MTI protokollok

Az MTI-protokollok kulcsfontosságú elosztási protokollok családját jelentik, amelyeket T. Matsumoto , Y. Takashita és H. Imai fejlesztett ki, és szerzőikről nevezték el. Az MTI protokollok három protokollosztályra oszthatók: MTI/A, MTI/B, MTI/C. [egy]

A kulcselosztási protokoll megoldja a titkos titkosítási kulcsok kommunikáló felek közötti elosztásának problémáját. Az ilyen protokollok készlete a következő három típusra oszlik: [2]

protokollcsere a már generált kulcsokhoz;
közös kulcsgenerálási protokollok (nyilvános kulcs elosztása);
kulcselosztási protokollok.

Az MTI-protokollok nyilvános kulcsú elosztási protokollok közé tartoznak.

A nyilvános kulcs-elosztási protokollok a felhasználók közötti üzenetváltáson alapulnak, melynek eredményeként minden felhasználó kiszámít egy titkos munkamenet-kulcsot. Ebben az esetben a munkamenetkulcs kiszámítása az üzenetváltás előtt lehetetlen. Ezért ezeket a protokollokat [3] dinamikus kulcselosztási protokolloknak is nevezik, ellentétben a statikus protokollokkal, amelyekben a kulcsok már a kommunikációs munkamenet előtt is ismertek. Ezenkívül a nyilvános terjesztési protokollokban a munkamenetkulcsok létrehozása megköveteli, hogy a felhasználók csak a nyilvános kulcsokat ismerjék, pl. lehetővé teszi a rendszerfelhasználók számára, hogy megosztott titkos kulcsot fejlesszenek ki magánkulcsok cseréje nélkül. Ez vezetett oda, hogy az ilyen protokollok 1976-os megjelenésük után azonnal felkeltették a nemzetközi közösség figyelmét.

Történelem

A nyílt kulcsú elosztási protokollok létrehozásának ötletét először Whitfield Diffie és Martin Hellman vetette fel az Országos Számítógépes Konferencián 1976 júniusában. 1976 novemberében pedig „ Új irányok a kriptográfiában ” című munkájukban javasolták a nyilvános kulcsok elosztásának első protokollját [4] , amelyet a szerzők nevéről neveztek el (Diffie-Hellman protokoll).

A maga nemében az első, a Diffie-Hellman protokoll sebezhető volt bizonyos típusú támadásokkal szemben, különösen az ember a középső támadásokkal szemben [2] . A probléma megoldásához hitelesítési mechanizmust kellett biztosítani a felhasználók számára. Az 1977 augusztusában a Scientific American magazin "Mathematical Games" rovatában megjelent RSA aszimmetrikus titkosítási algoritmus [5] olyan mechanizmussá vált , amely lehetővé tette a nyílt csatornán keresztüli kommunikáció problémájának megoldását.

1984-ben Taher El-Gamal egy továbbfejlesztett Diffie-Hellman protokollt javasolt egyirányú hitelesítés lehetőségével, amikor is csak az egyik kommunikáló fél tudja ellenőrizni a másik hitelességét [6] . Az RSA -val ellentétben az ElGamal protokollt nem szabadalmazták, ezért olcsóbb alternatívává vált, mivel nem kellett licencdíjat fizetni. Úgy gondolják, hogy az algoritmus a Diffie-Hellman szabadalom hatálya alá tartozik.

1986 februárjában T. Matsumoto, I. Takashima és H. Imai megoldást mutatott be az RSA használata nélküli kölcsönös hitelesítés problémájára [7] . Az MTI protokolljaikban a megosztott titkos kifejezés a legális felhasználók nyilvános és privát kulcsát egyaránt tartalmazza. Ez a megoldás lehetővé teszi a hitelesítés végrehajtását a megosztott titkos kulcs kiszámításával egyidejűleg (illegális felhasználó nem tudja kiszámítani a titkos kulcs értékét).

Az MTI protokollokat jelenleg az ISO/IEC 11770-3 [1] szabvány tartalmazza .

