Il protocollo Station-to-Station (STS) è un protocollo crittografico per lo scambio di chiavi con autenticazione (authenticated key exchange, AKE). È una variante dello scambio di chiavi Diffie-Hellman, il quale è debole contro un attacco del tipo man-in-the-middle, dove un terzo utente si interpone nella conversazione e finge di essere il rispettivo interlocutore con entrambi i soggetti. Ideato da Whitfield Diffie, Paul C. van Oorschot e Michael J. Wiener, il protocollo venne originariamente presentato al 1987 International Switching Symposium (ISS87) e successivamente pubblicato in Diffie et. al nel 1992. Questo metodo fornisce autenticazione tramite l'uso di firma digitale e certificati digitali.
La seguente descrizione prevede l'operazione di esponenziazione alla base dello scambio di chiavi, come da scambio Diffie-Hellman originale. Tuttavia, il metodo può essere modificato per funzionare, ad esempio, con crittografia a crittografia ellittica.
- Entrambe le parti devono avere una coppia di chiavi crittografiche (pubblica e privata) per potersi autenticare.
- Bisogna inoltre generare i parametri necessari a stabilire la chiave comune: un gruppo ciclico e un generatore per tale gruppo. Questi parametri possono essere pubblici. Per una maggiore sicurezza, ciascuna parte può stabilire i suoi parametri.[1]
Segue la versione base del protocollo. Se un passo non può essere completato, il protocollo viene interrotto. Tutte le operazioni di esponenziazione appartengono al gruppo .
- Alice genera un numero casuale e calcola e invia a Bob.
- Bob genera un numero casuale e calcola .
- Bob calcola la chiave segreta .
- Bob concatena le due potenze (l'ordine è importante), le firma con la sua chiave privata , e cifra il tutto con la chiave segreta . Invia il testo cifrato assieme alla potenza ad Alice.
- Alice calcola la chiave segreta .
- Alice decifra la parte restante del messaggio di Bob ed effettua la verifica tramite la chiave pubblica di Bob.
- Alice concatena le due potenze (l'ordine è importante), le firma con la sua chiave privata , e cifra il tutto con la chiave segreta . Invia il testo cifrato a Bob.
- Bob decifra il messaggio di Alice ed effettua la verifica tramite la chiave pubblica di Alice.
Ora Alice e Bob sono mutuamente autenticati e posseggono una chiave segreta. Tale segreto, , può essere usato per successive comunicazioni.
Questa versione del protocollo può essere formalizzata come segue:
- Alice → Bob :
- Alice ← Bob :
- Alice → Bob :
- W. Diffie, The first ten years of public-key cryptography, in Proceedings of the IEEE, vol. 76, n. 5, IEEE, 1988, pp. 560–577, DOI:10.1109/5.4442.
- W. Diffie, P. C. van Oorschot e M. J. Wiener, Authentication and Authenticated Key Exchanges, in Designs, Codes and Cryptography, vol. 2, n. 2, Kluwer Academic Publishers, 1992, pp. 107–125, DOI:10.1007/BF00124891.
- A. Menezes, P. C. van Oorschot e S. Vanstone, Handbook of Applied Cryptography, CRC Press, 1997, pp. 519–520.
- S. Blake-Wilson e A. Menezes, Unknown Key-Share Attacks on the Station-to-Station (STS) Protocol, in Public Key Cryptography, Lecture Notes in Computer Science, vol. 1560, Springer, 1999, pp. 154–170.