Protocolo de Needham-Schroeder

El protocolo de Needham-Schroeder se refiere a uno de los dos protocolos de comunicación para uso sobre una red insegura, ambos propuestos por Roger Needham y Michael Schroeder en un artículo en 1978. Ellos son:

El protocolo de clave simétrica de Needham-Schroeder, basado en un algoritmo de cifrado simétrico. Forma la base del protocolo Kerberos. El objetivo de este protocolo es realizar una autenticación mutua y establecer una clave de sesión aleatoria entre las dos partes, normalmente para proteger la comunicación subsecuente.
El protocolo de clave pública de Needham-Schroeder, basado en un criptografía asimétrica. Su objetivo es brindar autenticación mutua entre dos partes que se comunican a través de una red, pero en su forma propuesta es inseguro.

El protocolo simétrico

En este caso, Alice (A) inicia una comunicación con Bob (B). De esta manera,

S es un servidor confiado por ambas partes

K_AS es una clave simétrica que conocen sólo A y S

K_BS es una clave simétrica que conocen sólo B y S

N_A y N_B son nonces

El protocolo puede especificarse mediante la notación de protocolos de seguridad de la siguiente manera:

A\rightarrow S:A,B,N_{A}

Alice le envía un mensaje al servidor identificándose a sí misma y a Bob, diciéndole al servidor que quiere comunicarse con Bob.

S\rightarrow A:\{N_{A},K_{AB},B,\{K_{AB},A\}_{K_{BS}}\}_{K_{AS}}

El servidor genera la clave

{K_{AB}}

y se la envía a Alice, cifrada usando

{K_{BS}}

, para que Alice se la envíe a Bob, y una copia de la clave para ella. Dado que Alice puede estar solicitando claves para usar con distintas personas, el nonce le garantiza a Alice que el mensaje es reciente y que el servidor está respondiendo a un determinado mensaje y la inclusión de Bob le dice a Alice con quién debe compartir esta clave.

A\rightarrow B:\{K_{AB},A\}_{K_{BS}}

Alice le reenvía la clave a Bob, quien la puede descifrar con la clave que él comparte con el servidor, autenticando así esta información.

B\rightarrow A:\{N_{B}\}_{K_{AB}}

Bob le envía a Alice un nonce cifrado usando

{K_{AB}}

para demostrarle que él obtuvo la clave.

A\rightarrow B:\{N_{B}-1\}_{K_{AB}}

Alice realiza una operación sencilla sobre el nonce (Ej. restarle 1), lo vuelve a cifrar y se lo envía de vuelta a Bob, para que él verifique que ella existe y que obtuvo la clave también.

^[1] Para que este protocolo pueda ser usado, es necesario exigir que el método de cifrado usado no sea maleable. Esto es debido a que si el cifrado es maleable entonces el último paso, la comprobación de que Alice conoce la clave realizando un cifrado sobre el nonce, no es válida. Si por ejemplo el cifrado es one-time-pad y N es impar, cualquiera puede hallar el

\{N_{B}-1\}_{K_{AB}}

simplemente cambiando el último bit.

Este protocolo es vulnerable a un ataque de replay. Si un atacante almacena los mensajes de este protocolo y luego descubre el valor K_AB que fue usado, puede volver a enviarle el mensaje

\{K_{AB},A\}_{K_{BS}}

a Bob, quien lo aceptará y no será capaz de decir si la clave es reciente o no (a no ser que lleve un registro de todas las claves que él usó). Este fallo se resuelve en el protocolo Kerberos mediante la inclusión de un timestamp.