MQV - MQV

MQV (Menezes - Qu – Vanstoun) an tasdiqlangan protokol uchun asosiy kelishuv asosida Diffie-Hellman sxema. Boshqa tasdiqlangan Diffie-Hellman sxemalari singari, MQV ham faol tajovuzkorlardan himoya qiladi. Ixtiyoriy ravishda ishlash uchun protokol o'zgartirilishi mumkin cheklangan guruh va, xususan, elliptik egri chiziq sifatida tanilgan guruhlar elliptik egri chiziq MQV (ECMQV).

MQV dastlab tomonidan taklif qilingan Alfred Menezes, Minghua Qu va Scott Vanstone 1995 yilda. Qonun va Solinalar bilan 1998 yilda o'zgartirilgan.^{[iqtibos kerak ]}^{[shubhali – muhokama qilish]} Bir, ikki va uch o'tish variantlari mavjud.

MQV ochiq kalit standartiga kiritilgan IEEE P1363 va NIST ning SP800-56A standarti.^[1]

MQV ning ba'zi variantlari berilgan patentlarda talab qilinadi Sertifikat.

ECMQV Milliy xavfsizlik agentligidan olib tashlandi Suite B kriptografik standartlar to'plami.

Tavsif

Elisning kalit juftligi bor ${ displaystyle (A, a)}$ bilan ${ displaystyle A}$ uning ochiq kaliti va ${ displaystyle a}$ uning shaxsiy kaliti va Bobda kalit juftligi mavjud ${ displaystyle (B, b)}$ bilan ${ displaystyle B}$ uning ochiq kaliti va ${ displaystyle b}$ uning shaxsiy kaliti.

Quyida ${ displaystyle { bar {R}}}$ quyidagi ma'noga ega. Ruxsat bering ${ displaystyle R = (x, y)}$ elliptik egri chiziqdagi nuqta bo'ling. Keyin ${ displaystyle { bar {R}} = (x , { bmod {,}} 2 ^ {L}) + 2 ^ {L}}$ qayerda ${ displaystyle L = left lceil { frac { lfloor log _ {2} n rfloor +1} {2}} right rceil}$ va ${ displaystyle n}$ ishlatilgan generator nuqtasining tartibi ${ displaystyle P}$ . Shunday qilib ${ displaystyle { bar {R}}}$ birinchisi L ning birinchi koordinatasining bitlari ${ displaystyle R}$ .

Qadam	Ishlash
1	Elis kalit juftligini yaratadi ${ displaystyle (X, x)}$ tasodifiy ishlab chiqarish orqali ${ displaystyle x}$ va hisoblash ${ displaystyle X = xP}$ bilan ${ displaystyle P}$ elliptik egri chiziqdagi nuqta.
2	Bob kalit juftligini yaratadi ${ displaystyle (Y, y)}$ xuddi Elis singari.
3	Endi, Elis hisoblab chiqadi ${ displaystyle S_ {a} = x + { bar {X}} a}$ modul ${ displaystyle n}$ va yuboradi ${ displaystyle X}$ Bobga.
4	Bob hisoblab chiqadi ${ displaystyle S_ {b} = y + { bar {Y}} b}$ modul ${ displaystyle n}$ va yuboradi ${ displaystyle Y}$ Elisga.
5	Elis hisoblab chiqadi ${ displaystyle K = h cdot S_ {a} (Y + { bar {Y}} B)}$ va Bob hisoblab chiqadi ${ displaystyle K = h cdot S_ {b} (X + { bar {X}} A)}$ qayerda ${ displaystyle h}$ kofaktor (qarang. qarang Elliptik egri kriptografiya: domen parametrlari ).
6	Yashirin aloqa ${ displaystyle K}$ muvaffaqiyatli bo'ldi. A uchun kalit nosimmetrik kalit algoritmi dan olinishi mumkin ${ displaystyle K}$ .

Izoh: algoritm xavfsiz bo'lishi uchun ba'zi tekshiruvlar o'tkazilishi kerak. Hankerson va boshqalarga qarang.

