Протокол Отвея — Рииса

Протокол Отвея—Рииса — симметричный протокол аутентификации и обмена ключами с использованием доверенной стороны.

Криптографические обозначения, используемые в протоколах проверки подлинности и обмена ключами

${\displaystyle A}$	Идентификаторы Алисы (Alice), инициатора сессии
${\displaystyle B}$	Идентификатор Боба (Bob), стороны, с которой устанавливается сессия
${\displaystyle T}$	Идентификатор Трента (Trent), доверенной промежуточной стороны
${\displaystyle K_{A},K_{B},K_{T}}$	Открытые ключи Алисы, Боба и Трента
${\displaystyle K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}}$	Секретные ключи Алисы, Боба и Трента
${\displaystyle E_{A},\left\{...\right\}_{K_{A}}}$	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
${\displaystyle E_{B},\left\{...\right\}_{K_{B}}}$	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
${\displaystyle \left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}}$	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
${\displaystyle I}$	Порядковый номер сессии (для предотвращения атаки с повтором)
${\displaystyle K}$	Случайный сеансовый ключ, который будет использоваться для симметричного шифрования данных
${\displaystyle E_{K},\left\{...\right\}_{K}}$	Шифрование данных временным сеансовым ключом
${\displaystyle T_{A},T_{B}}$	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
${\displaystyle R_{A},R_{B}}$	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно

Описание протокола

Алиса генерирует сообщение из случайного числа, порядкового номера сессии и идентификаторов себя и Боба, после чего шифрует общим с Трентом ключом. Зашифрованное сообщение вместе с порядковым номером и обоими идентификаторами отправляются Бобу.

${\displaystyle Alice\to \left\{I,A,B,E_{A}\left(R_{A},I,A,B\right)\right\}\to Bob}$ 

Боб дополняет это зашифрованными его общим с Трентом ключом случайным числом, порядковым номером и идентификатором, после чего посылает Тренту — доверенной промежуточной стороне.

${\displaystyle Bob\to \left\{I,A,B,E_{A}\left(R_{A},I,A,B\right),E_{B}\left(R_{B},I,A,B\right)\right\}\to Trent}$ 

Трент генерирует случайный сеансовый ключ и посылает два сообщения Бобу, вместе с номером сессии. Первое зашифровано общим ключом с Алисой, второе - с Бобом.

${\displaystyle Trent\to \left\{I,E_{A}\left(R_{A},K\right),E_{B}\left(R_{B},K\right)\right\}\to Bob}$ 

Боб получает ключ и убеждается, что случайное число и порядковый номер сессии не изменились за время работы протокола.

${\displaystyle Bob\to \left\{I,E_{A}\left(R_{A},K\right)\right\}\to Alice}$ 

Алиса получает ключ и убеждается, что случайное число и порядковый номер сессии не изменились за время работы протокола.

Литература

• Шнайер Б. Протокол Отвея—Рииса // Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — С. 80—81. — 816 с. — 3000 экз. — ISBN 5-89392-055-4.
• D. Otway, O. Rees Efficient and Timely Mutual Authentication // Operating Systems Review, — v. 24, — n. 1, — 1987, — pp. 8—10 — doi:10.1145/24592.24594