MQV

редактировать

MQV ( Menezes – Qu – Vanstone) - это аутентифицированный протокол для согласования ключей, основанный на схеме Диффи – Хеллмана. Как и другие схемы Диффи – Хеллмана с проверкой подлинности, MQV обеспечивает защиту от активного злоумышленника. Протокол может быть изменен для работы в произвольной конечной группе и, в частности, в группах эллиптических кривых, где он известен как эллиптическая кривая MQV (ECMQV).

Первоначально MQV был предложен Альфредом Менезесом, Минхуа Ку и Скоттом Ванстоуном в 1995 году. Позднее он был модифицирован в результате совместной работы с Лори Лоу и Джерри Солинасом. Есть одно-, двух- и трехходовые варианты.

MQV включен в стандарт открытого ключа IEEE P1363 и стандарт NIST SP800-56A.

Некоторые варианты MQV заявлены в патентах, переданных Certicom.

ECMQV исключен из набора криптографических стандартов Suite B Агентства национальной безопасности.

СОДЕРЖАНИЕ

1 Описание
- 1.1 Правильность
2 MQV против HMQV
3 См. Также
4 ссылки
5 Библиография
6 Внешние ссылки

Описание

У Алисы есть пара ключей с ее открытым ключом и ее частным ключом, а у Боба есть пара ключей с его открытым ключом и его личным ключом. ${\ Displaystyle (А, а)}$ $(А, а)$ ${\ displaystyle A}$ $А$ ${\ displaystyle a}$ $а$ ${\ displaystyle (B, b)}$ ${\ displaystyle (B, b)}$ ${\ displaystyle B}$ $B$ ${\ displaystyle b}$ $б$

В дальнейшем имеет следующее значение. Позвольте быть точкой на эллиптической кривой. Тогда где и - порядок используемой точки генератора. Таковы первые L бит первой координаты. ${\ displaystyle {\ bar {R}}}$ ${\ bar {R}}$ ${\ Displaystyle R = (х, у)}$ $R = (х, у)$ ${\ displaystyle {\ bar {R}} = (х \, {\ bmod {\,}} 2 ^ {L}) + 2 ^ {L}}$ $\ бар {R} = (х \, \ bmod \, 2 ^ L) + 2 ^ L$ ${\ Displaystyle L = \ left \ lceil {\ frac {\ lfloor \ log _ {2} n \ rfloor +1} {2}} \ right \ rceil}$ $L = \ left \ lceil \ frac {\ lfloor \ log_ {2} n \ rfloor + 1} {2} \ right \ rceil$ ${\ displaystyle n}$ $п$ ${\ displaystyle P}$ $п$ ${\ displaystyle {\ bar {R}}}$ ${\ bar {R}}$ ${\ displaystyle R}$ $р$

Шаг	Операция
1	Алиса генерирует ключевую пару, генерируя случайным образом и вычисляя с помощью точки на эллиптической кривой. ${\ Displaystyle (Х, х)}$ ${\ Displaystyle (Х, х)}$ ${\ displaystyle x}$ $Икс$ ${\ Displaystyle X = xP}$ ${\ Displaystyle X = xP}$ ${\ displaystyle P}$ $п$
2	Боб генерирует пару ключей так же, как Алиса. ${\ displaystyle (Y, y)}$ ${\ displaystyle (Y, y)}$
3	Теперь Алиса вычисляет по модулю и отправляет Бобу. ${\ Displaystyle S_ {а} = х + {\ бар {X}} а}$ $S_a = x + \ bar {X} a$ ${\ displaystyle n}$ $п$ ${\ displaystyle X}$ $Икс$
4	Боб вычисляет по модулю и отправляет Алисе. ${\ displaystyle S_ {b} = y + {\ bar {Y}} b}$ $S_b = y + \ bar {Y} b$ ${\ displaystyle n}$ $п$ ${\ displaystyle Y}$ $Y$
5	Алиса вычисляет, а Боб вычисляет, где находится кофактор (см. Криптография эллиптических кривых: параметры домена ). ${\ Displaystyle К = час \ cdot S_ {a} (Y + {\ bar {Y}} B)}$ $K = h \ cdot S_a (Y + \ bar {Y} B)$ ${\ Displaystyle К = час \ cdot S_ {b} (X + {\ bar {X}} A)}$ $K = h \ cdot S_b (X + \ bar {X} A)$ ${\ displaystyle h}$ $час$
6	Сообщение секрета было успешным. Ключ для алгоритма с симметричным ключом может быть получен из. ${\ displaystyle K}$ $K$ ${\ displaystyle K}$ $K$

Примечание: чтобы алгоритм был безопасным, необходимо выполнить некоторые проверки. См. Hankerson et al.

