MQV

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2016. április 29-én felülvizsgált verziótól ; az ellenőrzések 9 szerkesztést igényelnek .

Az MQV ( Meneses-Q-Wanstone ) egy Diffie-Hellman algoritmuson alapuló hitelesítési protokoll . Az MQV védelmet nyújt az aktív támadások ellen a statikus és ideiglenes kulcsok kombinálásával. A protokoll módosítható úgy, hogy egy tetszőleges véges kommutatív csoportban működjön , és különösen elliptikus görbék csoportjaiban, ahol az ECMQV néven ismert .

Az MQV-t eredetileg Alfred Menezes , Minghua Q és Scott Vanstone javasolta 1995-ben. 1998-ban módosították. Az algoritmusnak létezik egy-, két- és háromutas változata.

Az MQV az IEEE P1363 nyilvános kulcsú kriptorendszer szabványosítási projekt része .

Az MQV egyes fajtáira vonatkozó szabadalmak a Certicom tulajdonában vannak [ 1] .

Az MQV-nek van néhány gyenge pontja, amelyeket a HMQV algoritmus javított ki 2005-ben [2] ; lásd [3] , [4] , [5] .

Mind az MQV, mind a HMQV algoritmusnak vannak olyan sebezhetőségei, amelyeket az FHMQV protokoll javított (lásd [6] )

Leírás

Alice-nek van egy statikus kulcspárja ( ), amelyben a nyilvános kulcsa és a privát kulcsa található. Bobnak van egy statikus kulcspárja ( ), amelyben a nyilvános kulcsa és a privát kulcsa található. Határozzuk meg . Legyen egy pont egy elliptikus görbén. Ezután hol van a használt pontgenerátor sorrendje . Így vannak a koordinátájának első bitjei . Ezen kívül bevezetünk egy kofaktort, amelyet a következőképpen definiálunk: , ahol a csoport sorrendje , és figyelembe kell venni, hogy technikai okokból teljesíteni kell a következő követelményt: [1] . $W_{a},w_{a}$ $W_{a}$ $w_a$ $W_{b},w_{b}$ ${\displaystyle W_{b))$ ${\displaystyle w_{b))$ ${\bar {R))$ $R=(x,y)$ ${\bar {R}}=(x\,{\bmod {\,}}2^{L})+2^{L}$ $L=\left\lceil {\frac {\lfloor \log _{2}n\rfloor +1}{2))\right\rceil$ $n$ $P$ ${\bar {R))$ $L$ $x$ $R$ $h$ $h={\frac {|G|}{n))$ ${|G|}$ ${G}$ $gcd(n,h)=1$

Lépés	Művelet
egy	Alice egy kulcspárt ( ) hoz létre úgy, hogy véletlenszerűen generálja és kiszámítja az = értéket , ahol az elliptikus görbe egy pontja. Ezután ideiglenes nyilvános kulcsot küld Bobnak. $R_{a},r_{a}$ ${\displaystyle r_{a))$ $R_{a}$ $r_{a}P$ $P$ $R_{a}$
2	Bob egy kulcspárt ( ) hoz létre a = véletlenszerű generálásával és kiszámításával . A párosítás után elküldi ideiglenes nyilvános kulcsát Alice-nek. ${\displaystyle R_{b},r_{b))$ ${\displaystyle r_{b))$ ${\displaystyle R_{b))$ $r_{b}P$ ${\displaystyle R_{b))$
3	Alice ellenőrzi, hogy az ideiglenes nyilvános kulcs a csoporthoz tartozik-e, és azt is, hogy nem null elem. Ezután kiszámítja a csoport elemet a következőképpen: , hol és . Ha , Alice elutasítja a Bobtól kapott adatokat. Ellenkező esetben a kiszámított eredményt elfogadja megosztott titokként. ${\displaystyle R_{b))$ $G$ ${\displaystyle R_{b))$ $Kab$ ${\displaystyle Kab=hs_{a}S_{b))$ $s_{a}=(r_{a}+{\bar {R_{a))}w_{a})modn$ ${\displaystyle S_{b}=R_{b}+{\bar {R_{b))}W_{b))$ $Kab=O$
négy	Bob ellenőrzi, hogy az ideiglenes nyilvános kulcs a csoporthoz tartozik-e, és azt is, hogy nem null elem. Kiszámítja a csoportelemet a következőképpen: , hol és . Ha , Bob elutasítja az Alice-től kapott adatokat. Ellenkező esetben a kiszámított eredményt elfogadja megosztott titokként. $R_{a}$ $G$ $R_{a}$ $kba$ ${\displaystyle Kba=hs_{b}S_{a))$ $s_{b}=(r_{b}+{\bar {R_{b))}w_{b})modn$ ${\displaystyle S_{a}=R_{a}+{\bar {R_{a))}W_{a))$ $Kba=O$

