Security issues in a group key establishment protocol

Each language version is independently generated for its own context, not a direct translation.

Het verhaal van de gebrekkige groepsvergadering

Stel je voor dat een groep vrienden (de gebruikers) een geheime club wil vormen. Ze willen een geheime sleutel (een wachtwoord) bedenken waarmee ze alleen met elkaar kunnen praten, zonder dat buitenstaanders mee kunnen luisteren.

In 2018 publiceerden twee onderzoekers, Harn en Hsu, een nieuwe "recept" (een protocol) voor hoe deze groep die sleutel veilig kan maken. Ze beweerden dat hun methode onkraakbaar was en dat iedereen die de sleutel had, zeker wist dat hij van de juiste leider kwam en vers was.

De auteur van dit artikel, Chris Mitchell, heeft echter gekeken naar dat recept en zegt: "Dit werkt niet. Gebruik het niet." Hij laat zien dat het recept vol gaten zit, net als een huis met een open raam en een sleutel onder de mat.

Hier zijn de drie grootste problemen, uitgelegd met simpele vergelijkingen:

1. De "Onkraakbare" slotkast is eigenlijk een doosje van karton

De onderzoekers beweerden dat hun methode "onvoorwaardelijk veilig" was. Dat is als zeggen: "Deze kluis is zo sterk dat zelfs een superkrachtige robot hem niet open kan krijgen."

Mitchell wijst er echter op dat de veiligheid van hun kluis volledig afhankelijk is van een wiskundig raadsel (de Discrete Logaritme). Als iemand dat raadsel ooit oplost (wat in de toekomst misschien gebeurt), dan kan iedereen die de openbare informatie heeft, direct de geheime sleutel stelen.

De analogie: Het is alsof je zegt dat je huis onbreekbaar is, zolang niemand weet hoe je de deurklink moet draaien. Maar als iemand dat weet, valt de hele deur er zo uit. Het is dus niet "onvoorwaardelijk" veilig.

2. De "Valse Alarm" (De sleutel die nooit veroudert)

Een belangrijk onderdeel van een goed beveiligingssysteem is dat je weet of een boodschap nieuw is. Stel, je krijgt een sms: "Kom snel naar de bank, er is geld!" Je wilt weten of dit nu is gestuurd of gisteren.

In dit protocol gebruikt de leider een tijdstempel (een datum en tijd) om te bewijzen dat de boodschap nieuw is.

Het probleem: Als een hacker eenmaal de geheime sleutel heeft gestolen (bijvoorbeeld door een oude boodschap te hacken), kan hij diezelfde sleutel blijven gebruiken. Hij maakt een nieuwe "tijdstempel" (vandaag) en stuurt de oude sleutel opnieuw.
De analogie: Stel je voor dat een inbreker een sleutel heeft van je huis. Hij maakt een briefje met de tekst "Dit is een nieuwe sleutel, gemaakt vandaag!" en plakt er een nieuw stempel op. Omdat de bewoners niet kunnen controleren of de sleutel echt nieuw is (alleen of het briefje klopt), gaan ze denken dat het een nieuwe, veilige situatie is. De inbreker kan dit eindeloos herhalen. De "versheid" van de sleutel is een leugen.

3. De "Verraad van de Groepslid" (De grootste fout)

Dit is het meest gevaarlijke punt. Het protocol gaat ervan uit dat alleen de leider (de initiator) de sleutel kan maken en verspreiden. Maar het systeem is zo ontworpen dat elk lid van de groep eigenlijk ook de leider kan spelen.

Hoe werkt het? Als jij een lid bent van de groep, krijg je genoeg informatie om de geheime vergelijking (het polynoom) te reconstrueren. Als jij die vergelijking eenmaal hebt, kun jij een nieuwe sleutel bedenken, een nieuwe datum erbij plakken, en die naar de hele groep sturen alsof jij de oorspronkelijke leider bent.
De analogie: Stel je voor dat een groep vrienden een geheim wachtwoord bedenkt. De leider schrijft het op en deelt het uit. Maar door de manier waarop ze het uitdelen, kan elk lid van de groep het geheime formulier terugrekenen. Vervolgens kan een lid zeggen: "Ik ben de leider, hier is een nieuw wachtwoord!" en de rest van de groep denkt: "Ah, dat is de echte leider, we accepteren het."
Het gevolg: Een binnenkomende hacker (een lid van de groep) kan de hele communicatie overnemen en de groep een vals wachtwoord geven, zonder dat de echte leider dat kan stoppen. Dit breekt het vertrouwen volledig.