MTI protokollok leírása [1]

Tekintsük az A és B felek közötti információcsere folyamatát . Az alábbiakban az MTI protokollok működésének leírására szolgáló jelöléseket közöljük.

$p$	nagy prímszám (legalább 1024 bit).
$q$	egy (160 bites nagyságrendű) prímszám, amely osztója . $p-1$
$G$	egy csoport alcsoportja (általában sorrendben , de néha egybeesik a -val ) $\mathbb {Z} _{p}^{}$ $q$ $\mathbb {Z} _{p}^{}$
$g$	alcsoport generáló eleme $G$
$a$ , $b$	az A és B felek privát kulcsai
$A$ , $B$	A és B fél nyilvános kulcsai : , . $A=g^{a}\ mod\ p$ $\ B=g^{b}\ mod\ p$
$R_{A}$ , $R_{B}$	véletlenszerű egész számok, amelyek általában azonos nagyságrendűek a csoport sorrendjével, amelyeket az A és B fél választ ki $G$
$M_{A}$ , $M_{B}$	A - ból B -be , illetve B -ből A -ba küldött üzeneteket .
$K$	az A és B fél által kiszámított titkos munkamenet kulcs
${\megjelenítési stílus (a,b)}$	a számok legnagyobb közös osztója és $a$ $b$

A jövőben minden számítás a csoportban történik . $\mathbb {Z} _{p}^{*}$

MTI/A(0) [8]

Munka algoritmus

A fél véletlenszerű számot választ, és üzenetet küld $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=g^{R_{A}}{\bmod {p}}$
A fél véletlenszerű számot választ, és üzenetet küld $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $A$ $M_{B}=g^{R_{B}}{\bmod {p}}$
A fél kiszámítja a munkamenet kulcsát: $A$ $K=B^{R_{A}}M_{B}^{a}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}$
A fél kiszámítja a munkamenet kulcsát: $B$ $K=A^{R_{B}}M_{A}^{b}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}$

Végzett számítások

A\colon K=B^{R_{A}}M_{B}^{a}{\bmod {p}}=(g^{b})^{R_{A}}(g^{ R_{B)))^{a}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}

B\colon K=A^{R_{B}}M_{A}^{b}{\bmod {p}}=(g^{a})^{R_{B}}(g^{ R_{A)))^{b}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}

MTI/B(0)

Munka algoritmus

A fél véletlenszerű számot választ, és üzenetet küld $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=B^{R_{A}}$
A fél véletlenszerű számot választ, és üzenetet küld $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $A$ $M_{B}=A^{R_{B))$
A fél kiszámítja a munkamenet kulcsát: $A$ $K=M_{B}^{{a}^{-1}}g^{R_{A}}{\bmod {p}}=g^{R_{A}+R_{B}}{ \bmod{p}}$
A fél kiszámítja a munkamenet kulcsát: $B$ $K=M_{A}^{{b}^{-1}}g^{R_{B}}{\bmod {p}}=g^{R_{A}+R_{B}}{ \bmod{p}}$

Végzett számítások

K=M_{B}^{a^{-1}}g^{R_{A}}=(A^{R_{B}})^{a^{-1}}g^{R_ {A}}=(g^{{a}{R_{B}}})^{a^{-1}}g^{R_{A}}=g^{R_{A}+R_{B} }{\bmod {p}}

K=M_{A}^{b^{-1}}g^{R_{B}}=(B^{R_{A}})^{b^{-1}}g^{R_ {B}}=(g^{{b}{R_{A}}})^{b^{-1}}g^{R_{B}}=g^{R_{A}+R_{B} }{\bmod {p}}

MTI/C(0) [8]

