論文の概要: Cryptographic Binding Should Not Be Optional: A Formal-Methods Analysis of FIDO UAF Channel Binding
- arxiv url: http://arxiv.org/abs/2511.06028v1
- Date: Sat, 08 Nov 2025 14:50:52 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-11-11 21:18:44.714557
- Title: Cryptographic Binding Should Not Be Optional: A Formal-Methods Analysis of FIDO UAF Channel Binding
- Title(参考訳): 暗号化バインディングはオプションではない:FIDO UAFチャネルバインディングの形式的解析
- Authors: Enis Golaszewski, Alan T. Sherman, Edward Zieglar, Jonathan D. Fuchs, Sophia Hamer,
- Abstract要約: 我々は,UAFのチャネルバインディングが,Dolev-Yao敵によるプロトコルの相互作用を軽減できないことを示す。
我々はeBayのオープンソースFIDO UAF実装に対する概念実証マン・イン・ザ・ミドル攻撃を実装した。
私たちが分析した弱点は、25年以上前にNeedham-Schroederプロトコルで発見された脆弱性に似ている。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/publicdomain/zero/1.0/
- Abstract: As a case study in cryptographic binding, we present a formal-methods analysis of the cryptographic channel binding mechanisms in the Fast IDentity Online (FIDO) Universal Authentication Framework (UAF) authentication protocol, which seeks to reduce the use of traditional passwords in favor of authentication devices. First, we show that UAF's channel bindings fail to mitigate protocol interaction by a Dolev-Yao adversary, enabling the adversary to transfer the server's authentication challenge to alternate sessions of the protocol. As a result, in some contexts, the adversary can masquerade as a client and establish an authenticated session with a server (e.g., possibly a bank server). Second, we implement a proof-of-concept man-in-the-middle attack against eBay's open source FIDO UAF implementation. Third, we propose and formally verify improvements to UAF. The weakness we analyze is similar to the vulnerability discovered in the Needham-Schroeder protocol over 25 years ago. That this vulnerability appears in the FIDO UAF standard highlights the strong need for protocol designers to bind messages properly and to analyze their designs with formal-methods tools. To our knowledge, we are first to carry out a formal-methods analysis of channel binding in UAF and first to exhibit details of an attack on UAF that exploits the weaknesses of UAF's channel binding. Our case study illustrates the importance of cryptographically binding context to protocol messages to prevent an adversary from misusing messages out of context.
- Abstract(参考訳): 本稿では,Fast IDentity Online (FIDO) Universal Authentication Framework (UAF) 認証プロトコルにおける暗号チャネルバインディング機構の形式的手法について述べる。
まず,UAF のチャネルバインディングが Dolev-Yao の敵によるプロトコルインタラクションを軽減できないことを示し,サーバの認証課題をプロトコルの代替セッションに転送できるようにする。
結果として、いくつかのコンテキストにおいて、敵はクライアントとしてマスクレーディングし、サーバ(例えば、銀行サーバー)との認証されたセッションを確立することができる。
第2に,eBayのオープンソースFIDO UAF実装に対する概念実証マン・イン・ザ・ミドル攻撃を実装した。
第3に、UAFの改良を正式に提案し、検証する。
私たちが分析した弱点は、25年以上前にNeedham-Schroederプロトコルで発見された脆弱性に似ている。
この脆弱性がFIDO UAF標準に現れることは、プロトコルデザイナがメッセージを適切にバインドし、フォーマルなメソッドツールで設計を分析することの強い必要性を強調している。
