Considere el siguiente protocolo, destinado a autenticar (Alice) a (Bob) y viceversa.
- es un nonce aleatorio.
- es una clave simétrica precompartida.
- es una carga útil.
- medios m cifran con K .
- medios m 1 ensamblado con m 2 de una manera que puede ser decodificado de forma inequívoca.
- Suponemos que los algoritmos criptográficos son seguros e implementados correctamente.
Un atacante (Trudy) quiere convencer a Bob para que acepte su carga útil como proveniente de Alice (en lugar de P A ). ¿Puede Trudy hacerse pasar por Alice? ¿Cómo?
Esto se modificó ligeramente del ejercicio 9.6 en Seguridad de la información: Principios y práctica de Mark Stamp . En la versión del libro, no hay , el último mensaje es solo E ( R A + 1 , K ) , y el requisito es que Trudy "convenza a Bob de que ella es Alice". Marca del sello nos pide encontrar dos ataques, y los dos me encontré permite Trudy para forjar E ( R + 1 , K ) , pero no E ( ⟨ R , P T ⟩ , K ).