Key-Exchange

你能幫我理解 PFS 和 wPFS 嗎?

  • March 25, 2021

每次遇到 PFS(完美前向保密)和 wPFS(弱完美前向保密)的概念時,我都會對它們感到不確定。

我的理解是:

  • PFS 確保,如果雙方的長期密鑰在未來被活躍的對手洩露,他無法計算會話密鑰。
  • wPFS 確保,如果一個被動的對手已經了解了會話雙方的私鑰,並且如果會話是“乾淨的”,他仍然無法恢復會話密鑰。

我不確定我的理解是否正確。而且我不知道這些是否是 PFS 和 wPFS 的正確定義。

你能幫我理解 PFS 和 wPFS 嗎?

弱完美前向保密和強完美前向保密的區別在於攻擊者的能力。如果完美前向保密在面對主動攻擊者時仍然安全,則它是強的,而弱完美前向保密的安全聲明僅涵蓋被動攻擊者。

如果我沒記錯的話,弱完美前向保密 (wPFS) 是一個術語,用於聲稱 2 消息協議的完美前向安全性,不考慮 MITM 攻擊。

快速的Google搜尋顯示,這個術語可能是由 Hugo Krawczyk 在他 2005 年的論文HMQV: A High-Performance Secure Diffie-Hellman Protocol中創造的。

但是,我不知道該術語的理解程度如何,因此,如果您打算將其用於論文,請務必對其進行解釋。

除了上述答案之外,Cremers 和 Feltz 在他們的論文中進一步闡述了區別:

eCK 安全模型無法保證的 KE 協議的一項重要屬性是完美前向保密 (PFS)。如果攻擊者無法學習過去會話的會話密鑰,即使他學習了所有各方的長期密鑰,此屬性仍然成立。eCK 模型的設計者認為,這個屬性不能通過兩消息 KE 協議來實現,基於

$$ 13 $$. 特別是,在$$ 13, p. 15 $$, Krawczyk 描繪了一個通用的 PFS 攻擊,他聲稱它破壞了任何隱式認證的兩消息 KE 協議的安全性。在攻擊中,攻擊者通過注入自建消息來主動干擾各方之間的通信。如果他以後知道各方的長期秘密密鑰,這使他能夠計算使用的會話密鑰。為了證明 HMQV 協議的前向保密概念稍弱,Krawczyk 引入了弱完美前向保密(weak-PFS)的概念。當長期密鑰被洩露時,弱完美前向保密保證了先前建立的會話密鑰的保密性,但僅限於對手沒有主動干預的會話。

引用自:https://crypto.stackexchange.com/questions/10303