امکیووی
امکیووی (MQV) یک پیش نویس معتبر برای طرحهای DIFFLE HELMAN که بر پایهٔ توافق نامه های کلیدی است میباشد.
مانند دیگر طرحهای معتبر diffie hellman.
mqv نیز در برابر یک مهاجم فعال محافظ ایجاد میکند. این پیش نویس میتواند طوری اصلاح شودکه در یک گروه قراردادی محدود و بهخصوص در گروههای منحنیهای بیضوی کارکند؛ که با نام ecmqv شناخته میشود.
mqvدر ابتدا توسطAlfred Menezes, Minghua Qu. Scott Vanston در سال ۱۹۹۵ مطرح شد ودر سال ۱۹۹۸ توسط l> , aw , Solinaasبا>وجود انواع یک بار دو بار و سه بار تأیید و اصلاح شد.
MQV در استاندارد عمومی IEEE P1363 و استاندارد SP800-56A NIST در کلید عمومی گنجانیده شدهاست.[۱]
برخی از انواع MQV در حق ثبت اختراعات به Certicom ادعا شدهاست.
ECMQV از مجموعه استاندارد B رمزنگاری آژانس امنیت ملی حذف شدهاست.
شرح
[ویرایش]alice یک جفت کلیدی دارد کلید عمومی او و کلید خصوصی او است و باب جفت کلیدی دارد کلید عمومی او و کلید خصوصی اونشان داده میشود
در ادامه معنای زیر را دارد: اگر یک نقطه در یک منحنی بیضوی باشد. سپس جایی که و منظور از نقطه تولید ژنراتور است . بنابراین اولین سری بیتهای L که در مختصات اول هستند.
گام | عمل |
---|---|
۱ | آلیس یک جفت کلید تولید میکند با تولید تصادفی و محاسبه با نقطه ای از منحنی بیضوی. |
۲ | باب یک جفت کلیدی تولید میکند به همان روش آلیس |
۳ | حالا آلیس به پیمانهٔ n را حساب میکند و Xرا به باب میفرستد. |
۴ | باب به پیمانهٔ n را حساب میکند و Yرا به آلیس میفرستد |
۵ | آلیس و باب را حساب میکند. جایی که کوفاکتور است (رجوع کنید به رمزنگاری منحنی بیضوی: پارامترهای دامنه). |
۶ | ارتباط مجهول موفقیتآمیز بود. میتوان از یک کلید برای یک الگوریتم کلید متقارن استفاده کرد میتوان از استخراج کرد. |
توجه: برای ایمن بودن الگوریتم برخی از بررسیها باید انجام شود. به هنکرسون و همکاران مراجعه کنید.
صحت
[ویرایش]باب محاسبه میکند:
آلیس محاسبه میکند:
بنابراین مجهولات مشترک در واقع یکسان هستند با
MQV در مقابل HMQV
[ویرایش]پیش نویس اصلی MQV شامل هویت کاربرهای بخش ارتباط دهنده در جریان مبادلات کلیدی را شامل نمیشود. هویت کاربرها فقط در فرایند تأیید کلید صریح بعدی گنجانده شدهاست. با این وجود، تأیید کلید صریح در MQV اختیاری است (و در تصریح IEEE P1363). در سال ۲۰۰۱، کالیسکی یک حمله ناشناس کلید مشترک را ارائه داد که از هویت مفقود شده در پیش نویس کلید تبادل MQV سوء استفاده میکرد.[۲] این حمله در مقابل MQV مجزا عمل کردکه تأیید صریح کلید ندارد. در این حمله، کاربریک کلید جلسه را با کاربر دیگری پایهریزی میکند اما به این باور فریب میخورد که وی این کلید را با کاربر متفاوت دیگری به اشتراک میگذارد. در سال ۲۰۰۶، Menezes و Ustaoglu پیشنهاد کردند این حمله را با درج هویت کاربرها در عملکرد مشتق کلید در پایان مبادله کلید MQV، برطرف کنند.[۳] فرایند تأیید کلید صریح همچنان اختیاری باقی میماند.
