MQV

MQV ( Menezes-Qu-Vanstone ) — это аутентифицированный протокол для согласования ключей, основанный на схеме Диффи-Хеллмана . Как и другие схемы Диффи-Хеллмана с аутентификацией, MQV обеспечивает защиту от активного злоумышленника. Протокол можно модифицировать для работы в произвольной конечной группе и, в частности, в группах эллиптических кривых , где он известен как эллиптическая кривая MQV (ECMQV) .

Первоначально MQV был предложен Альфредом Менезесом , Мингхуа Цюй и Скоттом Ванстоном в 1995 году. Позже он был модифицирован в совместной работе с Лори Лоу и Джерри Солинасом. ^[1] Существуют одно-, двух- и трехпроходные варианты.

MQV включен в стандарт открытых ключей IEEE P1363 и стандарт NIST SP800-56A. ^[2]

Некоторые варианты MQV заявлены в патентах, переданных Certicom .

ECMQV исключен из Suite B набора криптографических стандартов Агентства национальной безопасности.

Описание [ править ]

У Алисы есть пара ключей $(A,a)$ с $A$ ее открытый ключ и $a$ ее личный ключ, а у Боба есть пара ключей $(B,b)$ с $B$ его открытый ключ и $b$ его личный ключ.

В следующем ${\bar {R}}$ имеет следующий смысл. Позволять $R=(x,y)$ быть точкой эллиптической кривой. Затем ${\bar {R}}=(x\,{\bmod {\,}}2^{L})+2^{L}$ где $L=\left\lceil {\frac {\lfloor \log _{2}n\rfloor +1}{2}}\right\rceil$ и $n$ это порядок используемой точки генератора $P$ . Так ${\bar {R}}$ — это первые L бит первой координаты $R$ .

Шаг	Операция
1	Алиса генерирует пару ключей $(X,x)$ путем генерации случайным образом $x$ и расчет $X=xP$ с $P$ точка на эллиптической кривой.
2	Боб генерирует пару ключей $(Y,y)$ точно так же, как Алиса.
3	Теперь Алиса вычисляет $S_{a}=x+{\bar {X}}a$ модуль $n$ и отправляет $X$ Бобу.
4	Боб вычисляет $S_{b}=y+{\bar {Y}}b$ модуль $n$ и отправляет $Y$ к Алисе.
5	Алиса вычисляет $K=h\cdot S_{a}(Y+{\bar {Y}}B)$ и Боб вычисляет $K=h\cdot S_{b}(X+{\bar {X}}A)$ где $h$ является кофактором (см. Криптография эллиптических кривых: параметры домена ).
6	Сообщение тайны $K$ прошел успешно. Ключ для алгоритма с симметричным ключом можно получить из $K$ .

Примечание: для обеспечения безопасности алгоритма необходимо выполнить некоторые проверки. См. Ханкерсон и др.

Корректность [ править ]

Боб подсчитывает: $K=h\cdot S_{b}(X+{\bar {X}}A)=h\cdot S_{b}(xP+{\bar {X}}aP)=h\cdot S_{b}(x+{\bar {X}}a)P=h\cdot S_{b}S_{a}P$

Алиса подсчитывает: $K=h\cdot S_{a}(Y+{\bar {Y}}B)=h\cdot S_{a}(yP+{\bar {Y}}bP)=h\cdot S_{a}(y+{\bar {Y}}b)P=h\cdot S_{b}S_{a}P$

Итак, общие секреты $K$ действительно одинаковы с $K=h\cdot S_{b}S_{a}P$

MQV против HMQV [ править ]

Исходный протокол MQV не включает идентификаторы пользователей взаимодействующих сторон в потоки обмена ключами. Идентификаторы пользователей включаются только в последующий процесс явного подтверждения ключа. Однако явное подтверждение ключа не является обязательным в MQV (и в спецификации IEEE P1363 ). В 2001 году Калиски представил неизвестную атаку с использованием совместного использования ключей, в которой использовались недостающие идентификаторы в протоколе обмена ключами MQV. ^[3] Атака работает против неявно аутентифицированного MQV, который не имеет явного подтверждения ключа. В ходе этой атаки пользователь устанавливает сеансовый ключ с другим пользователем, но его обманом заставляют поверить, что он разделяет этот ключ с другим пользователем. В 2006 году Менезеш и Устаоглу предложили противостоять этой атаке, включив идентификационные данные пользователей в функцию получения ключей в конце обмена ключами MQV. ^[4] Процесс явного подтверждения ключа остается необязательным.

В 2005 году Кравчик предложил хеш-вариант MQV, названный HMQV. ^[5] Протокол HMQV был разработан для борьбы с атакой Калиски (без обязательного явного подтверждения ключа) с дополнительными целями достижения доказуемой безопасности и повышения эффективности. HMQV внес в MQV три изменения:

Включение идентификаторов пользователей в потоки обмена ключами: более конкретно, позволяя ${\bar {X}}=H(X,B)$ и ${\bar {Y}}=H(Y,A)$ где $A$ и $B$ являются личностями Алисы и Боба соответственно.
Удаление обязательного требования в MQV о том, что центр сертификации (CA) должен проверять подтверждение владения закрытым ключом пользователя во время регистрации открытого ключа. В HMQV центру сертификации просто необходимо проверить, что отправленный открытый ключ не равен 0 или 1.
Удаление обязательного требования в MQV о том, что пользователь должен проверить, является ли полученный эфемерный открытый ключ действительным открытым ключом (так называемая проверка открытого ключа). В HMQV пользователю просто нужно проверить, что полученный эфемерный открытый ключ не равен 0 или 1.

