後量子世界基於RLWE的可證明安全密碼認證密鑰交換

在這篇論文（Provably Secure Password Authenticated Key Exchange Based on RLWE for the Post-Quantum World）中，作者在第 9 頁和第 10 頁描述了密碼認證密鑰交換方案（參見第 10 頁的圖 1）。

我心中有以下疑惑

1. 最初新使用者如何開始與伺服器通信。新使用者是否有註冊流程？
2. 伺服器如何獲取客戶端密碼，因為在協議中客戶端不發送任何密碼。相反，伺服器將其驗證為 $ \gamma $ ’ = -H 1 (pw c ) 其中 pw c是客戶端密碼。我認為伺服器可能會在註冊階段向客戶端詢問密碼，然後將其儲存在其數據庫中，但我不確定。
3. 在第 10 頁的圖 1 中，客戶端發送 $ <C,m> $ 到伺服器。‘C’ 是客戶的 id 還是 sid 或其他東西。作為作者，不做任何描述。
4. 類似地，S 在會話密鑰形成中 sk c = H 4 (C,S,m, $ \mu $ , $ \sigma $ , $ \gamma $ ’ ) 在圖 1 中。S 是伺服器 id 還是 sid 還是別的什麼？

請指導。

密碼驗證密鑰交換 (PAKE)方案假設雙方有一些共享的秘密（密碼），但熵太少。他們現在想就密鑰達成一致並使用此密碼相互驗證。

訣竅是這樣做的方式是，攻擊者不能用記錄的數據暴力破解密碼。儘管熵很低，這仍可確保密碼保持安全，因為您始終必須與其中一方交談以嘗試猜測。

所以 1. 和 2. 超出了 PAKE 方案的範圍。只是假設密碼是預先共享的。3. 和 4.：是的， $ \mathcal{C}, \mathcal{S} $ 辨識客戶端和伺服器。這些通常必須包含在身份驗證協議中，以避免棘手的中繼攻擊。我推薦博伊德的書以了解詳細資訊。

引用自：https://crypto.stackexchange.com/questions/48566