哪些密鑰交換協議使前向保密能夠抵抗未來的進展?
我(錯誤地)理解我被告知的意思是 TLS 中的 DHE,IPSec 中的 PFS 不提供Forward-Secrecy;並且有人告訴我,常見的前向安全密鑰交換協議僅限於建立非對稱密鑰,或者當非對稱密碼系統的某些安全假設的安全性崩潰時容易受到攻擊。
我問哪些(最好是經過充分研究的)密鑰交換協議(如果有的話,我現在開始懷疑)提供以下增強形式的前向保密,用於通過一些非對稱私有/公共交換廣泛的臨時對稱密鑰密鑰對;在確保在所使用的非對稱協議基礎的硬度假設成立的日期進行的攔截,即使在所述硬度假設之後,也無法幫助恢復建立的臨時對稱密鑰不再成立。
注意:我現在意識到所有非對稱密碼系統的硬度假設的崩潰是一個比長期私有非對稱密鑰的妥協更強的假設,這是前向保密的標准假設。
為了使密鑰交換協議(提供完美的前向保密)對量子電腦具有強韌性,他們需要依賴不易受到量子攻擊(後量子加密)的假設,例如基於散列的、基於格的或基於多元二次方程的假設。
顯然,量子密鑰分發是與所有相關問題的密鑰交換的候選者。
pqcrypto.org為後量子研究提供了相當更新的參考。看起來像密鑰交換問題,特別是完美的前向保密到目前為止還沒有真正看到太多的研究。
至少論文平滑投影散列和基於密碼的身份驗證密鑰交換為後量子世界提供了基於密碼的身份驗證密鑰交換的建構。
隨後,我評論了下面引用的部分問題,我只談到了我們使用硬度假設的協議,這些假設在下面的量子電腦出現時不再成立。
…確保在非對稱協議下的硬度假設成立的日期進行攔截,即使在所述硬度假設不再成立之後,也無法幫助恢復建立的臨時對稱密鑰。
我們在這裡談到密鑰交換/密鑰協商協議,它允許各方在某個公共通道上計算一個公共秘密,然後可以使用這個公共臨時秘密來計算一些公共對稱會話密鑰。
密鑰交換上下文中的完美前向保密通常意味著雙方都有一些長期密鑰,並且在每個會話中他們執行一些密鑰協議來計算一個公共會話密鑰,但是長期密鑰的妥協不會危及任何過去會議的保密。
為了計算會話密鑰,發生了一個密鑰協議協議(通常,長期密鑰將用於簽署各方發送的密鑰協議的相應臨時資訊),其中交換的臨時資訊用於計算如果提供了完美的前向保密,則公共密鑰不會確定性地依賴於長期密鑰。無論如何,無論是否完美的前向保密功能,總是會發生密鑰協議。
因此,如果密鑰協議的安全性是基於一些困難假設 $ P_1,\ldots,P_n $ ,如果您考慮提供完美前向保密的密鑰協商協議,這並沒有什麼區別。如果 $ P_i $ 不再成立,例如,如果我們有一台精美的量子電腦,那麼任何密鑰協議的副本都將允許您恢復相應的會話密鑰。
完美的前向保密涉及長期機密的妥協(例如靜態 DH 密鑰的私鑰),但不涉及在給定密鑰協議的副本時打破硬度假設(顯然,因為密鑰協議僅如果硬度假設成立,則有意義)。