議失敗的實(shí)例［538、1002］。1978年時(shí)，計(jì)算機(jī)與通信網(wǎng)絡(luò)還是一個(gè)文溫爾雅的世界，當(dāng)時(shí)的計(jì)算機(jī)安全是假定攻擊者在系統(tǒng)之外，而現(xiàn)在必須把壞人假想為系統(tǒng)的用戶(hù)。Needham-Schroeder的論文顯式地假定所有主體都扮演自己的角色，攻擊者都來(lái)自于外界[960]——?在這種假設(shè)下，當(dāng)時(shí)的協(xié)議設(shè)計(jì)是合理的。