WikiDer > MQV

MQV

MQV (Менезеш – Ку – Ванстон) является аутентифицированный протокол для ключевое соглашение на основе Диффи – Хеллмана схема. Как и другие схемы Диффи – Хеллмана с аутентификацией, MQV обеспечивает защиту от активного злоумышленника. Протокол может быть изменен для работы в произвольном конечная группа, и, в частности, эллиптическая кривая группы, где он известен как эллиптическая кривая MQV (ECMQV).

MQV изначально был предложен Альфред Менезес, Минхуа Цюй и Скотт Ванстон в 1995 году. В 1998 году он был модифицирован Ло и Солинасом.[нужна цитата][сомнительный ] Есть одно-, двух- и трехходовые варианты.

MQV включен в стандарт открытых ключей IEEE P1363 и стандарт NIST SP800-56A.[1]

Некоторые варианты MQV заявлены в патентах, переданных Certicom.

ECMQV был исключен из Агентства национальной безопасности Люкс B набор криптографических стандартов.

Описание

У Алисы есть пара ключей с участием ее открытый ключ и ее закрытый ключ, а у Боба пара ключей с участием его открытый ключ и его закрытый ключ.

В следующих имеет следующее значение. Позволять - точка на эллиптической кривой. потом где и это порядок используемой точки генератора . Так первые L биты первой координаты .

ШагОперация
1Алиса генерирует пару ключей путем случайного генерирования и расчет с участием точка на эллиптической кривой.
2Боб генерирует пару ключей так же, как Алиса.
3Теперь Алиса вычисляет по модулю и отправляет Бобу.
4Боб вычисляет по модулю и отправляет Алисе.
5Алиса считает и Боб вычисляет где является кофактором (см. Криптография на эллиптических кривых: параметры домена).
6Сообщение секрета Был успешен. Ключ для алгоритм с симметричным ключом может быть получено из .

Примечание: чтобы алгоритм был безопасным, необходимо выполнить некоторые проверки. См. Hankerson et al.

Правильность

Боб вычисляет:

Алиса вычисляет:

Итак, общие секреты действительно то же самое с

MQV против HMQV

Исходный протокол MQV не включает идентификаторы пользователей взаимодействующих сторон в потоки обмена ключами. Идентификационные данные пользователей включаются только в последующий процесс явного подтверждения ключа. Однако явное подтверждение ключа не является обязательным в MQV (и в IEEE P1363 Технические характеристики). В 2001 году Калиски представил неизвестную атаку с разделением ключей, в которой использовались отсутствующие идентификаторы в протоколе обмена ключами MQV.[2] Атака работает против MQV с неявной аутентификацией, не имеющего явного подтверждения ключа. В этой атаке пользователь устанавливает сеансовый ключ с другим пользователем, но его обманывают, заставляя полагать, что он делится ключом с другим пользователем. В 2006 году Менезеш и Устаоглу предложили противодействовать этой атаке, включив идентификационные данные пользователей в функцию получения ключей в конце обмена ключами MQV.[3] Явный процесс подтверждения ключа остается необязательным.

В 2005 году Кравчик предложил хэш-вариант MQV, названный HMQV.[4] Протокол HMQV был разработан для защиты от атаки Калиски (без обязательного явного подтверждения ключа) с дополнительными целями достижения доказуемой безопасности и повышения эффективности. HMQV внесла в MQV три изменения:

  1. Включение идентификаторов пользователей в потоки обмена ключами: в частности, разрешение и где и являются тождествами Алисы и Боба соответственно.
  2. Отмена обязательного требования в MQV о том, что центр сертификации (ЦС) должен проверять подтверждение владения закрытым ключом пользователя во время регистрации открытого ключа. В HMQV CA просто нужно проверить, что представленный открытый ключ не равен 0 или 1.
  3. Удаление обязательного требования в MQV о том, что пользователь должен проверять, является ли полученный эфемерный открытый ключ действительным открытым ключом (так называемая проверка открытого ключа). В HMQV пользователю просто нужно проверить, что полученный эфемерный открытый ключ не равен 0 или 1.

HMQV утверждает, что превосходит MQV по производительности, поскольку не требует операций в 2) и 3) выше, которые являются обязательными в MQV. Документ HMQV предоставляет «формальные доказательства безопасности», подтверждающие, что отказ от этих операций безопасен.

В 2005 году Менезес впервые представил атаку с ограничением подгруппы против HMQV.[5] Эта атака использует точное отсутствие проверок открытых ключей в 2) и 3). Он показывает, что при взаимодействии с активным злоумышленником протокол HMQV приводит к утечке информации о долгосрочном закрытом ключе пользователя, и в зависимости от базовой настройки криптографической группы злоумышленник может восстановить весь закрытый ключ. Менезес предложил противодействовать этой атаке, по крайней мере, обязав проверки открытых ключей в пунктах 2) и 3).