در سال ۲۰۰۵، کراوسیک یک نوع هش از MQV را به نام HMQV پیشنهاد کرد.[۴] پیش نویس HMQV برای مقابله با حمله کلایسکی (بدون تأیید کلید صریح) با اهداف اضافی دستیابی به امنیت قابل اثبات و بهرهوری بهتر طراحی شدهاست. HMQV سه تغییر در MQV ایجاد کرد:
- شامل شدن هویت کاربر در جریان مبادلات کلیدی: بهطور خاص تری، قراردادن و جایی که و به ترتیب هویت آلیس و باب هستند.
- حذف شرط الزامی در MQV که یک مجوز اعتباری (CA) باید اثبات تملک کلید خصوصی کاربر را در حین ثبت کلید عمومی تأیید کند. در HMQV , CA فقط باید کلید عمومی ارسالی را بررسی کند که ۰ یا ۱ نباشد.
- حذف شرط الزامی در MQV که یک کاربر باید تأیید کند که آیا کلید عمومی زودگذر دریافت شده یک کلید عمومی معتبر است (به عنوان اعتبار کلید عمومی شناخته میشود). در HMQV، یک کاربر صرفاً نیاز دارد کلید عمومی زود گذر دریافتی از نظر ۰ یا ۱ نبودن را بررسی کند.
HMQV ادعا میکند در عملکرد از MQV برتر است زیرا از عملیاتهای ۲) و ۳)، بالا معاف است درحالیکه در MQV اجباری است. مقاله HMQV «مدارک امنیتی رسمی» را شامل میشود که اطمینان حاصل شود که معاف شدن از این دو عملیات ایمن است.
در سال ۲۰۰۵، منیز برای اولین بار حمله به زیر گروه کوچک علیه HMQV ارائه داد.[۵] این حمله از فقدان دقیق اعتبارسنجی کلید عمومی در ۲) و ۳) بهره میبرد. این نشان میدهد که هنگام درگیر شدن با یک مهاجم فعال، پیش نویس HMQV اطلاعاتی در مورد کلید خصوصی طولانی مدت کاربر درز میدهد و بسته به تنظیمات گروه رمزنگاری زمینه ای، ممکن است کل کلید خصوصی توسط مهاجم بازیابی شود. منزز پیشنهاد کرد که حداقل با تعیین اعتبار کلید عمومی در ۲) و ۳) به این حمله رسیدگی کند.
در سال ۲۰۰۶، در پاسخ به حمله منیز، کروشزیک HMQV را در ارسال IEEE P1363 تجدیدنظر کرد (شامل پیش نویس IEEE P1363 D1-pre). با این حال، به جای اعتبار کلیدهای عمومی بلند مدت و زودگذر در ۲) و ۳) به ترتیب به عنوان دو عملیات جداگانه، Krawczyk پیشنهاد کرد تا آنها را در یک عملیات ترکیبی در طی فرایند تبادل کلید اعتبار سنجی کند. این باعث صرفه جویی در هزینه میشود. با جایگذاری اعتبار کلید ترکیبی عمومی، از حمله منیز جلوگیری میشود. HMQV اصلاح شده هنوز هم میتواند ادعا کند که از MQV کارآمد تر است.
در سال ۲۰۱۰، هائو دو حمله به HMQV اصلاح شده ارائه داد (همانطور که در پیش نویس IEEE P1363 D1- پیشبینی شدهاست).[۶] اولین حمله از این واقعیت سوء استفاده میکند که HMQV اجازه میدهد تا هر رشته دادهای به غیر از ۰ و ۱ به عنوان یک کلید عمومی بلند مدت ثبت شود. از این رو، یک عنصر زیر گروه کوچک مجاز است به عنوان «کلید عمومی» ثبت شود. با آگاهی از این «کلید عمومی»، کاربر میتواند تمام مراحل تأیید صحت را در HMQV بگذراند و در پایان کاملاً «تأیید شده» است. این در تضاد با درک مشترک است که «احراز هویت» در یک پیش نویس معتبر مبادله کلید بر اساس اثبات دانش یک کلید خصوصی تعریف شدهاست. در این حالت، کاربر «تأیید اعتبار» میشود اما بدون داشتن کلید خصوصی (در واقع، کلید خصوصی وجود ندارد). این مسئله برای MQV کاربرد ندارد. حمله دوم از حالت خود ارتباطی سوءاستفاده میکند، که صریحاً در HMQV پشتیبانی میشود تا به کاربر اجازه دهد با استفاده از همان مجوز کلید عمومی ارتباط برقرار کند. در این حالت، HMQV در برابر یک حمله ناشناخته کلید مشترک آسیبپذیر است. برای مقابله با حمله اول، هائو پیشنهاد کرد اعتبار سنجی کلید عمومی را در ۲) و ۳) جداگانه انجام دهد، همانطور که در ابتدا توسط Menezes پیشنهاد شدهاست. با این حال، این تغییر مزایای بهرهوری HMQV نسبت به MQV را کاهش میدهد. برای مقابله با حمله دوم، هائو پیشنهاد کرد که هویتهای دیگری را برای تمایز کپی از خود یا غیرفعال کردن حالت خود ارتباطی درج کند.
