ECDH、x25519 和伺服器上保護客戶端證書的限制
g’day Crypto.SE
我正在研究在接收者(伺服器)和發起者(客戶端,即使用者的機器)之間共享靜態密鑰以更好地辨識使用者的實際應用。
我的核心問題是:
對於 x25519,多個 PK 可以解析為單個 SK,還是只有一個唯一的 PK-SK 對?
我想知道將 x25519 公鑰視為在保護資訊方面擁有“幾乎”平等份額是否合理?“幾乎”相等,我的意思是我總是可以從 SK 推導出 PK。
如果我沒有 PK 或 SK,我能否生成一條與 SK 匹配的消息,而不是在(一半?)x25519 密鑰空間中進行暴力猜測?
我原來的q,稍微改了措辭,仍然令人困惑,對不起!
如果沒有 x25519 密鑰對的 PK 或 SK,我是否更有可能加密未知 SK 的消息,而不是能夠從 PK 確定 SK(如果我有 PK) .
我的應用程序握手的細節在這裡:
對於 x25519,多個 PK 可以解析為單個 SK,還是只有一個唯一的 PK-SK 對?
如果我沒記錯的話,x25519 中最多有 2 個 PK 對應於 1 個 SK,這取決於隱式 y 座標是內部正座標還是負座標。另一方面,對於 ECDH,映射是 1:1。
我想知道將 x25519 公鑰視為在保護資訊方面擁有“幾乎”平等份額是否合理?“幾乎”相等,我的意思是我總是可以從 SK 推導出 PK。
從您解釋問題的方式來看,我假設您的意思是 PK 和 SK 是否同樣重要:是的,唯一需要注意的是它們的作用不同。
(在前面的問題形式中,回答者可能會將您的問題混淆為詢問雙方的PK是否同樣重要)。
如果我沒有 PK 或 SK,我能否生成一條與 SK 匹配的消息,而不是在(一半?)x25519 密鑰空間中進行暴力猜測?
你的意思是偽造一個可以在不知道其對應PK的情況下用SK解密的密文嗎?這種類型的攻擊被稱為存在性偽造——這個術語通常用於數字簽名和消息驗證碼。
在存在性偽造中,攻擊者生成的消息可以使用可能未知的密鑰正確驗證(在您的情況下,成功解密)。請參閱EUF-CMA 等簽名安全縮寫是什麼意思?以及“IND-”安全概念的簡單解釋?進一步解釋。
..我可以為未知SK加密消息的可能性是否比我能夠從PK中確定SK(如果我有PK)的可能性更大。
對於橢圓曲線密鑰交換和加密,這不太可能,因為密鑰恢復複雜度和偽造複雜度基本相等。