Munka algoritmus

A fél véletlenszerű számot választ, és üzenetet küld B-nek $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $M_{A}=B^{R_{A}}$
A fél kiválaszt egy véletlen számot , és elküldi az A üzenetet $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $M_{B}=A^{R_{B))$
A fél kiszámítja a munkamenet kulcsát: $A$ $K=M_{B}^{a^{-1}R_{A}}{\bmod {p}}=g^{R_{A}R_{B}}{\bmod {p}}$
A fél kiszámítja a munkamenet kulcsát: $B$ $K=M_{A}^{b^{-1}R_{B}}{\bmod {p}}=g^{R_{A}R_{B}}{\bmod {p}}$

Végzett számítások

K=M_{B}^{a^{-1}R_{A}}=(A^{R_{B}})^{a^{-1}R_{A}}=(g^ {aR_{B}})^{a^{-1}R_{A}}=g^{R_{A}R_{B}}

K=M_{A}^{b^{-1}R_{B}}=(B^{R_{A}})^{b^{-1}R_{B}}=(g^ {bR_{A}})^{b^{-1}R_{B}}=g^{R_{A}R_{B}}

MTI/A(k)

Munka algoritmus

A fél véletlenszerű számot választ, és üzenetet küld B-nek $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $M_{A}=g^{a^{k}R_{A))$
A fél kiválaszt egy véletlen számot , és elküldi az A üzenetet $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $M_{B}=g^{b^{k}R_{B}}$
A fél kiszámítja a munkamenet kulcsát: $A$ $K=B^{a^{k}R_{A}}M_{B}^{a}=g^{ba^{k}R_{A}+ab^{k}R_{B}}$
A fél kiszámítja a munkamenet kulcsát: $B$ $K=A^{b^{k}R_{B}}M_{A}^{b}=g^{ab^{k}R_{B}+ba^{k}R_{A}}$

Végzett számítások

A\colon K=B^{a^{k}R_{A}}M_{B}^{a}=(g^{b})^{a^{k}R_{A}}( g^{b^{k}R_{B}})^{a}=g^{ab^{k}R_{B}+ba^{k}R_{A}}

B\colon K=A^{b^{k}R_{B}}M_{A}^{b}=(g^{a})^{b^{k}R_{B}}( g^{a^{k}R_{A}})^{b}=g^{ab^{k}R_{B}+ba^{k}R_{A}}

MTI/B(k)

Munka algoritmus

A fél véletlenszerű számot választ, és üzenetet küld $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=B^{a^{k}R_{A))$
A fél véletlenszerű számot választ, és üzenetet küld $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $A$ $M_{B}=A^{b^{k}R_{B}}$
A fél kiszámítja a munkamenet kulcsát: $A$ $K=M_{B}^{a^{-1}}g^{a^{k}R_{A}}=g^{a^{k}R_{A}+b^{k} R_{B}}$
A fél kiszámítja a munkamenet kulcsát: $B$ $K=M_{A}^{b^{-1}}g^{b^{k}R_{B}}=g^{a^{k}R_{A}+b^{k} R_{B}}$

Végzett számítások

K=M_{B}^{a^{-1}}g^{a^{k}R_{A}}=(A^{b^{k}R_{B}})^{a ^{-1}}g^{a^{k}R_{A}}=(g^{ab^{k}R_{B}})^{a^{-1}}g^{a^{ k}R_{A}}=g^{a^{k}R_{A}+b^{k}R_{B}}

K=M_{A}^{b^{-1}}g^{b^{k}R_{B}}=(B^{a^{k}R_{A}})^{b ^{-1}}g^{b^{k}R_{B}}=(g^{ba^{k}R_{A}})^{b^{-1}}g^{b^{ k}R_{B}}=g^{a^{k}R_{A}+b^{k}R_{B}}

MTI/C(k)

Munka algoritmus

A fél véletlenszerű számot választ, és üzenetet küld $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=B^{a^{k}R_{A))$
A fél véletlenszerű számot választ, és üzenetet küld $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $A$ $M_{B}=A^{b^{k}R_{B}}$
A fél kiszámítja a munkamenet kulcsát: $A$ $K=M_{B}^{a^{-1}a^{k}R_{A}}=g^{a^{k}R_{A}b^{k}R_{B}}$
A fél kiszámítja a munkamenet kulcsát: $B$ $K=M_{A}^{b^{-1}b^{k}R_{B}}=g^{a^{k}R_{A}b^{k}R_{B}}$