To'g'ri

Bob hisoblaydi: ${ displaystyle K = h cdot S_ {b} (X + { bar {X}} A) = h cdot S_ {b} (xP + { bar {X}} aP) = h cdot S_ {b} (x + { bar {X}} a) P = h cdot S_ {b} S_ {a} P}$

Elis hisoblaydi: ${ displaystyle K = h cdot S_ {a} (Y + { bar {Y}} B) = h cdot S_ {a} (yP + { bar {Y}} bP) = h cdot S_ {a} (y + { bar {Y}} b) P = h cdot S_ {b} S_ {a} P}$

Shunday qilib, umumiy sirlar ${ displaystyle K}$ haqiqatan ham xuddi shunday ${ displaystyle K = h cdot S_ {b} S_ {a} P}$

MQV va HMQV

Asl MQV protokoli asosiy almashinuv oqimlarida aloqa qiluvchi tomonlarning foydalanuvchi identifikatorlarini o'z ichiga olmaydi. Foydalanuvchining identifikatorlari faqat keyingi aniq tasdiqlash jarayoniga kiritilgan. Biroq, MQV-da aniq kalitni tasdiqlash ixtiyoriy (va IEEE P1363 spetsifikatsiya). 2001 yilda Kaliski MQV kalit almashish protokolida yo'qolgan identifikatorlardan foydalangan holda kalitlarni ulashishda noma'lum hujumni taqdim etdi.^[2] Hujum aniq tasdiqlanmagan MQV-ga qarshi ishlaydi. Ushbu hujumda foydalanuvchi boshqa foydalanuvchi bilan sessiya kalitini o'rnatadi, lekin u boshqa foydalanuvchi bilan kalitni baham ko'radi, deb aldanib qoladi. 2006 yilda Menezes va Ustaoglu ushbu hujumni MQV tugmachalarini almashtirish oxirida foydalanuvchi identifikatorlarini kalitlarni chiqarish funktsiyasiga qo'shish orqali hal qilishni taklif qilishdi.^[3] Aniq kalitni tasdiqlash jarayoni ixtiyoriy bo'lib qolmoqda.

2005 yilda Krawczyk MQV ning HMQV deb nomlangan xash variantini taklif qildi.^[4] HMQV protokoli Kaliskining hujumiga qarshi kurashish uchun ishlab chiqilgan (aniq kalitni tasdiqlashni talab qilmasdan), qo'shimcha xavfsizlikni ta'minlash va samaradorlikni oshirishga qaratilgan. HMQV MQV-ga uchta o'zgartirish kiritdi:

Kalit almashinuvi oqimlarida foydalanuvchi identifikatorlari, shu jumladan: aniqroq, ruxsat berish ${ displaystyle { bar {X}} = H (X, B)}$ va ${ displaystyle { bar {Y}} = H (Y, A)}$ qayerda ${ displaystyle A}$ va ${ displaystyle B}$ mos ravishda Elis va Bobning shaxsiyatlari.
MQV-da majburiy talabni olib tashlash, sertifikat idorasi (CA) ochiq kalitni ro'yxatdan o'tkazish paytida foydalanuvchi shaxsiy kalitiga egalik huquqini tasdiqlashi kerak. HMQV-da CA faqat taqdim etilgan ochiq kalitning 0 yoki 1 emasligini tekshirishi kerak.
MQV-da foydalanuvchi qabul qilingan vaqtinchalik ochiq kalitning haqiqiy ochiq kalit ekanligini tasdiqlashi kerak bo'lgan majburiy talabni olib tashlash (ochiq kalitni tasdiqlash deb nomlanadi). HMQV-da foydalanuvchi faqat qabul qilingan vaqtinchalik ochiq kalitning 0 yoki 1 emasligini tekshirishi kerak.

HMQV o'z faoliyatini MQVdan ustun deb da'vo qilmoqda, chunki u yuqoridagi 2) va 3) operatsiyalardan voz kechadi, bu MQVda majburiydir. HMQV qog'ozi ushbu operatsiyalarni bajarish xavfsizligini ta'minlash uchun "rasmiy xavfsizlik dalillari" ni taqdim etadi.

2005 yilda Menezes birinchi bo'lib HMQVga qarshi kichik kichik guruhni qamoqqa olish hujumini taqdim etdi.^[5] Ushbu hujum 2) va 3) dagi ochiq kalit tekshiruvlarining to'liq etishmayotganligidan foydalanadi. Bu shuni ko'rsatadiki, faol tajovuzkor bilan ish olib borishda HMQV protokoli foydalanuvchining uzoq muddatli shaxsiy kaliti haqidagi ma'lumotni tarqatadi va asosiy kriptografik guruh sozlamalariga qarab tajovuzkor tomonidan butun yopiq kalit tiklanishi mumkin. Menezes ushbu hujumni hech bo'lmaganda 2) va 3) bandlarida ochiq kalitlarni tasdiqlashni majburlash orqali hal qilishni taklif qildi.

2006 yilda Menezesning hujumiga javoban Krawchyk HMQV-ni qayta ko'rib chiqdi topshirish IEEE P1363 ga (kiritilgan IEEE P1363 D1-oldingi qoralama ). Biroq, Krawczyk uzoq muddatli va vaqtinchalik ochiq kalitlarni mos ravishda 2) va 3) bandlarida ikkita alohida operatsiya sifatida tasdiqlash o'rniga, ularni kalitlarni almashtirish jarayonida bitta kombinatsiyalangan operatsiyada tasdiqlashni taklif qildi. Bu xarajatlarni tejashga yordam beradi. Birgalikda ochiq kalitni tasdiqlash bilan Menezes hujumining oldi olinadi. Qayta ko'rib chiqilgan HMQV hali ham MQVga qaraganda samaraliroq deb da'vo qilishi mumkin.

