MQV 協議和中間人攻擊
為什麼說 MQV 是“經過身份驗證的 Diffie-Hellman”協議?圖片中的過程沒有顯示任何關於身份驗證的內容。此外,中間人可以冒充B與A談判,因為A不驗證B的身份。
圖片中的過程沒有顯示任何關於身份驗證的內容
您是正確的,因為永遠不會發送顯式簽名,但是交換涉及所謂的隱式簽名。您會注意到,共享密鑰的派生不僅依賴於臨時會話密鑰 $ (x,X) $ 和 $ (y,Y) $ , 也是長期認證密鑰 $ (a,A) $ 和 $ (b,B) $ . 然後的概念是創建一個系統,其中兩者的知識 $ x $ 和 $ a $ Alice 需要建構正確的共享密鑰。如果任何一方都不知道這兩個私鑰,那麼他們將在已建立的秘密上存在分歧,因此交換將失敗。
這在 AKE 中的重要性在於我們建構了一個方案,該方案保留了臨時密鑰交換的許多理想特徵,同時仍然具有可用作證書基礎的長期密鑰。如果協議成功(假設對 MQV 沒有好的攻擊),各方可以放心,他們知道他們的長期公鑰對應的私鑰 $ A,B $ .
此外,中間人可以冒充B與A談判,因為A不驗證B的身份。
你是對的;未經受信任的第三方的原始形式的方案很容易受到聲稱是合法方而只是發布自己的長期密鑰的人的攻擊。但是,這不是此處提供的形式進行身份驗證的密鑰交換的目的。此處介紹的經過身份驗證的密鑰交換的目的是驗證私鑰的所有權,這與身份不同。就像數字簽名實際上並不能證明愛麗絲簽署了什麼,只有知道與您認為是愛麗絲的公鑰相對應的私鑰的人簽署了它。
我們可以建構一個驗證身份的系統,該系統藉助證書和 CA 形式的 T3P 驗證私鑰所有權的系統。
這並不是說沒有對 MQV 的攻擊會破壞其預期目標的某些方面
B. Kaliski表明MQV 容易受到未知密鑰共享攻擊,由此 Eve 可以欺騙兩個參與者執行密鑰交換,其中:
- Alice 知道她正在與 Bob 進行密鑰交換
- Bob 認為他正在與 Eve 進行密鑰交換
請注意,Eve 實際上並沒有發現共享秘密,這可以通過密鑰確認步驟來緩解,在該步驟中,參與者相互證明他們知道共享秘密,但 MQV 協議並不強制這樣做。HMQV是協議的一個版本,旨在阻止攻擊,同時不需要明確的密鑰確認。