HMQV утверждает, что превосходит MQV по производительности, поскольку в нем отсутствуют операции из пунктов 2) и 3), которые являются обязательными в MQV. В документе HMQV представлены «формальные доказательства безопасности», подтверждающие безопасность отказа от этих операций.

В 2005 году Менезес впервые представил атаку небольшой подгруппы против HMQV. ^[6] Эта атака использует полное отсутствие проверок открытого ключа в пунктах 2) и 3). Это показывает, что при взаимодействии с активным злоумышленником протокол HMQV передает информацию о долгосрочном секретном ключе пользователя, и в зависимости от настроек базовой криптографической группы злоумышленник может восстановить весь секретный ключ. Менезес предложил противостоять этой атаке, по крайней мере, введя обязательную проверку открытого ключа в пунктах 2) и 3).

В 2006 году, в ответ на нападки Менезеса, Кравчик пересмотрел HMQV в представлении IEEE P1363 (включен в предварительный проект IEEE P1363 D1 ). Однако вместо проверки долгосрочных и эфемерных открытых ключей в пунктах 2) и 3) соответственно как двух отдельных операций, Кравчик предложил проверять их вместе в одной комбинированной операции во время процесса обмена ключами. Это сэкономит средства. Благодаря комбинированной проверке открытого ключа атака Менезеса была бы предотвращена. Пересмотренный HMQV по-прежнему может претендовать на звание более эффективного, чем MQV.

В 2010 году Хао представил две атаки на пересмотренный HMQV (как указано в предварительном проекте IEEE P1363 D1). ^[7] Первая атака использует тот факт, что HMQV позволяет регистрировать любую строку данных, кроме 0 и 1, в качестве долгосрочного открытого ключа. Следовательно, небольшой элемент подгруппы может быть зарегистрирован как «открытый ключ». Зная этот «открытый ключ», пользователь может пройти все этапы проверки в HMQV и в конечном итоге пройти полную «аутентификацию». Это противоречит общепринятому пониманию того, что «аутентификация» в протоколе обмена ключами с проверкой подлинности определяется на основе доказательства знания закрытого ключа. В этом случае пользователь «аутентифицируется», но не имеет закрытого ключа (фактически закрытого ключа не существует). Эта проблема не применима к MQV. Вторая атака использует режим самостоятельной связи, который явно поддерживается в HMQV и позволяет пользователю общаться с самим собой, используя тот же сертификат открытого ключа. В этом режиме HMQV оказывается уязвимым для неизвестной атаки с использованием совместного использования ключей. Чтобы противостоять первой атаке, Хао предложил выполнять проверки открытого ключа в пунктах 2) и 3) отдельно, как первоначально предлагал Менезес. Однако это изменение уменьшит преимущества эффективности HMQV перед MQV. Чтобы противостоять второй атаке, Хао предложил включить дополнительные идентификаторы, чтобы различать собственные копии или отключить режим самообщения.

Две атаки Хао обсуждались членами рабочей группы IEEE P1363 в 2010 году. Однако не было единого мнения о том, как следует пересмотреть HMQV. В результате спецификация HMQV в предварительном проекте IEEE P1363 D1 не изменилась, но с тех пор стандартизация HMQV в IEEE P1363 прекратилась. ^{[ нужна ссылка ]}

См. также [ править ]

Криптография эллиптических кривых

Ссылки [ править ]

^ Закон, Л.; Менезес, А. ; Цюй, М.; Солинас, Дж.; Ванстон, С. (2003). «Эффективный протокол для соглашения с аутентифицированным ключом». Дес. Коды Криптография . 28 (2): 119–134. дои : 10.1023/А:1022595222606 . S2CID 27921095 .
^ Баркер, Элейн; Чен, Лили; Рогинский, Аллен; Смид, Майлз (2013). «Рекомендации по схемам установления парных ключей с использованием криптографии дискретного логарифма» . doi : 10.6028/NIST.SP.800-56Ar2 . Проверено 15 апреля 2018 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ Калиски, Бертон С. младший (август 2001 г.). «Неизвестная атака с использованием совместного использования ключей на протокол соглашения о ключах MQV». Транзакции ACM по информационной и системной безопасности . 4 (3): 275–288. дои : 10.1145/501978.501981 . ISSN 1094-9224 . S2CID 15388065 .
^ Менезес, Альфред; Устаоглу, Беркант (11 декабря 2006 г.). «О важности проверки открытого ключа в протоколах соглашения о ключах MQV и HMQV». Прогресс в криптологии - INDOCRYPT 2006 . Конспекты лекций по информатике. Том. 4329. Шпрингер, Берлин, Гейдельберг. стр. 133–147. дои : 10.1007/11941378_11 . hdl : 11147/4782 . ISBN 978-3-540-49767-7 .
^ Кравчик, Х. (2005). «HMQV: высокопроизводительный безопасный протокол Диффи-Хеллмана» . Достижения в криптологии – КРИПТО 2005 . Конспекты лекций по информатике. Том. 3621. стр. 546–566. дои : 10.1007/11535218_33 . ISBN 978-3-540-28114-6 .
^ Менезес, Альфред (1 января 2007 г.). «Еще один взгляд на HMQV» . Математическая криптология . 1 (1). дои : 10.1515/jmc.2007.004 . ISSN 1862-2984 . S2CID 15540513 .
^ Ф. Хао, О надежном соглашении о ключах на основе аутентификации с открытым ключом . Материалы 14-й Международной конференции по финансовой криптографии и безопасности данных, Тенерифе, Испания, LNCS 6052, стр. 383–390, январь 2010 г.