2010 yilda Xao qayta ko'rib chiqilgan HMQV-ga ikkita hujum qildi (IEEE P1363 D1-pre-loyihasida ko'rsatilganidek).^[6] Birinchi hujum HMQV ning 0 va 1 dan tashqari har qanday ma'lumot satrini uzoq muddatli ochiq kalit sifatida ro'yxatdan o'tkazishga imkon berishidan foydalanadi. Demak, kichik kichik guruh elementiga "ochiq kalit" sifatida ro'yxatdan o'tishga ruxsat beriladi. Ushbu "ochiq kalit" ni bilgan holda, foydalanuvchi HMQV-da barcha tekshirish bosqichlaridan o'tishi mumkin va oxirida to'liq "autentifikatsiya qilingan". Bu tasdiqlangan kalitlarni almashtirish protokolidagi "autentifikatsiya" shaxsiy kalitni bilishini isbotlash asosida aniqlanadi degan umumiy tushunchaga zid keladi. Bunday holda, foydalanuvchi "autentifikatsiya qilingan", ammo shaxsiy kalitga ega bo'lmagan holda (aslida, shaxsiy kalit mavjud emas). Ushbu muammo MQV uchun qo'llanilmaydi. Ikkinchi hujum o'z-o'zini boshqarish rejimidan foydalanadi, bu HMQV-da aniq foydalanuvchiga bir xil ochiq kalit sertifikati yordamida o'zi bilan aloqa o'rnatishga imkon beradi. Ushbu rejimda HMQV noma'lum kalitlarga tegishli hujumga qarshi himoyasiz ekanligi ko'rsatilgan. Birinchi hujumni bartaraf etish uchun Xao Menezes tomonidan tavsiya etilganidek, 2) va 3) da ochiq kalit tekshiruvlarini alohida bajarishni taklif qildi. Biroq, bu o'zgarish HMQV ning MQVga nisbatan samaradorligini pasaytiradi. Ikkinchi hujumni bartaraf etish uchun Xao o'zini nusxalarini ajratish yoki o'z-o'zini aloqa rejimini o'chirib qo'yish uchun qo'shimcha identifikatorlarni kiritishni taklif qildi.

Xaoning ikkita hujumi IEEE P1363 ishchi guruhi a'zolari tomonidan 2010 yilda muhokama qilingan. Ammo HMQV qanday qayta ko'rib chiqilishi kerakligi to'g'risida kelishuvga erishilmagan. Natijada, IEEE P1363 D1-pre-loyihasidagi HMQV spetsifikatsiyasi o'zgarmadi, ammo IEEE P1363-da HMQV standartlashtirilishi shu vaqtdan beri to'xtab qoldi.^{[iqtibos kerak ]}

Shuningdek qarang

Elliptik egri chiziqli kriptografiya

Adabiyotlar

^ Barker, Eleyn; Chen, Lily; Roginskiy, Allen; Smid, Miles (2013). "Diskret logaritma kriptografiyasidan foydalangan holda juft-dono kalitlarni yaratish sxemalari bo'yicha tavsiyalar". doi:10.6028 / NIST.SP.800-56Ar2. Olingan 15 aprel 2018. Iqtibos jurnali talab qiladi | jurnal = (Yordam bering)
^ Kaliski, Burton S., Jr. (avgust 2001). "MQV kalit kelishuv protokoliga noma'lum kalitlarni ulashish hujumi". Axborot va tizim xavfsizligi bo'yicha ACM operatsiyalari. 4 (3): 275–288. doi:10.1145/501978.501981. ISSN 1094-9224.
^ Menezes, Alfred; Ustaoglu, Berkant (2006-12-11). MQV va HMQV asosiy kelishuv protokollarida ochiq kalitni tasdiqlashning ahamiyati to'g'risida. Kriptologiyada taraqqiyot - INDOCRYPT 2006. Kompyuter fanidan ma'ruza matnlari. Springer, Berlin, Geydelberg. 133–147 betlar. doi:10.1007/11941378_11. hdl:11147/4782. ISBN 9783540497677.
^ Krawczyk, H. (2005). "HMQV: yuqori samaradorlik bilan himoyalangan Diffie-Hellman protokoli". Kriptologiya sohasidagi yutuqlar - CRYPTO 2005. Kompyuter fanidan ma'ruza matnlari. 3621. 546-566 betlar. doi:10.1007/11535218_33. ISBN 978-3-540-28114-6.
^ Menezes, Alfred (2007-01-01). "HMQV-ga yana bir qarash". Matematik kriptologiya. 1 (1). doi:10.1515 / jmc.2007.004. ISSN 1862-2984.
^ F. Xao, Ochiq kalitni tasdiqlash asosida ishonchli kalit kelishuv to'g'risida. Moliyaviy kriptografiya va ma'lumotlar xavfsizligi bo'yicha 14-xalqaro konferentsiya materiallari, Tenerife, Ispaniya, LNCS 6052, 383-390 betlar, 2010 yil, yanvar.

