Key-Exchange

是否可以在 Bellare-Rogway 模型中證明具有相互身份驗證且不提供前向保密的密鑰交換協議是安全的?

  • September 4, 2018

前向保密是 AKE 協議在 Bellare-Rogway 模型中被證明安全的必要安全屬性嗎?新鮮度是否也是 AKE 協議在 Bellare-Rogway 模型中被證明安全的必要安全屬性?如果不是,為什麼不能在 Bellare-Rogway 模型中證明帶有密鑰確認的 A(k) MTI 協議是安全的?

這取決於您所說的 Bellare-Rogway模型是什麼意思?你的意思是

  • BR93:Bellare 和 Rogaway 的原始 AKE 模型?
  • BR95:他們後續的 AKE 模型,其中包含了三方案例(除其他外)?
  • BPR00:他們的第三個 AKE 模型(與 Pointcheval 一起),它還處理基於密碼的身份驗證的情況?
  • 或者以各種方式擴展或更新上述模型的許多衍生模型中的任何一個,但通常仍被稱為屬於“類 BR”模型家族?

如果您問題中的 BR 模型被具體解釋為上述前三個模型中的任何一個,那麼答案是:

  • BR93:不需要前向保密。這是因為該模型沒有為對手提供任何獲取長期密鑰的方法。
  • BR95:需要前向保密。這是因為 BR95 提供了一個損壞查詢,它使攻擊者可以訪問使用者的內部狀態(包括其長期密鑰)。
  • BPR00:需要前向保密。同樣,在這個模型中,攻擊者被提供了一個查詢,允許它獲取使用者的長期密鑰。

但是,如果您的問題更籠統地涉及被視為一系列模型的 BR 模型,所有這些都圍繞一些核心建模概念,那麼答案是:視情況而定。我的意思是可以修改 BR 模型以適應前向安全和非前向安全協議。要對前向安全協議進行建模,請包含一個 Corrupt-query(或類似的東西),它允許攻擊者獲取長期密鑰。要為非前向安全協議建模,請忽略此查詢(或至少將其限制在測試會話中)。

關於您關於新鮮度的問題,這實際上與協議本身無關,而是關於建模工件。即,通過 BR 模型中給予對手的查詢和能力(無論你想要哪種風格),對手總會有辦法輕易破壞任何協議。這與協議的實際安全程度無關,因為這些微不足道的攻擊是模型固有的,並不對應於任何現實生活中的攻擊。因此,引入新鮮度的概念來糾正這些微不足道的攻擊,即只“允許”對手進行不被視為微不足道的攻擊。然而,我應該指出,實際上弄清楚微不足道的攻擊是什麼,有時可能有點棘手。

引用自:https://crypto.stackexchange.com/questions/62040