Az alapprotokoll több okból is vonzó megoldás:

Implicit kulcsazonosítást és utólagos biztonságot biztosít minden egyes társ számára.
Nem csak a számítások, hanem az áteresztőképesség szempontjából is hatékony, hiszen csak a terepen megadott műveleteket és egyszerű megjelenítést használ. Minden résztvevő számításai (durva becslés szerint) csak 2,5 szorzásból állnak – az egyik egy ideiglenes kulcspárt generál, a másik pedig a vagy -vel végzett skaláris szorzást . $s_{a}$ ${\displaystyle s_{b))$

A többi számítás a vagy -vel való szorzás . A kofaktorral való szorzás költségét is érdemes figyelembe venni. Ez a komplexitás azonban (a kofaktorral szorozva) a csoport méretétől függ. Az elliptikus görbén alapuló kriptorendszereknél ez a bonyolultság elhanyagolható, mivel a kofaktor általában kicsi [2] . ${\displaystyle {\bar {R_{a))))$ ${\displaystyle {\bar {R_{b))))$

Helyesség

Bob számításai: . $Kba=h\cdot s_{b}(R_{a}+{\bar {R_{a))}W_{a})=h\cdot s_{b}(r_{a}P+{\bar {R_{a}}}w_{a}P)=h\cdot s_{b}(r_{a}+{\bar {R_{a}}}w_{a})P=h\cdot s_{b }nedv$

Alice számításai: . $Kab=h\cdot s_{a}(R_{b}+{\bar {R_{b))}W_{b})=h\cdot s_{a}(r_{b}P+{\bar {R_{b))}w_{b}P)=h\cdot s_{a}(r_{b}+{\bar {R_{b))}w_{b})P=h\cdot s_{b }nedv$

Tehát a billentyűk valóban egyenértékűek a [3] billentyűvel . $Kab=Kba$ $K=h\cdot s_{b}s_{a}P$

Lehetséges támadások

A támadó (kriptaelemző) legegyszerűbb módja egy tanúsítvány (azonosító) beszerzése, amely a nevét az Alice birtokában lévő nyilvános kulccsal társítja. Ha ebben a protokollban lecseréli Alice azonosítóját a saját azonosítójára, akkor jelentős esély van arra, hogy Bob elfogadja az adott azonosítót anélkül, hogy észrevenné a helyettesítést, valójában azt gondolva, hogy Alice-szel beszél. Itt van egy támadás, amely a forráshelyettesítésen alapul. Ez a támadás a kulcstulajdonosi követelmények szükségességét jelzi: a kérelmezőnek ismernie kell a titkos kulcsot, hogy a nyilvános kulcsnak megfelelő azonosítót kapjon. Elvileg az identitásközpont intézhetné a duplikált nyilvános kulcsok ellenőrzését, de ez a lépés nem praktikus, mivel nagyszámú identitásközpont részvételével jár. Így a támadónak meg kell szereznie egy azonosítót egy új nyilvános kulcshoz , hogy legyen egyezés a titkos kulcshoz , és hogy Bob ugyanazt a megosztott titkot számítsa ki, amikor interakcióba lép a támadóval, mint amit Bob és Alice számított volna interakció közben. A következő megvalósítás a fenti célok mindegyikét kielégíti. Jelöljük ki a támadót Évának [3] . ${\displaystyle W_{e))$ ${\displaystyle w_{e))$

