WikiDer > MQV
MQV (Менезеш – Ку – Ванстон) является аутентифицированный протокол для ключевое соглашение на основе Диффи – Хеллмана схема. Как и другие схемы Диффи – Хеллмана с аутентификацией, MQV обеспечивает защиту от активного злоумышленника. Протокол может быть изменен для работы в произвольном конечная группа, и, в частности, эллиптическая кривая группы, где он известен как эллиптическая кривая MQV (ECMQV).
MQV изначально был предложен Альфред Менезес, Минхуа Цюй и Скотт Ванстон в 1995 году. В 1998 году он был модифицирован Ло и Солинасом.[нужна цитата][сомнительный ] Есть одно-, двух- и трехходовые варианты.
MQV включен в стандарт открытых ключей IEEE P1363 и стандарт NIST SP800-56A.[1]
Некоторые варианты MQV заявлены в патентах, переданных Certicom.
ECMQV был исключен из Агентства национальной безопасности Люкс B набор криптографических стандартов.
Описание
У Алисы есть пара ключей с участием ее открытый ключ и ее закрытый ключ, а у Боба пара ключей с участием его открытый ключ и его закрытый ключ.
В следующих имеет следующее значение. Позволять - точка на эллиптической кривой. потом где и это порядок используемой точки генератора . Так первые L биты первой координаты .
Шаг | Операция |
---|---|
1 | Алиса генерирует пару ключей путем случайного генерирования и расчет с участием точка на эллиптической кривой. |
2 | Боб генерирует пару ключей так же, как Алиса. |
3 | Теперь Алиса вычисляет по модулю и отправляет Бобу. |
4 | Боб вычисляет по модулю и отправляет Алисе. |
5 | Алиса считает и Боб вычисляет где является кофактором (см. Криптография на эллиптических кривых: параметры домена). |
6 | Сообщение секрета Был успешен. Ключ для алгоритм с симметричным ключом может быть получено из . |
Примечание: чтобы алгоритм был безопасным, необходимо выполнить некоторые проверки. См. Hankerson et al.
Правильность
Боб вычисляет:
Алиса вычисляет:
Итак, общие секреты действительно то же самое с
MQV против HMQV
Исходный протокол MQV не включает идентификаторы пользователей взаимодействующих сторон в потоки обмена ключами. Идентификационные данные пользователей включаются только в последующий процесс явного подтверждения ключа. Однако явное подтверждение ключа не является обязательным в MQV (и в IEEE P1363 Технические характеристики). В 2001 году Калиски представил неизвестную атаку с разделением ключей, в которой использовались отсутствующие идентификаторы в протоколе обмена ключами MQV.[2] Атака работает против MQV с неявной аутентификацией, не имеющего явного подтверждения ключа. В этой атаке пользователь устанавливает сеансовый ключ с другим пользователем, но его обманывают, заставляя полагать, что он делится ключом с другим пользователем. В 2006 году Менезеш и Устаоглу предложили противодействовать этой атаке, включив идентификационные данные пользователей в функцию получения ключей в конце обмена ключами MQV.[3] Явный процесс подтверждения ключа остается необязательным.
В 2005 году Кравчик предложил хэш-вариант MQV, названный HMQV.[4] Протокол HMQV был разработан для защиты от атаки Калиски (без обязательного явного подтверждения ключа) с дополнительными целями достижения доказуемой безопасности и повышения эффективности. HMQV внесла в MQV три изменения:
- Включение идентификаторов пользователей в потоки обмена ключами: в частности, разрешение и где и являются тождествами Алисы и Боба соответственно.
- Отмена обязательного требования в MQV о том, что центр сертификации (ЦС) должен проверять подтверждение владения закрытым ключом пользователя во время регистрации открытого ключа. В HMQV CA просто нужно проверить, что представленный открытый ключ не равен 0 или 1.
- Удаление обязательного требования в MQV о том, что пользователь должен проверять, является ли полученный эфемерный открытый ключ действительным открытым ключом (так называемая проверка открытого ключа). В HMQV пользователю просто нужно проверить, что полученный эфемерный открытый ключ не равен 0 или 1.
HMQV утверждает, что превосходит MQV по производительности, поскольку не требует операций в 2) и 3) выше, которые являются обязательными в MQV. Документ HMQV предоставляет «формальные доказательства безопасности», подтверждающие, что отказ от этих операций безопасен.
В 2005 году Менезес впервые представил атаку с ограничением подгруппы против HMQV.[5] Эта атака использует точное отсутствие проверок открытых ключей в 2) и 3). Он показывает, что при взаимодействии с активным злоумышленником протокол HMQV приводит к утечке информации о долгосрочном закрытом ключе пользователя, и в зависимости от базовой настройки криптографической группы злоумышленник может восстановить весь закрытый ключ. Менезес предложил противодействовать этой атаке, по крайней мере, обязав проверки открытых ключей в пунктах 2) и 3).
В 2006 году, в ответ на атаку Менезеша, Кравчик пересмотрел HMQV в представление согласно IEEE P1363 (входит в IEEE P1363 D1-предварительный проект). Однако вместо того, чтобы проверять долгосрочные и эфемерные открытые ключи в пунктах 2) и 3), соответственно, как две отдельные операции, Кравчик предложил проверять их вместе в одной комбинированной операции во время процесса обмена ключами. Это сэкономит деньги. С помощью комбинированной проверки открытого ключа атака Менезеса будет предотвращена. Пересмотренный HMQV все еще может претендовать на более высокую эффективность, чем MQV.
