Nº : 1

Título del Articulo An improved three party authenticated key exchange protocol using hash
function and elliptic curve cryptography for mobile-commerce environments
Revista y/o evento Journal of King Saud University - Computer and Information Sciences, Volume
29, 311-324.
Año 2017
Autores S.K. Hafizul Islam, Ruhul Amin, G.P. Biswas, Mohammad Sabzinejad Farash,
Xiong Li, Saru Kumari
Universidad o King Saud University
Institución
Referencia APA S.K. Hafizul Islam, Ruhul Amin, G.P. Biswas, Mohammad Sabzinejad Farash,
Xiong Li y Saru Kumari. (Julio de 2017). An improved three party authenticated
key exchange protocol using hash function and elliptic curve cryptography for
mobile-commerce environments. Computer and Information Sciences.
Recuperado de
https://www.sciencedirect.com/science/article/pii/S1319157815000 828
Palabras Claves

Elliptic curve cryptography; Authenticated key exchange protocol; Man-in-the-middle attack; Mobile-
commerce environments

Resumen
Existen muchos protocolos de intercambio de claves autenticadas, los que constan de tres partes se
conocen como 3PAKE (Three-Party Key Exchange Protocol). Este protocolo tiene varias versiones, en
2009 se propuso una versión donde se mejoraron características de seguridad, y rendimiento de
versiones anteriores, además de implementar criptografía con curva elíptica (ECC). Posteriormente se
demostró que este protocolo es potencialmente vulnerable a un ataque de hombre en medio (man-in-
the-middle), suplantación o clave compartida con desconocido (unknown key-share attack). En este
artículo se identifican para esta versión del protocolo los principales problemas y vulnerabilidades de
seguridad, principalmente enfocadas en un entorno de comercio móvil. Estos problemas son:
- Ataque de información temporal especifica de sesión conocida: Bajo específicas condiciones, el
protocolo no resiste un ataque de este tipo, y es posible que el atacante conozca las claves de los
clientes.
- Problema de sincronización del reloj: Algunas versiones de 3PAKE, utilizan marcas de tiempo para
detectar retrasos forzados y protegerse de ataque de repetición y hombre en medio, estas versiones
no son adecuadas para uso en grandes redes, debido a que no puede conocerse el retraso exacto, el
protocolo no funcionaría correctamente, por lo que no serían las más óptimas para un entorno de
comercio móvil.
- Alto costo en procesamiento: Se observa que este protocolo requiere una gran cantidad de tiempo de
procesamiento en comunicación, los clientes deben dedicar más tiempo a establecer una clave de
sesión en común, lo que no es conveniente en entornos de comercio móvil.

Con la nueva propuesta del protocolo implementa algunos cambios, principalmente los autores utilizan
para función de cifrado / descifrado una función hash liviana para reducir el costo de procesamiento,
además esta versión, para un ejemplo de dos clientes y un servidor, establece la comunicación segura
en 3 pasos, en donde cada máquina ejecuta una serie de instrucciones específicas para este propósito.

Utilizando la herramienta de software AVISPA, realizan simulaciones, en donde prueban 12 distintas

formas de ataques en los que se intentan explotar las vulnerabilidades antes mencionadas, con 6
versiones del protocolo 3PAKE, incluyendo la propuesta por los autores. Los resultados muestran las
versiones anteriores a la propuesta por los autores, no resisten todos los ataques, en especial el ataque
de información temporal específica de sesión conocida, en donde todas fallan. La versión de los autores
sale victoriosa en las 12 pruebas.
En cuanto al análisis de rendimiento, los resultados muestran que las versiones que utilizan cifrado
asimétrico son las que más tiempo consumen, las que usan cifrado asimétrico fueron 100 veces más
rápidas que las de uso asimétrico, y las que utilizan la función hash fueron 10 veces más rápidas que las
que utilizan cifrado simétrico.
Aunque esta versión cuenta con notables mejoras tanto en seguridad como en consumo de
procesamiento, aún no es la adecuada para el entorno de comercio móvil, debido a que existen otros
factores que pueden aumentar el costo de cómputo, por lo que los autores intentaran realizar mejoras
para conseguir una versión estable que cumpla con esta característica.

Herramientas Utilizadas

- Herramienta de Software AVISPA: herramienta de simulación ampliamente aceptada para la

verificación de seguridad formal, que mide si el protocolo de seguridad es SEGURO o NO SEGURO.
- Software MATLAB: Software utilizado para pruebas de rendimiento.

Comentarios

El artículo toca un asunto importante para la comunicación segura con dispositivos móviles, seguridad
y rendimiento. Además de especificar las fallas y fortalezas de los protocolos de seguridad para el
intercambio de claves entre los clientes participantes en la comunicación.

Valoración (1-5) 4