دو حمله هائو توسط اعضای کارگروه IEEE P1363 در سال ۲۰۱۰ مورد بحث قرار گرفت. با این حال، هیچ اجماعی در مورد چگونگی تجدید نظر در HMQV وجود ندارد. در نتیجه، مشخصات HMQV در پیش نویس IEEE P1363 D1-پیش بدون تغییر بودهاست، اما استانداردسازی HMQV در IEEE P1363 از آن زمان به بعد متوقف شدهاست. [نیازمند منبع]
جستارهای وابسته
[ویرایش]منابع
[ویرایش]- ↑ Barker, Elaine; Chen, Lily; Roginsky, Allen; Smid, Miles (2013). "Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography". doi:10.6028/NIST.SP.800-56Ar2. Archived from the original on 16 April 2018. Retrieved 15 April 2018.
{{cite journal}}
: Cite journal requires|journal=
(help) - ↑ Kaliski, Burton S. , Jr. (August 2001). "An Unknown Key-share Attack on the MQV Key Agreement Protocol". ACM Transactions on Information and System Security. 4 (3): 275–288. doi:10.1145/501978.501981. ISSN 1094-9224.
- ↑ Menezes, Alfred; Ustaoglu, Berkant (2006-12-11). On the Importance of Public-Key Validation in the MQV and HMQV Key Agreement Protocols. Progress in Cryptology - INDOCRYPT 2006. Lecture Notes in Computer Science. Springer, Berlin, Heidelberg. pp. 133–147. doi:10.1007/11941378_11. ISBN 978-3-540-49767-7.
- ↑ Krawczyk, H. (2005). "HMQV: A High-Performance Secure Diffie–Hellman Protocol". Advances in Cryptology – CRYPTO 2005. Lecture Notes in Computer Science. Vol. 3621. pp. 546–566. doi:10.1007/11535218_33. ISBN 978-3-540-28114-6.
- ↑ Menezes, Alfred (2007-01-01). "Another look at HMQV". Mathematical Cryptology (به انگلیسی). 1 (1). doi:10.1515/jmc.2007.004. ISSN 1862-2984.
- ↑ F. Hao, On Robust Key Agreement Based on Public Key Authentication. Proceedings of the 14th International Conference on Financial Cryptography and Data Security, Tenerife, Spain, LNCS 6052, pp. 383–390, Jan, 2010.
- Kaliski, B. S. , Jr (2001). "An unknown key-share attack on the MQV key agreement protocol". ACM Transactions on Information and System Security. 4 (3): 275–288. doi:10.1145/501978.501981.
- Law, L.; Menezes, A.; Qu, M.; Solinas, J.; Vanstone, S. (2003). "An Efficient Protocol for Authenticated Key Agreement". Des. Codes Cryptography. 28 (2): 119–134. doi:10.1023/A:1022595222606.
- Leadbitter, P. J. ; Smart, N. P. (2003). "Analysis of the Insecurity of ECMQV with Partially Known Nonces". Information Security. 6th International Conference, ISC 2003, Bristol, UK, October 1–3, 2003. Proceedings. Lecture Notes in Computer Science. 2851. pp. 240–251. doi:10.1007/10958513_19. ISBN 978-3-540-20176-2.
- Menezes, Alfred J. ; Qu, Minghua; Vanstone, Scott A. (2005). Some new key agreement protocols providing implicit authentication (PDF). 2nd Workshop on Selected Areas in Cryptography (SAC '95). Ottawa, Canada. pp. 22–32.
- Hankerson, D.; Vanstone, S.; Menezes, A. (2004). Guide to Elliptic Curve Cryptography. Springer Professional Computing. New York: Springer. doi:10.1007/b97644. ISBN 978-0-387-95273-4.