Végzett számítások

K=M_{B}^{a^{-1}a^{k}R_{A}}=(A^{b^{k}R_{B}})^{a^{-1 }a^{k}R_{A}}=(g^{ab^{k}R_{B}})^{a^{-1}a^{k}R_{A}}=g^{a ^{k}R_{A}b^{k}R_{B}}

K=M_{A}^{b^{-1}b^{k}R_{B}}=(B^{a^{k}R_{A}})^{b^{-1 }b^{k}R_{B}}=(g^{ba^{k}R_{A}})^{b^{-1}b^{k}R_{B}}=g^{a ^{k}R_{A}b^{k}R_{B}}

MTI protokollok elemzése [3]

MTI protokoll táblázat

Jegyzőkönyv	$m_{A}$	$m_{B}$	$K_{A}$	$K_{B}$	$K_{AB}$
MTI/A(0)	$g^{r_{A))$	$g^{r_{B))$	$y_{B}^{r_{A}}m_{B}^{x_{A}}$	$y_{A}^{r_{B}}m_{A}^{x_{B}}$	$g^{x_{A}r_{B}+x_{B}r_{A}}$
MTI/B(0)	$y_{B}^{r_{A}}$	$y_{A}^{r_{B))$	$m_{B}^{x_{A}^{-1}}g^{r_{A}}$	$m_{A}^{x_{B}^{-1}}g^{r_{B}}$	$g^{r_{A}+r_{B))$
MTI/C(0)	$y_{B}^{r_{A}}$	$y_{A}^{r_{B))$	$m_{B}^{x_{A}^{-1}r_{A))$	$m_{A}^{x_{B}^{-1}r_{B))$	$g^{r_{A}r_{B))$
MTI/A(k)	$g^{x_{A}^{k}r_{A))$	$g^{x_{B}^{k}r_{B))$	$y_{B}^{x_{A}^{k}r_{A}}m_{B}^{x_{A}}$	$y_{A}^{x_{B}^{k}r_{B}}m_{A}^{x_{B}}$	$g^{x_{A}x_{B}^{k}r_{B}+x_{B}x_{A}^{k}r_{A))$
MTI/B(k)	$y_{B}^{x_{A}^{k}r_{A))$	$y_{A}^{x_{B}^{k}r_{B))$	$m_{B}^{x_{A}^{-1}}g^{x_{A}^{k}r_{A}}$	$m_{A}^{x_{B}^{-1}}g^{x_{B}^{k}r_{B}}$	$g^{x_{A}^{k}r_{A}+x_{B}^{k}r_{B}}$
MTI/C(k)	$y_{B}^{x_{A}^{k}r_{A))$	$y_{A}^{x_{B}^{k}r_{B))$	$m_{B}^{x_{A}^{-1}x_{A}^{k}r_{A))$	$m_{A}^{x_{B}^{-1}x_{B}^{k}r_{B))$	$g^{x_{A}^{k}r_{A}x_{B}^{k}r_{B))$

Az MTI/A és MTI/B protokollok minden felhasználónak három kitevőt, míg az MTI/C protokollokhoz csak két kitevőt írnak elő. Az MTI/C(1) protokollnak megvan az a további előnye is, hogy nem kell és inverzét kiszámítani . Másrészt ezek az értékek nem változnak a teljes kommunikációs munkamenet során, ezért előre kiszámíthatók. $x_{A}$ $x_B$
Az MTI-protokollokban minden fél hasonló műveleteket végez, és a protokollok működése nem függ attól, hogy az üzenetek milyen sorrendben kerülnek egyik oldalról a másikra.
Az MTI/B és MTI/C protokollok megkövetelik a többi fél nyilvános kulcsának ismeretét, ami további üzenetküldést igényelhet (ha a nyilvános kulcs információi nem férnek el a hálózaton keresztül küldött üzenetekben). Az MTI/A protokollok nem igénylik a nyilvános kulcsok ismeretét, így elkerülhető a további átvitel és időkésés.
Mindhárom protokollosztály kölcsönös implicit kulcshitelesítést biztosít, de nem biztosít kulcs megerősítést vagy entitáshitelesítést.

