Protocol-Design
是否存在在 eCK 模型中安全且具有 PFS 的兩遍 AKE 協議?
正如我們所知,DH 消息可以實現的最好的兩通 AKE 協議是完美前向安全(wPFS)的弱形式,它保證了對被動對手的安全性。但是“具有完美前向安全性的強安全一輪認證密鑰交換協議”(黃海)聲稱,它提出的 AKE 可以在一輪內針對主動對手實現完美前向安全性。
那是對的嗎?為什麼?
可以在兩條消息中針對活躍的對手實現 PFS。您提到的“我們知道”是不正確的;這種誤解似乎源於對 Krawczyk 在 2005 年的HMQV 論文中的結果的過度解釋。充其量,該論點似乎適用於交換 g^x、g^y 形式的消息的協議,其中 x 和 y 是隨機值:對於這些協議,您似乎無法通過 Krawczyk 的範例攻擊來針對活躍的對手實現 PFS。然而,他的論點通常不適用於兩個消息協議(例如,交換不同形式的消息)。
這種誤解在 Cremers 和 Feltz 的這篇論文的介紹中得到了詳細解釋,其中還包括一個完整的安全模型和一個(構造一個)雙消息協議的詳細證明,該協議實現了一種隱含 eCK 的安全形式- 針對活躍對手的安全性和 PFS。
有一個較早的協議(由 Gennaro、Krawczyk 和 Rabin 編寫)在兩條消息中實現了針對主動對手的 PFS,並且還進行了隱式身份驗證,但沒有實現 e-CK 安全性:它是在文章末尾描述的基於 PKI 的變體這篇論文。
eCK 安全變體的第一個描述可在此處找到。
所以是的,有可能實現這一目標。