Протокол Ньюмана — Стабблбайна

Алиса и Боб хотят безопасно обмениваться сообщениями, находясь на различных концах сети. Предполагается, что каждому пользователю Трент выделяет отдельный секретный ключ, и перед началом работы протокола все ключи уже находятся у пользователей.

Алиса отправляет Бобу сообщение, содержащее идентификатор Алисы и некоторое случайное число Алисы:

1. ${\displaystyle Alice\to \left\{A,R_{A}\right\}\to Bob}$

Боб объединяет идентификатор Алисы, ее случайное число и метку времени, шифрует сообщение общим с Трентом ключом и посылает его Тренту, добавив свой идентификатор и случайное число Боба:

2. ${\displaystyle Bob\to \left\{B,R_{B},E_{B}\left(A,R_{A},T_{B}\right)\right\}\to Trent}$

Трент генерирует сеансовый ключ ${\displaystyle K}$, а затем создает два сообщения. Первое включает идентификатор Боба, случайное число Алисы, случайный сеансовый ключ, метку времени и шифруется общим для Трента и Алисы ключом. Второе состоит из идентификатора Алисы, сеансового ключа, метки времени и шифруется общим для Трента и Боба ключом. Трент добавляет к ним случайное число Боба и отправляет Алисе:

3. ${\displaystyle Trent\to \left\{E_{A}\left(B,R_{A},K,T_{B}\right),E_{B}\left(A,K,T_{B}\right),R_{B}\right\}\to Alice}$

Алиса извлекает ${\displaystyle K}$ и убеждается, что ${\displaystyle R_{A}}$ совпадает с тем, что было послано на этапе 1. Алиса отправляет Бобу два сообщения. Первое - это второе сообщение от Трента, зашифрованное ключом Боба. Второе - это случайное число Боба, зашифрованное сеансовым ключом.

4. ${\displaystyle Alice\to \left\{E_{B}\left(A,K,T_{B}\right),E_{K}\left(R_{B}\right)\right\}\to Bob}$

Боб расшифровывает сообщение своим ключом и убеждается, что значения ${\displaystyle T_{B}}$ и ${\displaystyle R_{B}}$ не изменились.

Если оба случайных числа и метка времени совпадают, то Алиса и Боб убеждаются в подлинности друг друга и получают секретный ключ. Нет необходимости синхронизировать часы, так как метка времени определяется только по часам Боба и только Боб проверяет созданную им метку времени.

Протокол обладает возможностью повторной аутентификации сторон без использования промежуточной стороны, но с использованием новых случайных чисел:

Алиса отправляет Бобу сообщение, присланное Трентом на этапе 3 и новое случайное число:

1. ${\displaystyle Alice\to \left\{E_{B}\left(A,K,T_{B}\right),R'_{A}\right\}\to Bob}$

Боб отправляет Алисе свое новое случайное число и случайное число Алисы, шифруя их сеансовым ключом:

2. ${\displaystyle Bob\to \left\{R'_{B},E_{K}\left(R'_{A}\right)\right\}\to Alice}$

Алиса отправляет Бобу его новое случайное число, зашифрованное сеансовым ключом:

3. ${\displaystyle Alice\to \left\{E_{K}\left(R'_{B}\right)\right\}\to Bob}$

Использование новых случайных чисел ${\displaystyle R'_{A}}$ и ${\displaystyle R'_{B}}$ защищает от атаки с повторной передачей.

${\displaystyle I}$ (от англ. Intruder) - злоумышленник.

1. ${\displaystyle I(Alice)\to \left\{E_{B}\left(A,K,T_{B}\right),R'_{A}\right\}\to Bob}$
2. ${\displaystyle Bob\to \left\{R'_{B},E_{K}\left(R'_{A}\right)\right\}\to I(Alice)}$
3. ${\displaystyle I(Alice)\to \left\{E_{B}\left(A,K,T_{B}\right),R'_{B}\right\}\to Bob}$
4. ${\displaystyle Bob\to \left\{R'_{B},E_{K}\left(R'_{B}\right)\right\}\to I(Alice)}$
5. ${\displaystyle I(Alice)\to \left\{E_{K}\left(R'_{B}\right)\right\}\to Bob}$

1. ${\displaystyle I(Bob)\to \left\{B,R_{B},E_{B}\left(A,K_{0},T_{B}\right)\right\}\to Trent}$
2. ${\displaystyle Trent\to \left\{E_{A}\left(B,R_{A},K_{1},T_{B}\right),E_{B}\left(A,K_{1},T_{B}\right),R_{B}\right\}\to I(Alice)}$
3. ${\displaystyle I(Bob)\to \left\{B,R_{B},E_{B}\left(A,K_{1},T_{B}\right)\right\}\to Trent}$
4. ${\displaystyle Trent\to \left\{E_{A}\left(B,R_{A},K_{2},T_{B}\right),E_{B}\left(A,K_{2},T_{B}\right),R_{B}\right\}\to I(Alice)}$ и т.д.

В этой атаке злоумышленник может получить столько шифров ${\displaystyle E_{B}\left(A,K_{i},T_{B}\right)}$, сколько необходимо для начала атаки на основе открытых текстов.