Kulcselosztási protokollok összehasonlítása

Jegyzőkönyv	Kulcs hitelesítés	Forrás hitelesítés	Kulcs megerősítése	Üzenetek száma
Diffie-Hellman protokoll	hiányzó	hiányzó	hiányzó	2
ElGamal protokoll	egyoldalú	hiányzó	hiányzó	egy
MTI/A	kölcsönös implicit	hiányzó	hiányzó	2
MTI/B,C	kölcsönös implicit	hiányzó	hiányzó	2
STS	kölcsönösen kifejezett	kölcsönös	hiányzó	3

Támadások MTI protokollok ellen

Az MTI protokollok ellenállnak a passzív támadásoknak, de érzékenyek az aktív támadásokra [3] . Az alábbiakban példákat mutatunk be az MTI-protokollok elleni aktív támadásokra.

Kis alcsoportos támadás az MTI/C protokollok ellen [1]

Kis alcsoportos támadás kerül alkalmazásra az MTI/C protokollosztályra, ha a csoport egyezik a csoporttal , ahogy az az eredeti protokollban elvárható volt. Feltételezzük, hogy a kriptaelemző ismeri egy szám prímtényezőkké történő faktorizálását. Legyen a legkisebb prímtényező a szám bővítésében . Jelöljük . A támadás abban áll, hogy az összes üzenetet hatalomra emelik , amely a továbbított elemeket a csoport egy kis alcsoportjává alakítja . $G$ $Z_{p}^{*}$ $E$ $p-1$ $s$ $p-1$ $w=(p-1)/s$ $w$ $G'$ $G$

Valóban , és üzenetváltás formájában . Ha egy elemet hatványsá emelünk, akkor a sorrend egy részcsoportjának generáló elemét kapjuk . Sőt, ez a sorrend akkor egyenlő , amikor és rendre, vagy amikor tartalmazza a számot a prímtényezőkre bontva , azaz. . Minden más esetben az alcsoport sorrendje egyenlő lesz . $A$ $B$ $g^{r}$ $g^{r}$ $w$ $g^{wr}$ $G'$ ${\frac {p-1}{(wr,p-1)))$ $egy$ $s = 1$ $w=p-1$ $r$ $s$ ${\megjelenítési stílus (r,s)=s}$ $G'$ $s$

Az MTI/C(0) protokoll támadásának folyamatát az alábbiakban ismertetjük. A kriptoanalitikus a felek és ( man-in-the-middle ) között van. $E$ $A$ $B$

A fél véletlenszerű számot választ, és üzenetet küld $A$ $r_{A}\in _{R}Z_{q}^{*}$ $B$ $m_{A}=y_{B}^{r_{A))$
A kriptoanalitikus elfogja az üzenetet, és elküldi az üzenetet $E$ $A$ $B$ ${\displaystyle m_{A}^{w}=y_{B}^{r_{A}w))$
A fél véletlenszerű számot választ, és üzenetet küld $B$ $r_{B}\in _{R}Z_{q}^{*}$ $A$ $m_{B}=y_{A}^{r_{B}}$
A kriptoanalitikus elfogja az üzenetet, és elküldi az üzenetet $E$ $B$ $A$ ${\displaystyle m_{B}^{w}=y_{A}^{r_{B}w))$
A fél kiszámítja a munkamenet kulcsát: $A$ $K_{AB}=m_{B}^{x_{A}^{-1}r_{A}}=g^{r_{A}r_{B}w}$
A fél kiszámítja a munkamenet kulcsát: $B$ $K_{AB}=m_{A}^{x_{B}^{-1}r_{B}}=g^{r_{A}r_{B}w}$

