本文介绍了安全协议分析工具Scyther、Scyther-Compromise和Tamarin,强调它们在攻击搜索、安全模型支持和协议分析上的特点。Scyther和Scyther-Compromise提供状态空间搜索,支持多协议并行分析,而Tamarin采用逆向搜索算法,支持更复杂的协议和代数运算。在选择工具时,需要考虑协议特性及分析需求。
Scyther软件是瑞士苏黎世大学 Cass Cremers开发的形式化分析工具,该工具对于无限会话以及无限状态集合的协议可以给出明确的终止,并且支持多协议的并行分析, Scyther系列的工具包括 Scyther 和Scyther-Compromise(在我得论文中使用的是 Scyther-Compromise ,但是作者分析TLS协议的时候使用Tamarin )该工具基于模型改进算法,对状态集合轨迹有着明确的描述,对于攻击搜索,角色的执行以及安全性证明有着巨大的帮助,Scyther系统工具的应用特点包括下面几个方面:
可以通过敌手能力组合方便的选择包括 eCK等强安全模型在内的安全模型、、、、、、支持协议的并行分析、、、、、
Tamarin是由 Simon Meier等人提出的,该工具利用 Scyther工具的逆向搜索算法,提供两种行为方式,全自动分析和人机交互模式,Tamarin基于多重集合改写规则描述协议流程,利用一阶漏记话协议消息和时间节点,从而实现对协议属性的描述,支持具有复杂控制流的协议或者具有非单调易变全局状态的协议,支持eCK等强安全模型,支持多种代数性质;加密解密运算、运算结合律、Diffe-Hellman幂运算以及双线对运算, Tamarin 被用于分析大量秘钥建立协议,尤其是对带有循环结构普和易变全局变量的协议,如 TESLA协议,YubiKey协议和 YubiHSM协议。
Scyther、Scyther-Compromise以及 Tamarin 工具攻击输出均为攻击流程图,并且三者在攻击搜索时间上差别不大,这是因为 Scyther和 Scyther-Compromise使用
最低0.47元/天 解锁文章
扫一扫
1208
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