Bibliografiya

Kaliski, B. S., kichik (2001). "MQV kalit kelishuv protokoliga noma'lum kalitlarni birgalikda hujum qilish". Axborot va tizim xavfsizligi bo'yicha ACM operatsiyalari. 4 (3): 275–288. doi:10.1145/501978.501981.
Qonun, L .; Menezes, A.; Qu, M.; Solinas, J .; Vanston, S. (2003). "Tasdiqlangan kalit kelishuv uchun samarali protokol". Des. Kriptografiya kodlari. 28 (2): 119–134. doi:10.1023 / A: 1022595222606.
Leadbitter, P. J.; Aqlli, N. P. (2003). "ECMQVning qisman ma'lum bo'lgan notiqlari bilan ishonchsizligini tahlil qilish". Axborot xavfsizligi. 6 Xalqaro konferentsiya, ISC 2003, Bristol, Buyuk Britaniya, 2003 yil 1-3 oktyabr. Ish yuritish. Kompyuter fanidan ma'ruza matnlari. 2851. 240-251 betlar. doi:10.1007/10958513_19. ISBN 978-3-540-20176-2.
Menezes, Alfred J.; Qu, Minxua; Vanstoun, Skott A. (2005). Yashirin autentifikatsiyani ta'minlaydigan ba'zi bir yangi asosiy kelishuv protokollari (PDF). Kriptografiyada tanlangan joylar bo'yicha ikkinchi seminar (SAC '95). Ottava, Kanada. 22-32 betlar.
Xankerson, D.; Vanston, S.; Menezes, A. (2004). Elliptik egri kriptografiya bo'yicha qo'llanma. Springer Professional hisoblash. Nyu York: Springer. CiteSeerX 10.1.1.331.1248. doi:10.1007 / b97644. ISBN 978-0-387-95273-4.

Tashqi havolalar

[1] Barker, Eleyn; Chen, Lily; Roginskiy, Allen; Smid, Miles (2013). "Diskret logaritma kriptografiyasidan foydalangan holda juft-dono kalitlarni yaratish sxemalari bo'yicha tavsiyalar". doi:10.6028 / NIST.SP.800-56Ar2. Olingan 15 aprel 2018. Iqtibos jurnali talab qiladi | jurnal = (Yordam bering)

[2] Kaliski, Burton S., Jr. (avgust 2001). "MQV kalit kelishuv protokoliga noma'lum kalitlarni ulashish hujumi". Axborot va tizim xavfsizligi bo'yicha ACM operatsiyalari. 4 (3): 275–288. doi:10.1145/501978.501981. ISSN 1094-9224.

[:1-3] Menezes, Alfred; Ustaoglu, Berkant (2006-12-11). MQV va HMQV asosiy kelishuv protokollarida ochiq kalitni tasdiqlashning ahamiyati to'g'risida. Kriptologiyada taraqqiyot - INDOCRYPT 2006. Kompyuter fanidan ma'ruza matnlari. Springer, Berlin, Geydelberg. 133–147 betlar. doi:10.1007/11941378_11. hdl:11147/4782. ISBN 9783540497677.

[4] Krawczyk, H. (2005). "HMQV: yuqori samaradorlik bilan himoyalangan Diffie-Hellman protokoli". Kriptologiya sohasidagi yutuqlar - CRYPTO 2005. Kompyuter fanidan ma'ruza matnlari. 3621. 546-566 betlar. doi:10.1007/11535218_33. ISBN 978-3-540-28114-6.

[5] Menezes, Alfred (2007-01-01). "HMQV-ga yana bir qarash". Matematik kriptologiya. 1 (1). doi:10.1515 / jmc.2007.004. ISSN 1862-2984.

[6] F. Xao, Ochiq kalitni tasdiqlash asosida ishonchli kalit kelishuv to'g'risida. Moliyaviy kriptografiya va ma'lumotlar xavfsizligi bo'yicha 14-xalqaro konferentsiya materiallari, Tenerife, Ispaniya, LNCS 6052, 383-390 betlar, 2010 yil, yanvar.

[1]

[2]

[3]

[4]

[5]

[6]