Conclusie: Waarom dit niet werkt

De auteur concludeert dat dit protocol gebruikt moet worden. Waarom?

Het heeft geen echte wiskundige bewijzen dat het veilig is (geen "provable security").
Het heeft fundamentele fouten die al snel te vinden zijn (de auteur vond ze in een paar uur).
Het gedraagt zich precies zoals eerdere, mislukte pogingen in het verleden: het lijkt slim, maar het is kwetsbaar voor insiders.

Kort samengevat:
Het is alsof iemand een nieuw slot voor je voordeur heeft ontworpen en zegt: "Dit is het veiligste slot ter wereld!" Maar als je er naar kijkt, zie je dat de sleutel onder de mat ligt, dat je buren ook een kopie kunnen maken, en dat de inbreker de datum op het slot kan veranderen om te doen alsof hij de eigenaar is.

Advies: Gebruik dit protocol niet. Het is te gevaarlijk.

Each language version is independently generated for its own context, not a direct translation.

Titel: Beveiligingsproblemen in een protocol voor groepssleutelvestiging

Auteur: Chris J. Mitchell (Royal Holloway, University of London)
Bron: arXiv:1803.01137v2

1. Het Probleem

Het paper analyseert een recent gepubliceerd protocol voor het vestigen van een geverifieerde groepssleutel, ontwikkeld door Harn en Hsu. Dit protocol is ontworpen om een vooraf gedefinieerde gemeenschap van gebruikers in staat te stellen een gedeelde geheime sleutel te overeenkomen, waarbij elke lid de initiator kan zijn.

Mitchell stelt dat het protocol ernstige beveiligingsgebreken vertoont die de fundamentele beveiligingsclaims van de auteurs ondermijnen. De belangrijkste claims van Harn en Hsu waren dat het protocol:

Sleutelauthenticatie biedt (de sleutel komt van de beweerde initiator en is "vers").
Onvoorwaardelijke beveiliging biedt voor de versleuteling gebaseerd op secret sharing.
Robuust is tegen zowel buitenstaanders als binnenstaanders (leden van de groep die de sleutel kennen).

Mitchell concludeert dat het protocol deze claims niet waar maakt en derhalve niet gebruikt mag worden.

2. Methodologie

De analyse van Mitchell volgt een gestructureerde aanpak:

Protocolbeschrijving: Hij definieert eerst het Harn-Hsu protocol, dat een combinatie gebruikt van Diffie-Hellman (DH) sleutelovereenkomst en secret sharing (Lagrange-interpolatie).
- Context: Gebruikers hebben langdurige DH-sleutelparen (ondertekend door een CA).
- Mechanisme: De initiator kiest een tijdelijke geheime waarde $s$ , berekent een gedeelde sleutel $k_{zi}$ met elk groeps lid via DH, en gebruikt deze waarden om een polynoom $f(x)$ te construeren waarbij $f(0)$ de groepssleutel $K$ is.
- Broadcast: De initiator zendt $r$ , een tijdstempel $t$ , en punten van de polynoom uit. Leden reconstrueren $K$ via interpolatie.
Kritische Analyse: Mitchell identificeert ontbrekende specificaties en test het protocol tegen de gestelde beveiligingsclaims.
Aanvalsconstructie: Hij demonstreert concrete aanvalsscenario's (insider- en outsider-aanvallen) om de kwetsbaarheden te bewijzen.