В 2010 году Хао представил две атаки на обновленный HMQV (как указано в предварительном проекте IEEE P1363 D1).[6] Первая атака использует тот факт, что HMQV позволяет регистрировать любую строку данных, кроме 0 и 1, как долгосрочный открытый ключ. Следовательно, небольшой элемент подгруппы может быть зарегистрирован как «открытый ключ». Зная этот «открытый ключ», пользователь может пройти все этапы проверки в HMQV и в конце будет полностью «аутентифицирован». Это противоречит общепринятому пониманию того, что «аутентификация» в протоколе обмена аутентифицированными ключами определяется на основе доказательства знания секретного ключа. В этом случае пользователь "аутентифицирован", но не имеет закрытого ключа (на самом деле закрытого ключа не существует). Эта проблема не применима к MQV. Вторая атака использует режим самосвязи, который явно поддерживается в HMQV, чтобы позволить пользователю общаться с самим собой, используя один и тот же сертификат открытого ключа. В этом режиме показано, что HMQV уязвим для неизвестной атаки с использованием общего ключа. Чтобы противостоять первой атаке, Хао предложил выполнять проверки открытых ключей в пунктах 2) и 3) отдельно, как первоначально предложил Менезес. Однако это изменение уменьшит преимущества эффективности HMQV по сравнению с MQV. Чтобы противостоять второй атаке, Хао предложил включить дополнительные идентификаторы, чтобы различать копии себя, или отключить режим самосвязи.
Две атаки Хао обсуждались членами рабочей группы IEEE P1363 в 2010 году. Однако единого мнения о том, как следует пересмотреть HMQV, не было. В результате спецификация HMQV в предварительном проекте IEEE P1363 D1 осталась неизменной, но с тех пор стандартизация HMQV в IEEE P1363 остановилась.[нужна цитата]
Смотрите также
использованная литература
- ^ Баркер, Элейн; Чен, Лили; Рогинский, Аллен; Смид, Майлз (2013). «Рекомендации по схемам создания парных ключей с использованием криптографии с дискретным логарифмом». Дои:10.6028 / NIST.SP.800-56Ar2. Получено 15 апреля 2018. Цитировать журнал требует
| журнал =
(Помогите) - ^ Калиски, Бертон С., младший (август 2001 г.). «Неизвестная атака с использованием совместного использования ключа на протокол согласования ключей MQV». ACM-транзакции по информационной и системной безопасности. 4 (3): 275–288. Дои:10.1145/501978.501981. ISSN 1094-9224.
- ^ Менезеш, Альфред; Устаоглу, Беркант (11.12.2006). О важности проверки открытого ключа в протоколах согласования ключей MQV и HMQV. Прогресс в криптологии - INDOCRYPT 2006. Конспект лекций по информатике. Шпрингер, Берлин, Гейдельберг. С. 133–147. Дои:10.1007/11941378_11. HDL:11147/4782. ISBN 9783540497677.
- ^ Кравчик, Х. (2005). «HMQV: высокопроизводительный безопасный протокол Диффи – Хеллмана». Достижения в криптологии - CRYPTO 2005. Конспект лекций по информатике. 3621. С. 546–566. Дои:10.1007/11535218_33. ISBN 978-3-540-28114-6.
- ^ Менезеш, Альфред (01.01.2007). «Еще один взгляд на HMQV». Математическая криптология. 1 (1). Дои:10.1515 / jmc.2007.004. ISSN 1862-2984.
- ^ Ф. Хао, О согласовании надежного ключа на основе аутентификации с открытым ключом. Материалы 14-й Международной конференции по финансовой криптографии и безопасности данных, Тенерифе, Испания, LNCS 6052, стр. 383–390, январь 2010 г.
Список используемой литературы
- Калиски, Б.С., младший (2001). «Неизвестная атака с использованием совместного использования ключа на протокол согласования ключей MQV». ACM-транзакции по информационной и системной безопасности. 4 (3): 275–288. Дои:10.1145/501978.501981.
- Закон, L .; Менезеш, А.; Qu, M .; Solinas, J .; Ванстон, С. (2003). «Эффективный протокол для аутентифицированного ключевого соглашения». Des. Коды криптографии. 28 (2): 119–134. Дои:10.1023 / А: 1022595222606.
- Leadbitter, P.J .; Смарт, Н. П. (2003). «Анализ незащищенности ECMQV с частично известными одноразовыми номерами». Информационной безопасности. 6-я Международная конференция, ISC 2003, Бристоль, Великобритания, 1–3 октября 2003 г. Труды. Конспект лекций по информатике. 2851. С. 240–251. Дои:10.1007/10958513_19. ISBN 978-3-540-20176-2.
- Менезеш, Альфред Дж .; Цюй, Минхуа; Ванстон, Скотт А. (2005). Некоторые новые протоколы согласования ключей, обеспечивающие неявную аутентификацию (PDF). 2-й семинар по избранным областям криптографии (SAC '95). Оттава, Канада. С. 22–32.
- Hankerson, D .; Ванстон, С.; Менезеш, А. (2004). Руководство по криптографии с эллиптическими кривыми. Springer Professional Computing. Нью-Йорк: Springer. CiteSeerX 10.1.1.331.1248. Дои:10.1007 / b97644. ISBN 978-0-387-95273-4.
внешние ссылки
- Безопасный и эффективный протокол Диффи – Хеллмана с проверкой подлинности от Сарра, Эльбаза-Винсента и Бахарда
- HMQV: высокопроизводительный безопасный протокол Диффи – Хеллмана, автор Хьюго Кравчик
- Еще один взгляд на HMQV
- Эффективный протокол для согласования аутентифицированного ключа
- MQV и HMQV в IEEE P1363 (точка питания)