Правильность

Боб вычисляет: ${\ Displaystyle К = час \ cdot S_ {b} (X + {\ bar {X}} A) = h \ cdot S_ {b} (xP + {\ bar {X}} AP) = h \ cdot S_ {b} (x + {\ bar {X}} a) P = h \ cdot S_ {b} S_ {a} P}$ $K = h \ cdot S_b (X + \ bar {X} A) = h \ cdot S_b (xP + \ bar {X} aP) = h \ cdot S_b (x + \ bar {X} a) P = h \ cdot S_b S_a P$

Алиса вычисляет: ${\ Displaystyle К = час \ cdot S_ {a} (Y + {\ bar {Y}} B) = h \ cdot S_ {a} (yP + {\ bar {Y}} bP) = h \ cdot S_ {a} (y + {\ bar {Y}} b) P = h \ cdot S_ {b} S_ {a} P}$ $K = h \ cdot S_a (Y + \ bar {Y} B) = h \ cdot S_a (yP + \ bar {Y} bP) = h \ cdot S_a (y + \ bar {Y} b) P = h \ cdot S_b S_a P$

Таким образом, общие секреты действительно совпадают с ${\ displaystyle K}$ $K$ ${\ Displaystyle К = час \ cdot S_ {b} S_ {a} P}$ $К = h \ cdot S_b S_a P$

MQV против HMQV

Исходный протокол MQV не включает идентификаторы пользователей взаимодействующих сторон в потоках обмена ключами. Идентификационные данные пользователей включаются только в последующий процесс явного подтверждения ключа. Однако явное подтверждение ключа не является обязательным в MQV (и в спецификации IEEE P1363 ). В 2001 году Калиски представил неизвестную атаку с использованием общего ключа, в которой использовались отсутствующие идентификаторы в протоколе обмена ключами MQV. Атака работает против неявно аутентифицированного MQV, у которого нет явного подтверждения ключа. В этой атаке пользователь устанавливает сеансовый ключ с другим пользователем, но его обманывают, заставляя полагать, что он делится ключом с другим пользователем. В 2006 году Менезеш и Устаоглу предложили противодействовать этой атаке, включив идентификационные данные пользователей в функцию деривации ключей в конце обмена ключами MQV. Явный процесс подтверждения ключа остается необязательным.

В 2005 году Кравчик предложил хэш-вариант MQV, названный HMQV. Протокол HMQV был разработан для защиты от атаки Калиски (без обязательного явного подтверждения ключа) с дополнительными целями достижения доказуемой безопасности и повышения эффективности. HMQV внесла в MQV три изменения:

Включение идентификаторов пользователей в потоки обмена ключами: более конкретно, letting и where и - это идентификаторы Алисы и Боба соответственно. ${\ displaystyle {\ bar {X}} = H (X, B)}$ ${\ displaystyle {\ bar {X}} = H (X, B)}$ ${\ displaystyle {\ bar {Y}} = H (Y, A)}$ ${\ displaystyle {\ bar {Y}} = H (Y, A)}$ ${\ displaystyle A}$ $А$ ${\ displaystyle B}$ $B$
Удаление обязательного требования в MQV о том, что центр сертификации (ЦС) должен проверять подтверждение владения закрытым ключом пользователя во время регистрации открытого ключа. В HMQV CA просто нужно проверить, что представленный открытый ключ не равен 0 или 1.
Удаление обязательного требования в MQV о том, что пользователь должен проверять, является ли полученный эфемерный открытый ключ действительным открытым ключом (известное как проверка открытого ключа). В HMQV пользователю просто нужно проверить, что полученный эфемерный открытый ключ не равен 0 или 1.

HMQV утверждает, что превосходит MQV по производительности, поскольку не требует операций в 2) и 3) выше, которые являются обязательными в MQV. В документе HMQV представлены «формальные доказательства безопасности», подтверждающие, что отказ от этих операций является безопасным.