В 2006 году, в ответ на атаку Менезеша, Кравчик пересмотрел HMQV в представление согласно IEEE P1363 (входит в IEEE P1363 D1-предварительный проект). Однако вместо того, чтобы проверять долгосрочные и эфемерные открытые ключи в пунктах 2) и 3), соответственно, как две отдельные операции, Кравчик предложил проверять их вместе в одной комбинированной операции во время процесса обмена ключами. Это сэкономит деньги. С помощью комбинированной проверки открытого ключа атака Менезеса будет предотвращена. Пересмотренный HMQV все еще может претендовать на более высокую эффективность, чем MQV.

В 2010 году Хао представил две атаки на обновленный HMQV (как указано в предварительном проекте IEEE P1363 D1).[6] Первая атака использует тот факт, что HMQV позволяет регистрировать любую строку данных, кроме 0 и 1, как долгосрочный открытый ключ. Следовательно, небольшой элемент подгруппы может быть зарегистрирован как «открытый ключ». Зная этот «открытый ключ», пользователь может пройти все этапы проверки в HMQV и в конце будет полностью «аутентифицирован». Это противоречит общепринятому пониманию того, что «аутентификация» в протоколе обмена аутентифицированными ключами определяется на основе доказательства знания секретного ключа. В этом случае пользователь "аутентифицирован", но не имеет закрытого ключа (на самом деле закрытого ключа не существует). Эта проблема не применима к MQV. Вторая атака использует режим самосвязи, который явно поддерживается в HMQV, чтобы позволить пользователю общаться с самим собой, используя один и тот же сертификат открытого ключа. В этом режиме показано, что HMQV уязвим для неизвестной атаки с использованием общего ключа. Чтобы противостоять первой атаке, Хао предложил выполнять проверки открытых ключей в пунктах 2) и 3) отдельно, как первоначально предложил Менезес. Однако это изменение уменьшит преимущества эффективности HMQV по сравнению с MQV. Чтобы противостоять второй атаке, Хао предложил включить дополнительные идентификаторы, чтобы различать копии себя, или отключить режим самосвязи.

Две атаки Хао обсуждались членами рабочей группы IEEE P1363 в 2010 году. Однако единого мнения о том, как следует пересмотреть HMQV, не было. В результате спецификация HMQV в предварительном проекте IEEE P1363 D1 осталась неизменной, но с тех пор стандартизация HMQV в IEEE P1363 остановилась.[нужна цитата]

Смотрите также

использованная литература

  1. ^ Баркер, Элейн; Чен, Лили; Рогинский, Аллен; Смид, Майлз (2013). «Рекомендации по схемам создания парных ключей с использованием криптографии с дискретным логарифмом». Дои:10.6028 / NIST.SP.800-56Ar2. Получено 15 апреля 2018. Цитировать журнал требует | журнал = (Помогите)
  2. ^ Калиски, Бертон С., младший (август 2001 г.). «Неизвестная атака с использованием совместного использования ключа на протокол согласования ключей MQV». ACM-транзакции по информационной и системной безопасности. 4 (3): 275–288. Дои:10.1145/501978.501981. ISSN 1094-9224.
  3. ^ Менезеш, Альфред; Устаоглу, Беркант (11.12.2006). О важности проверки открытого ключа в протоколах согласования ключей MQV и HMQV. Прогресс в криптологии - INDOCRYPT 2006. Конспект лекций по информатике. Шпрингер, Берлин, Гейдельберг. С. 133–147. Дои:10.1007/11941378_11. HDL:11147/4782. ISBN 9783540497677.
  4. ^ Кравчик, Х. (2005). «HMQV: высокопроизводительный безопасный протокол Диффи – Хеллмана». Достижения в криптологии - CRYPTO 2005. Конспект лекций по информатике. 3621. С. 546–566. Дои:10.1007/11535218_33. ISBN 978-3-540-28114-6.
  5. ^ Менезеш, Альфред (01.01.2007). «Еще один взгляд на HMQV». Математическая криптология. 1 (1). Дои:10.1515 / jmc.2007.004. ISSN 1862-2984.
  6. ^ Ф. Хао, О согласовании надежного ключа на основе аутентификации с открытым ключом. Материалы 14-й Международной конференции по финансовой криптографии и безопасности данных, Тенерифе, Испания, LNCS 6052, стр. 383–390, январь 2010 г.

Список используемой литературы

внешние ссылки