我々はまず,UAFにおけるチャネル結合の形式的手法解析を行い,UAFのチャネル結合の弱点を生かしたUAF攻撃の詳細を明らかにする。
ケーススタディでは、相手がコンテキスト外のメッセージを誤用しないように、暗号的にコンテキストをプロトコルメッセージに結び付けることが重要であることを示す。
関連論文リスト
- Formal Verification of Physical Layer Security Protocols for Next-Generation Communication Networks (extended version) [1.5997757408973357]
音響アニメーションを生成するIsabelle形式を用いたNeedham-Schroederプロトコルをモデル化する。
以上の結果から,すべてのシナリオにおいて信頼性が保たれていることが示唆された。
我々は、透かしとジャミングを統合したPLSベースのDiffie-Hellmanプロトコルを提案している。
論文 参考訳(メタデータ) (2025-08-26T20:59:16Z) - Cryptanalysis of LC-MUME: A Lightweight Certificateless Multi-User Matchmaking Encryption for Mobile Devices [0.0]
送信者の完全秘密鍵を所持することなく,Type-I 敵が有効なテキスト暗号を偽造できることを示す。
本稿では,モバイルコンピューティング環境におけるマッチング暗号方式のセキュリティを強化するための戦略を提案する。
論文 参考訳(メタデータ) (2025-07-30T13:36:52Z) - CryptoFormalEval: Integrating LLMs and Formal Verification for Automated Cryptographic Protocol Vulnerability Detection [41.94295877935867]
我々は,新たな暗号プロトコルの脆弱性を自律的に識別する大規模言語モデルの能力を評価するためのベンチマークを導入する。
私たちは、新しい、欠陥のある通信プロトコルのデータセットを作成し、AIエージェントが発見した脆弱性を自動的に検証する方法を設計しました。
論文 参考訳(メタデータ) (2024-11-20T14:16:55Z) - Excavating Vulnerabilities Lurking in Multi-Factor Authentication Protocols: A Systematic Security Analysis [2.729532849571912]
単一要素認証(SFA)プロトコルは、しばしばサイドチャネルや他の攻撃技術によってバイパスされる。
この問題を軽減するため,近年,MFAプロトコルが広く採用されている。
論文 参考訳(メタデータ) (2024-07-29T23:37:38Z) - EmInspector: Combating Backdoor Attacks in Federated Self-Supervised Learning Through Embedding Inspection [53.25863925815954]
フェデレートされた自己教師付き学習(FSSL)は、クライアントの膨大な量の未ラベルデータの利用を可能にする、有望なパラダイムとして登場した。
FSSLはアドバンテージを提供するが、バックドア攻撃に対する感受性は調査されていない。
ローカルモデルの埋め込み空間を検査し,悪意のあるクライアントを検知する埋め込み検査器(EmInspector)を提案する。
論文 参考訳(メタデータ) (2024-05-21T06:14:49Z) - A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。
本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。
実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
論文 参考訳(メタデータ) (2024-01-19T14:52:04Z) - DeFakePro: Decentralized DeepFake Attacks Detection using ENF
Authentication [66.2466055910145]
DeFakeProは、オンラインビデオ会議ツールにおけるコンセンサスメカニズムに基づくDeepfake検出技術である。
ENF信号のゆらぎの類似性は、PoENFアルゴリズムを用いて、会議ツールで放送されたメディアを認証する。
論文 参考訳(メタデータ) (2022-07-22T01:22:11Z) - Quantum Proofs of Deletion for Learning with Errors [91.3755431537592]
完全同型暗号方式として, 完全同型暗号方式を初めて構築する。
我々の主要な技術要素は、量子証明器が古典的検証器に量子状態の形でのLearning with Errors分布からのサンプルが削除されたことを納得させる対話的プロトコルである。
論文 参考訳(メタデータ) (2022-03-03T10:07:32Z) - Open-set Adversarial Defense [93.25058425356694]
オープンセット認識システムは敵攻撃に対して脆弱であることを示す。
本研究の目的は,OSAD(Open-Set Adrial Defense, Open-Set Adrial Defense)機構の必要性である。
本稿はOSAD問題に対する解決策として,OSDN(Open-Set Defense Network)を提案する。
論文 参考訳(メタデータ) (2020-09-02T04:35:33Z) - Breaking certified defenses: Semantic adversarial examples with spoofed
robustness certificates [57.52763961195292]
本稿では,分類器のラベル付け機能だけでなく,証明書生成機能を利用した新たな攻撃を提案する。
提案手法は, 画像がクラス境界から遠ざかる大きな摂動を, 対向例の不受容性を保ちながら適用する。
論文 参考訳(メタデータ) (2020-03-19T17:59:44Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。