A fogadott titkos munkamenet kulcsa a fogadott üzenetekhez hasonlóan a csoport kis alcsoportjának eleme . Ezért a kriptoanalitikus kimerítő kereséssel tudja megtalálni a kulcsot , az alcsoport elemeit kulcsként ellenőrzi a és közötti kommunikációban . Ebben az esetben minél kisebb a szorzó , annál gyorsabban halad át a támadás. $K_{AB}$ $G'$ $G$ $E$ $K_{AB}$ $G'$ $A$ $B$ $s$

Egy alcsoport elleni támadás megelőzhető egy csoport elsőrendű alcsoportjának kiválasztásával . Mert míg a hossza körülbelül 160 bit, addig a kimerítő keresés túl nehéz feladatnak bizonyul egy kriptoanalitikus számára . Azt is ellenőrizni kell, hogy az üzenetekben kapott elemek egy csoportban vannak-e, és nem egyenlők eggyel. $G$ $Z_{p}^{*}$ $q$ $q$ $E$ $G$

Támadás ismeretlen megosztott kulccsal [1] [3] [9]

Ismeretlen nyilvános kulcsú támadás esetén a kriptográfiai elemzőnek be kell szereznie egy hosszú távú nyilvános kulcsú tanúsítványt , amelyet egy képlet köt össze a fél nyilvános kulcsával . Ez azt jelenti, hogy nem ismeri a nyilvános kulcsnak megfelelő titkos kulcsot . $E$ $y_{E}$ $A$ $\colon y_{E}=y_{A}^{x_{E}}=g^{x_{A}x_{E}}$ $E$ ${\displaystyle x_{A}x_{E))$ $y_{E}$

Ismeretlen megosztott kulccsal történő támadás a következő műveletsor végrehajtásával hajtható végre.

A fél véletlenszerű számot választ, és üzenetet küld $A$ $r_{A}\in _{R}Z_{q}^{*}$ $B$ $m_{A}=y_{B}^{r_{A))$
A kriptoanalitikus változatlanul továbbítja az üzenetet től -ig . $E$ $y_{B}^{r_{A}}$ $A$ $B$
A fél véletlenszerű számot választ, és üzenetet küld $B$ $r_{B}\in _{R}Z_{q}^{*}$ $E$ $y_{E}^{r_{B))$
A kriptoanalitikus üzenetet kap tőle, és üzenetet küld $E$ $B$ $A$ $y_{E}^{r_{B}x_{E}^{-1))$
A fél kiszámítja a munkamenet kulcsát: $A$ $K_{AB}=(y_{E}^{r_{B}x_{E}^{-1)))^{x_{A}^{-1}}g^{r_{A}} =g^{r_{A}+r_{B}}$
A fél kiszámítja a munkamenet kulcsát: $B$ $K_{AB}=(y_{B}^{r_{A)))^{{x_{B}}^{-1}}g^{r_{A}}=g^{r_{A }+r_{B}}$

A felek által kiszámított titkos kulcsok és azonosak és egyenlők a -val . Ugyanakkor úgy ítéli meg, hogy megosztja azt a következővel , miközben úgy véli, hogy a kulcsot megosztja vele . $A$ $B$ $g^{r_{A}+r_{B))$ $A$ $B$ $B$ $E$

Bár további információ nélkül nem tudja kiszámítani a titkos munkamenet kulcsát , a fél mégis téves véleményhez vezet. $E$ $K_{AB}$ $E$ $B$

A támadás elkerülése érdekében meg kell követelni a tanúsító hatóságokat, hogy ellenőrizzék, hogy bizonyos nyilvános kulcsokhoz tanúsítványt kérő felek ismerik-e a megfelelő titkos kulcsot . $y_{E}$ $x_{E}$