В 2005 году Менезес впервые представил атаку с ограничением подгруппы против HMQV. Эта атака использует точное отсутствие проверок открытого ключа в 2) и 3). Он показывает, что при взаимодействии с активным злоумышленником протокол HMQV приводит к утечке информации о долгосрочном закрытом ключе пользователя, и в зависимости от настройки базовой криптографической группы злоумышленник может восстановить весь закрытый ключ. Менезеш предложил противодействовать этой атаке, по крайней мере, требуя проверки открытых ключей в пунктах 2) и 3).

В 2006 году, в ответ на атаку Менезеса, Кравчик пересмотрел HMQV в представлении IEEE P1363 (включенном в предварительный проект IEEE P1363 D1 ). Однако вместо того, чтобы проверять долгосрочные и эфемерные открытые ключи в пунктах 2) и 3) соответственно как две отдельные операции, Кравчик предложил проверять их вместе в одной комбинированной операции во время процесса обмена ключами. Это сэкономит деньги. С помощью комбинированной проверки открытого ключа атака Менезеса будет предотвращена. Пересмотренный HMQV все еще может претендовать на более высокую эффективность, чем MQV.

В 2010 году Хао представил две атаки на обновленный HMQV (как указано в предварительном проекте IEEE P1363 D1). Первая атака использует тот факт, что HMQV позволяет регистрировать любую строку данных, кроме 0 и 1, как долгосрочный открытый ключ. Следовательно, небольшой элемент подгруппы может быть зарегистрирован как «открытый ключ». Зная этот «открытый ключ», пользователь может пройти все этапы проверки в HMQV и в конце будет полностью «аутентифицирован». Это противоречит общепринятому пониманию того, что «аутентификация» в протоколе обмена аутентифицированными ключами определяется на основе доказательства знания секретного ключа. В этом случае пользователь «аутентифицирован», но не имеет закрытого ключа (на самом деле закрытого ключа не существует). Эта проблема не применима к MQV. Вторая атака использует режим самосвязи, который явно поддерживается в HMQV, чтобы позволить пользователю общаться с самим собой, используя один и тот же сертификат открытого ключа. В этом режиме показано, что HMQV уязвим для неизвестной атаки с использованием общего ключа. Чтобы противостоять первой атаке, Хао предложил выполнять проверки открытых ключей в пунктах 2) и 3) отдельно, как первоначально было предложено Менезешем. Однако это изменение уменьшит преимущества эффективности HMQV по сравнению с MQV. Чтобы противостоять второй атаке, Хао предложил включить дополнительные идентификаторы, чтобы различать копии себя, или отключить режим самосвязи.

Две атаки Хао обсуждались членами рабочей группы IEEE P1363 в 2010 году. Однако единого мнения о том, как следует пересмотреть HMQV, не было. В результате спецификация HMQV в предварительном проекте IEEE P1363 D1 осталась неизменной, но с тех пор стандартизация HMQV в IEEE P1363 остановилась.

Смотрите также

Криптография на эллиптических кривых

Рекомендации

Библиография

Калиски, Б.С., младший (2001). «Неизвестная атака с использованием совместного использования ключа на протокол согласования ключей MQV». ACM-транзакции по информационной и системной безопасности. 4 (3): 275–288. DOI : 10.1145 / 501978.501981.
Закон, L.; Менезес, А. ; Qu, M.; Solinas, J.; Ванстон, С. (2003). «Эффективный протокол для согласования аутентифицированного ключа». Des. Коды криптографии. 28 (2): 119–134. DOI : 10,1023 / A: 1022595222606.
Ледбиттер, П.Дж.; Смарт, НП (2003). «Анализ незащищенности ECMQV с частично известными одноразовыми номерами». Информационная безопасность. 6-я Международная конференция, ISC 2003, Бристоль, Великобритания, 1–3 октября 2003 г. Материалы. Конспект лекций по информатике. 2851. С. 240–251. DOI : 10.1007 / 10958513_19. ISBN 978-3-540-20176-2.
Менезеш, Альфред Дж.; Цюй, Минхуа; Ванстон, Скотт А. (2005). Некоторые новые протоколы согласования ключей, обеспечивающие неявную аутентификацию (PDF). 2-й семинар по избранным областям криптографии (SAC '95). Оттава, Канада. С. 22–32.
Hankerson, D.; Ванстон, С. ; Менезес, А. (2004). Руководство по криптографии с эллиптическими кривыми. Springer Professional Computing. Нью-Йорк: Спрингер. CiteSeerX 10.1.1.331.1248. DOI : 10.1007 / b97644. ISBN 978-0-387-95273-4.

Внешние ссылки