AKE 密鑰能否提供 PFS
從 AKE(認證密鑰交換)協議派生的通道密鑰能否用於希望具有完美前向保密性的安全通道?
如果 AKE 的目標是建立通道密鑰並同時提供實體的認證,那麼這意味著用於認證的長期密鑰對共享通道密鑰有貢獻。
但是如果我們想要 PFS,那麼長期密鑰不應該對通道密鑰有貢獻。
這意味著如果我們想要 PFS,您不能依賴 AKE,但您應該使用不提供身份驗證的密鑰建立協議,然後僅對成績單進行身份驗證。
所以我的問題是:如果我們說我們使用 AKE 來創建我們的通道密鑰,這是否意味著根據 AKE 的定義我們不能再要求我們的安全通道的 PFS?
事實上,如果您使用第一個描述的密碼驗證密鑰交換協議(加密密鑰交換,Bellovin 和 Merrit,1992 年),很明顯您可以免費獲得前向保密。粗略地說,這是一個帶有臨時密鑰的 Diffie-Hellman 密鑰交換,其消息隨後被對稱加密,使用共享密鑰(密碼)作為密鑰(這種對稱加密必須使得使用錯誤密碼解密仍然產生語法上有效的 DH公鑰)。即使攻擊者知道了密碼,他所能做的就是恢復使用臨時密鑰的內部 DH 交換。
這實際上是所有 PAKE 的通用屬性。PAKE 的要點是雙方只有一個長期秘密(密碼),所以其他一切都是短暫的;此外,由於該秘密具有低熵,因此在窮舉搜尋範圍內(“字典攻擊”),強 PAKE 必須使得每當攻擊者嘗試潛在密碼時,他永遠無法知道他是否得到了正確的密碼。這尤其意味著,即使密碼在事後被洩露,密鑰交換本身也必須保持堅不可摧。該密碼是唯一的非臨時機密,因此具有前向機密性。
或者,換個方向說:如果 PAKE 協議不是前向安全的,並且獲得共享密碼的副本允許解開隨後的數據加密,那麼該機制可以用於“測試”密碼(執行 break-the - 對每個潛在密碼進行加密攻擊,看看這是否會產生一個有意義的密鑰);在這種情況下,PAKE 協議不滿足其 PAKE 屬性。
**總結一下:*與您擔心的相反,您將獲得前向保密,因為*您使用 PAKE 協議。
(當然,任何一方仍然可以做一些愚蠢的事情,例如,將 PAKE 產生的密鑰保存到一個文件中,然後打破前向保密。)