3. Belangrijkste Bijdragen en Bevindingen

Mitchell identificeert vier kritieke tekortkomingen:

A. Ontbrekende Specificaties (Missing Information)

Het protocol is onvolledig gespecificeerd:

Het is niet expliciet vermeld dat de gebruikers-ID's elementen moeten zijn van $\mathbb{Z}_q$ .
De uitgezonden boodschap bevat geen identificatie van de initiator of de specifieke groepslidmaatschappen. Dit zorgt voor inefficiëntie (alle gebruikers moeten proberen de sleutel te reconstrueren) en maakt het onduidelijk wie de sleutel bezit.

B. Valse Claim van "Onvoorwaardelijke Beveiliging"

De auteurs claimen dat de secret sharing-versleuteling "onvoorwaardelijk veilig" is. Mitchell weerlegt dit:

De enige onvoorwaardelijk veilige component is de reconstructie van de polynoom.
Echter, als het discrete logaritme-probleem opgelost kan worden, kunnen alle privé-sleutels van gebruikers worden afgeleid uit hun publieke sleutels.
Zodra een aanvaller de publieke sleutels heeft, kan hij de groepssleutel $K$ berekenen uit de uitgezonden boodschap. De versleuteling is dus niet onvoorwaardelijk veilig.

C. Gevolgen van een Gecompromitteerde Groepssleutel (Key Reuse Attack)

Als een groepssleutel $K$ eenmaal bekend is bij een kwaadwillende partij (insider of outsider) die ook de bijbehorende broadcast heeft:

Kan de aanvaller een nieuwe, geldige tijdstempel $t'$ kiezen en de hash $h(t' || K)$ berekenen.
Kan de aanvaller de originele broadcast (met de oude tijdstempel) vervangen door een nieuwe met $t'$ en de nieuwe hash.
Resultaat: Alle ontvangers accepteren dit als een nieuwe, authentieke sessie. De aanvaller kan de gecompromitteerde sleutel oneindig blijven gebruiken, waardoor de authenticatie van de sleutel volledig wordt doorbroken.

D. Impersonatie van een Initiator (Insider Attack)

Dit is de meest ernstige bevinding. Elke lid van de groep die de groepssleutel $K$ heeft ontvangen, kan de polynoom $f(x)$ reconstrueren.

Omdat de polynoom bekend is, kan een lid $U_{zi}$ de tijdelijke gedeelde sleutels $k_{zj}$ van alle andere leden berekenen door $f(ID_{zj})$ te evalueren.
Met deze informatie kan $U_{zi}$ een nieuwe sleutel $K^*$ kiezen, een nieuwe polynoom $f^*(x)$ construeren, en een nieuwe broadcast uitzenden.
Resultaat: $U_{zi}$ kan de oorspronkelijke initiator imiteren en een willekeurige nieuwe sleutel aan de groep opleggen. Dit breekt de authenticatie en maakt het protocol onveilig tegen insider-aanvallen, wat direct in strijd is met de threat model van de auteurs.

4. Resultaten

Het Harn-Hsu protocol biedt geen van de beloofde beveiligingseigenschappen.
Het is kwetsbaar voor zowel insider- als outsider-aanvallen.
Eenmaal een sleutel bekend, kan deze oneindig worden hergebruikt door een aanvaller.
Elke groepsdeelnemer kan zich voordoen als initiator en de groep een valse sleutel opleggen.

5. Significantie en Conclusie

De paper benadrukt dat het ontbreken van een rigoureuze, formele beveiligingsbewijs (provable security) in het originele werk een directe oorzaak is van deze fundamentele fouten. Mitchell verwijst naar een eerdere geschiedenis van vergelijkbare, defecte protocollen (zoals Harn en Lin, 2010) die ook gebaseerd waren op secret sharing en later als onveilig bleken.

Conclusie:
Het protocol van Harn en Hsu is fundamenteel defect en moet niet worden gebruikt. Mitchell waarschuwt dat het "repareren" van het protocol zonder een formele beveiligingsbewijs waarschijnlijk zal leiden tot het behoud van subtiele fouten. De analyse van deze fouten kon binnen enkele uren worden voltooid, wat aangeeft dat het protocol niet grondig is onderzocht voordat het werd gepubliceerd.