Библиография [ править ]

Калиски, Б.С. младший (2001). «Неизвестная атака с использованием совместного использования ключей на протокол соглашения о ключах MQV». Транзакции ACM по информационной и системной безопасности . 4 (3): 275–288. дои : 10.1145/501978.501981 . S2CID 15388065 .
Закон, Л.; Менезес, А. ; Цюй, М.; Солинас, Дж.; Ванстон, С. (2003). «Эффективный протокол для соглашения с аутентифицированным ключом». Дес. Коды Криптография . 28 (2): 119–134. дои : 10.1023/А:1022595222606 . S2CID 27921095 .
Ледбиттер, Пи Джей; Смарт, НП (2003). «Анализ небезопасности ECMQV с частично известными одноразовыми номерами». Информационная безопасность . 6-я Международная конференция, ISC 2003, Бристоль, Великобритания, 1–3 октября 2003 г. Материалы. Конспекты лекций по информатике . Том. 2851. стр. 240–251. дои : 10.1007/10958513_19 . ISBN 978-3-540-20176-2 .
Менезес, Альфред Дж.; Цюй, Минхуа; Ванстон, Скотт А. (2005). Некоторые новые протоколы согласования ключей, обеспечивающие неявную аутентификацию (PDF) . 2-й семинар по избранным областям криптографии (SAC '95) . Оттава, Канада. стр. 22–32.
Хэнкерсон, Д.; Ванстон, С. ; Менезес, А. (2004). Руководство по криптографии на основе эллиптических кривых . Springer Профессиональные вычисления. Нью-Йорк: Спрингер . CiteSeerX 10.1.1.331.1248 . дои : 10.1007/b97644 . ISBN 978-0-387-95273-4 . S2CID 720546 .

Внешние ссылки [ править ]

[1] Закон, Л.; Менезес, А. ; Цюй, М.; Солинас, Дж.; Ванстон, С. (2003). «Эффективный протокол для соглашения с аутентифицированным ключом». Дес. Коды Криптография . 28 (2): 119–134. дои : 10.1023/А:1022595222606 . S2CID 27921095 .

[2] Баркер, Элейн; Чен, Лили; Рогинский, Аллен; Смид, Майлз (2013). «Рекомендации по схемам установления парных ключей с использованием криптографии дискретного логарифма» . doi : 10.6028/NIST.SP.800-56Ar2 . Проверено 15 апреля 2018 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[3] Калиски, Бертон С. младший (август 2001 г.). «Неизвестная атака с использованием совместного использования ключей на протокол соглашения о ключах MQV». Транзакции ACM по информационной и системной безопасности . 4 (3): 275–288. дои : 10.1145/501978.501981 . ISSN 1094-9224 . S2CID 15388065 .

[:1-4] Менезес, Альфред; Устаоглу, Беркант (11 декабря 2006 г.). «О важности проверки открытого ключа в протоколах соглашения о ключах MQV и HMQV». Прогресс в криптологии - INDOCRYPT 2006 . Конспекты лекций по информатике. Том. 4329. Шпрингер, Берлин, Гейдельберг. стр. 133–147. дои : 10.1007/11941378_11 . hdl : 11147/4782 . ISBN 978-3-540-49767-7 .

[5] Кравчик, Х. (2005). «HMQV: высокопроизводительный безопасный протокол Диффи-Хеллмана» . Достижения в криптологии – КРИПТО 2005 . Конспекты лекций по информатике. Том. 3621. стр. 546–566. дои : 10.1007/11535218_33 . ISBN 978-3-540-28114-6 .

[6] Менезес, Альфред (1 января 2007 г.). «Еще один взгляд на HMQV» . Математическая криптология . 1 (1). дои : 10.1515/jmc.2007.004 . ISSN 1862-2984 . S2CID 15540513 .

[7] Ф. Хао, О надежном соглашении о ключах на основе аутентификации с открытым ключом . Материалы 14-й Международной конференции по финансовой криптографии и безопасности данных, Тенерифе, Испания, LNCS 6052, стр. 383–390, январь 2010 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]