Lépés	Művelet
egy	Eve elkapja Alice ideiglenes nyilvános kulcsát Bob felé vezető úton. $R_{a}$
2	Eve kiválaszt egy egész számot , amely a réshez tartozik, és kiszámítja az ideiglenes nyilvános kulcsot (megjegyezzük , hogy Eve nem ismeri a megfelelő titkos kulcsot ). Ha , Eve megismétli ezt a lépést egy másik egész számmal . $U$ $[1,$ $n-1]$ $Újra}$ ${\displaystyle R_{e}=R_{a}-uP+{\bar {R_{a))}W_{a))$ $újra$ $R_{e}=0$ $U$
3	Eve kiszámítja a statikus párt a következőképpen : $(W_{e},w_{e})$ $W_{e}=w_{e}P$ $w_{e}={\bar {R_{e))}^{-1}u\cdot modn$ .
négy	Eve azonosítót kap a statikus nyilvános kulcsához . Így ismeri a megfelelő titkos kulcsot . Ezért megfelel a kulcstulajdonosokkal szemben támasztott követelményeknek. ${\displaystyle W_{e))$ ${\displaystyle w_{e))$
5	Eve ideiglenes nyilvános kulcsának elküldésével kezdeményezi a protokollt Bobbal . $Újra}$
6	Eve megkapja Bob ideiglenes nyilvános kulcsát , és átadja Alice-nek. ${\displaystyle R_{b))$

A támadás eredményeként Alice ellenőrzi Bob azonosítóját és kiszámítja a megosztott titkot , míg Bob megkapja és ellenőrzi Éva azonosítóját, és kiszámítja a megosztott titkot , ahogyan a korábban definiált és . $Kab$ $kbe$ ${\displaystyle Kbe=hs_{b}S_{e))$ ${\displaystyle s_{b))$ ${\displaystyle S_{e}=R_{e}+{\bar {R_{e))}W_{e))$

Bob kulcsa ugyanaz lesz, mint ha Bob kommunikálna Alice-szel.

$hs_{b}S_{e}=hs_{b}(R_{e}+{\bar {R_{e))}W_{e})=hs_{b}(R_{a}+{\ sáv {R_{a}}}W_{a}$ $-uP+{\bar {R_{e}}}w_{e}P)=hs_{b}(R_{a}+{\bar {R_{a}}}W_{a}$ $-uP+{\bar {R_{e}}}({\bar {R_{e}}}^{-1}umodn)P)=hs_{b}(R_{a}+{\bar { R_{a}}}W_{a})=hs_{b}S_{a}=Kba$ .

Évának meg kell szereznie egy azonosítót statikus nyilvános kulcsához, amikor Alice elindítja a protokollt. Így Alice késést észlelhet az ideiglenes nyilvános kulcsának elküldése és Bob azonosítójának kézhezvétele között.

Támadás elleni intézkedések

Mindenekelőtt az első lépés az, hogy a protokollba be kell foglalni egy műveletet, amely a kulcs meglétének ellenőrzésére lesz fenntartva. Ez a tipp minden hitelesítési protokollra vonatkozik. Így ahhoz, hogy átmenjen Bob igazolásán, Eve-nek egy további ellenőrzésen kell átmennie. Egy másik, a protokollba bevezethető ellenintézkedés az, hogy a felek kicserélik ideiglenes nyilvános kulcsaik egyirányú kivonatát az ideiglenes kulcsok cseréje előtt. A cseremechanizmus ebben az esetben nagyon fontos. Mindkét félnek meg kell bizonyosodnia arról, hogy a másik tag valóban megkapta a "csomagot", mielőtt ideiglenes nyilvános kulcsot küldene neki. Ennek a ténynek a megerősítése a megfelelő sorrendben érhető el. Például Alice elküldi a visszaigazolását, Bob megkapja és elküldi a nyugtát. Alice megkapja Bob visszaigazolását, és elküldi a kulcsát. Amikor Bob megkapja Alice kulcsát, elküldi a saját kulcsát. Ilyen szekvencia nélkül például, ha Bob és Alice egyszerre küldenek, ez a protokoll sebezhető lesz bizonyos típusú támadásokkal szemben [4] .

Vessünk egy pillantást a többi ellenintézkedésre.

