Forward Secrecy by Diffie-Hellman

This version is the first approach to establishing KTUNNEL_DH, which is a session‐key  between nAR and pAR, utilizing the Diffie‐Hellman Key Exchange (DH). The first  version used DH for both the establishment of K^TUNNEL and of K^NEW and this proved to  be too large for the FDR to handle. The system produced more than 2.000.000 states  and the memory resources were inefficient. It is not possible to have a maximal run  time of an NP‐complete graph algorithm with 2.000.000 states. A termination within  an appropriate amount of time cannot be guaranteed and it is most unlikely that this  can be achieved. Therefore, the approach was modified in order to only support  K^TUNNEL_DH as a basis for further minimization. 

( )

1.  nAR MN   :   nAR‐ID, PK nAR

2.  MN nAR   :   pAR‐ID,  PK nAR , nAR‐ID, MN‐ID, na 3.  nAR pAR  :   nAR‐ID,  PK nAR , nAR‐ID, MN‐ID, na

4.  pAR nAR  :   pAR‐ID,  : , , na, MN‐ID, PK pAR 5. 

The implementation of a version incorporating DH is much more complex than the  previous  protocols.  In  Protocol  8  the  messages  4  and  5  represent  DH.  The  corresponding Casper script file will be explained in more detail later: 

#Free variables

datatype Field = Gen | Exp(Field,Num) unwinding 2 halfkeyA, halfkeyB, ktunnel : Field

x, y : Num

M, N, P : Agent

pkn, pkp, pkm, pkmallory : PublicKey skn, skp, skm, skmallory : SecretKey ksms, knew : SessionKey

na : Nonce

InverseKeys = (pkn, skn), (ksms, ksms), (pkp, skp), (knew, knew), (ktunnel, ktunnel), (pkm, skm), (pkmallory, skmallory), (Exp, Exp), (Gen, Gen)

As can be seen, the first three lines define the DH operation. The exponential  function expects a value of type ^Field (a half‐key or K^TUNNEL) and produces another 

Field by calculating DH. 

#Protocol description

0. -> N : M 1. N -> M : N, pkn [N!=M]

2. M -> N : P, {pkn,N, M, na}{ksms} % token [M!=N]

3. N -> P : N, token % {pkn, N, M, na}{ksms}

[N!=P]

4. P -> N : P, {Exp(Gen,x) % halfkeyA, na, M, pkp}{pkn}

[P!=M]

< ktunnel := Exp(halfkeyA, y) >

5. N -> P : {na, {Exp(Gen,y) % halfkeyB}{skn}}{pkp}

[N!=P]

< ktunnel := Exp(halfkeyB, x) >

6. P -> N : {na, ksms, pkm}{ktunnel}

[P!=N]

7. N -> M : {{knew, na}{skn}, {N}{ksms}}{pkm}

In order to save the computation resources, all of the protocol stages have been  modified to only being able to continue when the sender is unequal to the receiver. 

The session‐key has been calculated as < ktunnel := Exp(halfkeyA, y) >. This is  then known to the receiver of the above message.  

#Equivalences

forall x, y : Num . Exp ( Exp(Gen,x), y ) = Exp( Exp(Gen,y), x )

By using this equivalence‐specification, the properties of DH are adapted to the CSP  environment. It is most important to have the abstract function instead of an exact  mathematical formalism. It is essential to recognize this as it detaches the IDKE from  the DH. The abstracted version can in any case only be realized by mathematical  formalism.  

#Processes

INITIATOR(N, pkn, skn, knew, y) RESPONDER(M, ksms, P, pkm, skm, na) SERVER(P,ksms, M, pkp, skp, pkn, pkm, x)

#Actual variables

MobileNode, NewAR, PrevAR, Mallory : Agent PKN, PKP, PKM, PKMALLORY : PublicKey

SKN, SKP, SKM, SKMALLORY : SecretKey KSMS, KNEW : SessionKey

X, Y, Z : Num Na : Nonce

InverseKeys = (KSMS, KSMS), (PKN, SKN), (PKP, SKP), (PKM, SKM), (PKMALLORY, SKMALLORY), (KNEW, KNEW)

#Specification

Secret(P, ktunnel, [N]) Secret(N, ktunnel, [P]) Secret(N, knew, [M]) Secret(M, knew, [N]) Secret(M, ksms, [N]) Secret(N, ksms, [M])

Agreement(P, N, [ktunnel]) Agreement(N, M, [knew]) Agreement(P, N, [ksms])

#System

INITIATOR(NewAR, PKN, SKN, KNEW, Y)

RESPONDER(MobileNode, KSMS, PrevAR, PKM, SKM, Na)

SERVER(PrevAR, KSMS, MobileNode, PKP, SKP, PKN, PKM, X)

#Intruder Information Intruder = Mallory

IntruderKnowledge = {MobileNode, NewAR, Mallory, PKN, PKP, PrevAR, PKMALLORY, SKMALLORY, Z}

The remaining implementation is self‐ explanatory. The specifications are as general  as possible. The FDR is able to verify this huge protocol by being run on a fast  workstation with 6GB RAM and is capable of completing the computation in about 5  hours. However, FDR stated that the protocol was insecure. The verification showed  that  both  of  the  agreements  on  K^NEW  between  nAR  and  MN  had  failed.  The  CasperFDR output containing the FDR attack trace is illustrated in Figure 20 and  Figure 21. 

