Das Needham-Schroeder Protokoll

Zur Veranschaulichung soll nun ein APA für das Needham-Schroeder Protokoll konstruiert werden. Dazu zunächst kurz zur Arbeitsweise des Protokolls. Ziel des Needham-Schroeder Protokolls ist es, einen sicheren Kommunikationskanal zwischen zwei Agenten (üblicherweise $A$ und $B$) zu schaffen. $K_{XY}$ bezeichnet hierbei den gemeinsamen symmetrischen Schlüssel der Agenten $X$ und $Y$. Es werden folgende Nachrichten ausgetauscht:

$$\begin{eqnarray*} 1. \; A \rightarrow S & : & A,B,R_A \\ 2. \; S \rightarrow ... ...}_{K_{AB}} \\ 5. \; A \rightarrow B & : & \{R_B - 1\}_{K_{AB}} \end{eqnarray*}$$

Zunächst sendet $A$ eine Nachricht an den Server $S$, welche den Namen von $A$, den Namen des gewünschten Kommunikationspartners $B$ sowie eine von $A$ erzeugte Zufallszahl $R_A$ enthält. Der Server antwortet an $A$ mit einer durch $K_{AS}$ verschlüsselten Nachricht, welche das vorher erzeugte $R_A$, den Namen von $B$, einen neu erzeugten gemeinsamen Schlüssel $K_{AB}$ für $A$ und $B$ sowie einen mit $K_{BS}$ verschlüsselten Teil enthält. In Schritt drei leitet Agent $A$ den mit $K_{BS}$ verschlüsselten Teil an $B$ weiter. $B$ schickt daraufhin eine neu erzeugte Zufallszahl $R_B$ verschlüsselt mit $K_{AB}$ an $A$, und $A$ reagiert indem er $R_B - 1$ mit demselben Schlüssel verschlüsselt zurückschickt.

Nach diesen fünf Schritten sollen $A$ und $B$ einen gemeinsamen sicheren Schlüssel $K_{AB}$ besitzen. Es wurde jedoch ein Angriff gefunden, welcher diese Schlussfolgerung widerlegt. Er beruht darauf, daß ein Sitzungsschlüssel nur eine begrenzte Zeit lang sicher bleibt. Hier soll jedoch ein anderer Angriff präsentiert werden, für den der Angreifer keinen alten Sitzungsschlüssel benötigt.