A késleltetés detektor egy olyan alternatíva, amely nem használ titkosítást. Az úgynevezett késleltetés-ellenőrző megvalósítása. Az oldal (Bob vagy Alice) leállítja a protokollt, ha a másik oldal válaszideje meghaladja a protokoll megvalósításában megadott megengedett értéket. Így, amikor Eve azonosítót kér, ez a lépés további időt igényelhet (azonban van mód ennek a bonyolultságnak a megkerülésére). Ezenkívül a többletidő hasonló lesz a protokollban szereplő egyéb műveletek idejéhez. Ez az ellenintézkedés azonban nem segít többlépcsős támadás esetén.
"Rekordazonosító". A címzett kérheti az azonosító életkorának igazolását. Az újonnan megszerzett személyi igazolvány támadás bizonyítékának tekinthető. Ezt követően a kommunikációs csatorna a támadóval lezárásra kerül.
A résztvevők azonosítása üzeneteken keresztül. A protokollok fő tervezési elve az, hogy az üzeneteknek elegendő információt kell tartalmazniuk a félreértelmezések elkerülése érdekében. Ennek megfelelően a megosztott titokkal védett üzeneteknek azonosítaniuk kell az átvitelben résztvevőket. Egy ilyen azonosítás megakadályozná a félreértelmezés lehetőségét.

A fenti fejlesztések mindegyike minimális módosításokat vezet be a protokollstruktúrában. Érdemes megjegyezni, hogy nincs hivatalos bizonyíték a protokoll teljes biztonságosságára, amelyet a fenti ajánlások alapján módosítottak.

Lásd még

Elliptikus kriptográfia

Jegyzetek

↑ Kaliski, 2001 , p. 277.
↑ Kaliski, 2001 , p. 278.
↑ 1 2 Kaliski, 2001 , p. 280.
↑ Kaliski, 2001 , p. 281.

Irodalom

Burt Kaliski. Ismeretlen kulcsmegosztási támadás az MQV kulcsszerződési protokoll ellen. ACM Trans. inf. Syst. Biztonságos. 4(3) // (angol) . – 2001.
Laurie Law, Alfred Menezes , Minghua Qu, Jerry Solinas, Scott A. Vanstone , Egy hatékony protokoll a hitelesített kulcsszerződéshez. Des. Codes Cryptography 28(2): pp. 119-134 (2003)
Peter J. Leadbitter, Nigel P. Smart: Az ECMQV bizonytalanságának elemzése részlegesen ismert hiányosságokkal. ISC 2003: pp. 240-251
A. Menezes, M. Qu és S. Vanstone, Néhány új kulcsfontosságú megállapodási protokoll implicit hitelesítést biztosítva, Preproceedings of Workshops on Selected Areas in Cryptography (1995).
D. Hankerson, A. Menezes és SA Vanstone, Guide to Elliptic Curve Cryptography , Springer-Verlag, 2004.

Linkek

Nyilvános kulcsú kriptorendszerek

Algoritmusok

Egész számok faktorizálása	Benalo kriptorendszer Bluma – Goldwasser Cayley Purser Damgorda – Eureka GMR Goldwasser – Micali Nakasha – Stern paye Rabin RSA Okamoto – Uchiyama Schmidt-Szamoa
Diszkrét logaritmus	BLS Cramer – Shoup Diffie-Hellman protokoll DSA ECDH Görbe 25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Titkosított kulcscsere ElGamal séma aláírási séma MQV Schnorr-séma SPEKE SRP STS
Kriptográfia rácsokon	NTRUEncrypt NTRUSign Tanulás alapú kulcscsere hibákkal Aláírás alapú edzés hibákkal a ringben BOLDOGSÁG Új remény
Egyéb	AE CEILIDH EPOC Rejtett mező egyenletek IES Lamport aláírása McEliece Merkle-Hellman háti kriptorendszer Naccache–Stern háti kriptorendszer Három lépéses protokoll XTR

Elmélet

Szabványok

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Posztkvantum kriptográfia

Témák

Elektronikus aláírás
OAEP
Ujjlenyomat
PKI
a bizalom hálója
Kulcsméret
Identitás alapú kriptográfia
Posztkvantum kriptográfia
OpenPGP kártya