NewAR believes (s)he has completed a run of the protocol, taking role INITIATOR, with PrevAR, using data items Exp__, (Exp__, (Gen__, Y), X)

0. -> NewAR : MobileNode 1. NewAR -> I_MobileNode : NewAR, PKN 1. I_Mallory -> MobileNode : Mallory, PKN

2. MobileNode -> I_Mallory : PrevAR, {PKN, Mallory, MobileNode, Na}{KSMS}

NewAR believes (s)he has completed a run of the protocol, taking role INITIATOR, with PrevAR, using data items KSMS

0. -> NewAR : MobileNode 1. NewAR -> I_MobileNode : NewAR, PKN 1. I_Mallory -> MobileNode : Mallory, PKN

2. MobileNode -> I_Mallory : PrevAR, {PKN, Mallory, MobileNode, Na}{KSMS}

2. I_MobileNode -> NewAR : PrevAR, {PKN, Mallory, MobileNode, Na}{KSMS}

3. I_Mallory -> PrevAR : Mallory, {PKN, Mallory, MobileNode, Na}{KSMS}

4. PrevAR -> I_Mallory : PrevAR, {Exp(Gen, X), Na, MobileNode, PKP}{PKN}

3. NewAR -> I_PrevAR : NewAR, {PKN, Mallory, MobileNode, Na}{KSMS}

4. I_PrevAR -> NewAR : PrevAR, {Exp(Gen, X), Na, MobileNode, PKP}{PKN}

5. NewAR -> I_PrevAR : {Na, {Exp(Gen, Y)}{SKN}}{PKP}

5. I_Mallory -> PrevAR : {Na, {Exp(Gen, Y)}{SKN}}{PKP}

6. PrevAR -> I_Mallory : {Na, KSMS, PKM}{Exp(Exp(Gen, X), Y)}

6. I_PrevAR -> NewAR : {Na, KSMS, PKM}{Exp(Exp(Gen, X), Y)}

7. NewAR -> I_MobileNode : {{KNEW, Na}{SKN}, {NewAR}{KSMS}}{PKM}

Figure 21: CasperFDR Output – Attack 2 on Tunnel Version (Protocol 8) 

By  analyzing  the  attack  in  more  detail  it  reveals  the  discovery  of  a  complex  interleave‐attack. An interpretation of the attack is given inline:  

NewAR believes (s)he has completed a run of the protocol, taking role INITIATOR, with PrevAR, using data items Exp__, (Exp__, (Gen__, Y), X)

The run consists of two interleaved protocols that are distinguished here in colored  lettering. 

0. -> NewAR : MobileNode 1. NewAR -> I_MobileNode : NewAR, PKN

The intruder claiming to be the MN (I_MobileNode) captures message 1 in order to  establish a connection to the nAR. Then, the intruder changes the MN’s identifier and  inserts its own before sending message 1 to the MN. Therefore, the MN replies by  sending message 2 directly to the intruder. 

1. I_Mallory -> MobileNode : Mallory, PKN

2. MobileNode -> I_Mallory : PrevAR, {PKN, Mallory, MobileNode, Na}{KSMS}

The intruder acts as the man in the middle and forwards the content of message 2 to  the nAR by sending message 2 from a different protocol run. 

2. I_MobileNode -> NewAR : PrevAR, {PKN, Mallory, MobileNode, Na}{KSMS}

The intruder also utilizes the same content and sends it in message 3 to the pAR  claiming to be the nAR. It should be mentioned that the content of message 2 and  message 3 is exactly the same and contains in both cases the intruder’s identity: 

Mallory. 

3. I_Mallory -> PrevAR : Mallory, {PKN, Mallory, MobileNode, Na}{KSMS}

The pAR responds to the intruder by message 4: 

4. PrevAR -> I_Mallory : PrevAR, {Exp(Gen, X), Na, MobileNode, PKP}{PKN}

Once Mallory has received message 4, he waits for the nAR to send message 3 and  then answers by sending message 4, the content of which he has gained from  message 4. 

3. NewAR -> I_PrevAR : NewAR, {PKN, Mallory, MobileNode, Na}{KSMS}

4. I_PrevAR -> NewAR : PrevAR, {Exp(Gen, X), Na, MobileNode, PKP}{PKN}

As the answer is correct, the nAR will respond by sending message 5 to the intruder: 

5. NewAR -> I_PrevAR : {Na, {Exp(Gen, Y)}{SKN}}{PKP}

The intruder then uses the content of message 5 to send its own message 5 to the  pAR: 

5. I_Mallory -> PrevAR : {Na, {Exp(Gen, Y)}{SKN}}{PKP}

The pAR also sends message 6 back to the intruder: 

6. PrevAR -> I_Mallory : {Na, KSMS, PKM}{Exp(Exp(Gen, X), Y)}

Mallory then forwards the content of message 6 to the nAR by sending message 6 in  order to receive message 7 and hence it is authenticated as MN. 

6. I_PrevAR -> NewAR : {Na, KSMS, PKM}{Exp(Exp(Gen, X), Y)}

7. NewAR -> I_MobileNode : {{KNEW, Na}{SKN}, {NewAR}{KSMS}}{PKM}

This attack is similar to that  described in Section 4.3.1.  It discovers the  major  vulnerability of the IDKE protocol. Therefore, the authentication has to be improved  between the pAR and nAR..  

Im Dokument The Inter-Domain Key Exchange Protocol (Seite 113-119)