Jegyzetek

↑ 1 2 3 4 5 Boyd, Mathuria, 2003 , pp. 147-155.
↑ 1 2 Alferov, Zubov, Kuzmin et al., 2002 , p. 378, 387–396.
↑ 1 2 3 4 Menezes, Oorschot, Vanstone, 1996, 515-519 .
↑ Diffie, Hellman, 1976 .
↑ Gardner, 1977 .
↑ Elgamal, 1985 .
↑ Matsumoto, Takashima, Imai, 1986 .
↑ 1 2 Ratna Dutta, Rana Barua. A legfontosabb megállapodási jegyzőkönyvek áttekintése . - S. 9-10 .
↑ Cheremushkin A.V. Kriptográfiai protokollok: alapvető tulajdonságok és sebezhetőségek // Alkalmazott diszkrét matematika: Függelék. - 2009. - 2. sz . - S. 115-150 . Az eredetiből archiválva: 2013. november 3.

Irodalom

Diffie W. , Hellman M. E. Új irányok a kriptográfiában // IEEE Trans . inf. Elmélet / F. Kschischang - IEEE , 1976. - 1. kötet. 22, Iss. 6. - P. 644-654. — ISSN 0018-9448 ; 1557-9654 - doi:10.1109/TIT.1976.1055638
Gardner M. Egy újfajta titkosítás, amelynek feltörése évmilliókba telik // Sci . amer. - NYC : NPG , 1977. - Vol. 237, Iss. 2. - P. 120-124. — ISSN 0036-8733 ; 1946-7087 - doi:10.1038/SCIENTIFICAMERICAN0877-120
Elgamal T. Egy nyilvános kulcsú kriptorendszer és egy diszkrét logaritmuson alapuló aláírási séma, egy nyilvános kulcsú kriptorendszer és egy diszkrét logaritmuson alapuló aláírási séma // IEEE Trans . inf. Elmélet / F. Kschischang - IEEE , 1985. - Vol. 31, Iss. 4. - P. 469-472. — ISSN 0018-9448 ; 1557-9654 - doi:10.1109/TIT.1985.1057074 ; doi:10.1007/3-540-39568-7_2
Matsumoto T. , Takashima Y. , Imai H. On Seeking Smart Public-key Distribution Systems (angol) // Tranzakciói az Institute of Electronics and Communication Engineers of Japan. E. szakasz – Elsevier BV , 1986. – 1. kötet. 69, Iss. 2. - P. 99-106. — ISSN 0387-236X
Boyd C. , Mathuria A. 5.3 MTI-protokollok // Protocols for Authentication and Key Establishment (angol) - Springer Science + Business Media , 2003. - P. 147-155. — 321 p. - ( Információbiztonság és kriptográfia ) - ISBN 978-3-540-43107-7 - ISSN 1619-7100 ; 2197-845X - doi:10.1007/978-3-662-09527-0
Cheremushkin A. V. Kriptográfiai protokollok: alapvető tulajdonságok és sebezhetőségek // Alkalmazott diszkrét matematika : Alkalmazás. - 2009. - 2. sz . - S. 115-150 . Az eredetiből archiválva: 2013. november 3.
Alferov A. P. , Zubov A. Yu. , Kuzmin A. S. , Cheremushkin A. V. 15. fejezet Kulcsterjesztési protokollok // A kriptográfia alapjai : Tankönyv - 2. kiadás, Rev. és további - M . : Helios ARV , 2002. - S. 378, 387-396. — ISBN 978-5-85438-137-6
Ratna Dutta, Rana Barua. A legfontosabb megállapodási jegyzőkönyvek áttekintése . - S. 9-10 . (nem elérhető link)
Sebastien Kunz-Jacques, David Pointcheval. Az MTI/C0 és az MQV biztonságáról . – 2006.
Menezes A. J. , Oorschot P. v. , Vanstone S. A. 12.6.1 Diffie-Hellman és a kapcsolódó kulcsfontosságú megállapodási protokollok // Handbook of Applied Cryptography (angolul) - CRC Press , 1996. - 816 p. — ( Diszkrét matematika és alkalmazásai ) — ISBN 978-0-8493-8523-0