ЯК (криптография)

YAK . с аутентификацией открытого ключа — это протокол согласования ключей , предложенный Фэн Хао в 2010 году ^{[1] [2]} Утверждается, что это самый простой протокол обмена ключами с аутентификацией среди родственных схем, включая MQV , HMQV, протокол между станциями , SSL / TLS и т. д. Аутентификация основана на парах открытых ключей. Как и в случае с другими протоколами, YAK обычно требует инфраструктуры открытых ключей для распространения подлинных открытых ключей взаимодействующим сторонам. Безопасность ЯК оспаривается (см. ниже и страницу обсуждения ).

Две стороны, Алиса и Боб, договариваются о группе. ${\displaystyle G}$ с генератором ${\displaystyle g}$ высшего порядка ${\displaystyle q}$ в котором проблема дискретного журнала сложна. Обычно группа Шнорра используется . В общем, YAK может использовать любую группу простого порядка, подходящую для криптографии с открытым ключом, включая криптографию на эллиптических кривых . Позволять ${\displaystyle g^{a}}$ быть долгосрочным открытым ключом Алисы и ${\displaystyle g^{b}}$ быть Бобом. Протокол выполняется за один раунд :

Алиса выбирает ${\displaystyle x\in _{\text{R}}[0,q-1]}$ и отправляет ${\displaystyle g^{x}}$ вместе с доказательством с нулевым разглашением (с использованием, например, неинтерактивного доказательства с нулевым разглашением Шнорра, как описано в RFC 8235) для доказательства показателя степени ${\displaystyle x}$. Аналогично Боб выбирает ${\displaystyle y\in _{\text{R}}[0,q-1]}$ и отправляет ${\displaystyle g^{y}}$ вместе с доказательством с нулевым разглашением для доказательства показателя степени ${\displaystyle y}$. Здесь обозначение ${\displaystyle \in _{\text{R}}}$ обозначает элемент, выбранный случайно с равномерной вероятностью .

Вышеупомянутое общение может быть завершено за один раунд, поскольку ни одна из сторон не зависит от другой. Когда он закончится, Алиса и Боб проверяют полученные доказательства с нулевым разглашением . Затем Алиса вычисляет ${\displaystyle K=(g^{y}g^{b})^{x+a}=g^{(x+a)(y+b)}}$. Аналогично Боб вычисляет ${\displaystyle K=(g^{x}g^{a})^{y+b}=g^{(x+a)(y+b)}}$. С тем же ключевым материалом ${\displaystyle K}$Алиса и Боб могут получить сеансовый ключ, используя криптографическую хэш-функцию : ${\displaystyle \kappa =H(K)}$.

Использование хорошо зарекомендовавших себя примитивов доказательства с нулевым разглашением, таких как схема Шнорра, значительно упрощает доказательства безопасности. Учитывая, что базовый примитив доказательства с нулевым разглашением безопасен, протокол YAK стремится удовлетворить следующие свойства. ^[2]

1. Безопасность закрытого ключа . Злоумышленник не может узнать статический закрытый ключ пользователя, даже если он может узнать все секреты, специфичные для сеанса, в любом скомпрометированном сеансе.
2. Прямая секретность . Ключи сеанса, которые были надежно установлены в прошлых неповрежденных сеансах, останутся невычислимыми в будущем, даже если статические закрытые ключи обоих пользователей будут раскрыты.
3. Безопасность сеансового ключа . Злоумышленник не может вычислить сеансовый ключ, если он выдает себя за пользователя, но не имеет доступа к его закрытому ключу.

Заявления о безопасности в оригинальном документе ЯК ^[2] основаны на вычислительном предположении Диффи-Хеллмана в модели случайного оракула .

В 2015 году Турани упомянул, что «протоколу YAK не хватает совместного управления ключами и совершенных атрибутов прямой секретности, и он уязвим для некоторых атак, включая неизвестные атаки с использованием совместного использования ключей и репликацию ключей». ^[3] на что у Хао другое мнение. ^[4]

В 2020 году Мохаммед упомянул, что протокол YAK не может противостоять атаке на безопасность с известным ключом, что приводит к новой атаке с компрометацией ключа, при которой злоумышленнику разрешено раскрыть как общий статический секретный ключ между двумя сторонами, так и эфемерный закрытый ключ инициатора. Автор также предложил улучшенный протокол для устранения этих атак и предыдущих атак, упомянутых Турани на протокол YAK, и предлагаемый протокол использует механизм проверки, который обеспечивает аутентификацию объекта и подтверждение ключа. Автор показал, что предложенный протокол безопасен в предложенной формальной модели безопасности при условии разрыва Диффи-Хеллмана и предположения случайного оракула. Более того, безопасность предложенного протокола и атаки на протокол YAK были проверены инструментом Scyther. ^[5] Статья Мохаммеда обсуждается на странице обсуждения .