為什麼 PKI 方案需要安全證明？

在設計新的基於 PKI 的密鑰交換協議時，為什麼需要安全證明？

沒有它們，我們能證明協議的安全性嗎？是否存在基於 PKI 的密鑰交換協議，無需安全證明即可安全？

如果您甚至無法提供基本的安全性證明，或者無法將協議安全性降低到正在使用的底層算法，那麼您應該假設該協議是不安全的。

即使有安全證明，也應該對針對協議的攻擊進行邏輯分析，因為證明可能僅限於針對有限數量攻擊的安全性，並且在實踐中必須考慮所有攻擊，即使是那些不常見甚至不切實際的攻擊.

讓我建議您：嘗試在沒有任何安全證明的情況下寫下您的協議。既然你認為沒有攻擊，那就在這裡試試吧：Proverif ( http://prosecco.gforge.inria.fr/personal/bblanche/proverif/ ) 或 Scyther ( http://people.inf.ethz.ch ) /cremersc/scyther/）。它們是協議形式驗證的工具。他們不僅會告訴你你的協議是否安全，還會告訴你它是如何被攻擊的。

引用自：https://crypto.stackexchange.com/questions/10221