安全目标
几种常见的攻击
密钥协商的目的是在不可靠或者充满恶意的通信环境下实现参、参与者的安全会话。在这种环境中,存在着多种多样的攻击方式,它们可以是数学上的,也可以是物理方式上的;可以利用通信手段的缺陷,也可以利用协议本身的漏洞。攻击者不仅允许截获、修改和删除协议规定的通信信息,也允许控制一
个或多个参与者,甚至加入任何可能的消息,把协议的消息转向其他接收者等。这些攻击手段隐晦而多样,也决定了分析密钥协商协议安全的复杂性
常见的认证密钥协商的安全目标
-
隐式认证(함축적 키 인증성 IKA, Implicit Key Authentication): 协议的参与者(可能包括服务器)可以确保除了指定是体外,其他任何实体都不能得到会话密钥
-
密钥确认(키 확인 Key Confirmation):协议的参与者可以确认其他合法的实体已经得到本次协商的会话密钥,如果想要达到这一安全目标,需要单独增加一次通信
-
显示认证(명시적 키 인증성 EKA, Explicit Key Authentication):如果一个密钥协商协议既能实现隐式认证,又能实现密钥确认,则称其具备显示认证的性质
-
已知密钥安全(알려진 키에 대한 인증성 K-KS, Known-Key security)。一个协议具有已知密钥安全, 是指即使敌手已经知道了除当前会话之外的会话密钥,也不会影响当前会话的安全。这一安全属性已经成为密钥协商的标准需求之一
-
抗密钥泄露伪装攻击(키 위장 Key-Compromise Impersonation)。假设实体A 和B 是协议的两个参与者, 则当A 的长期私钥被敌手获得后, 该敌手显然能够冒充A 与其他协议的参与者(例如B)进行通信。然而,如果该协议抗密钥泄露伪装攻击,则这一密钥泄露不能使得敌手反过来向实体A 冒充为其他参与者(例如B)(密钥泄露冒充攻击是一种已知密钥攻击)
-
抗未知密钥共享攻击(마지의 키 공유(UK-S, Unknow Key-Share))。在某些情况下,敌手未必能得到会话密钥相关的秘密信息,但是可以欺骗实体关于其对等身份的信息。如果敌手能成功对参与者A 和B 之间进行的密钥协商协议进行未知密钥共享攻击,那么参与者A 认为自己与B 之间建立了共享的会话密钥,而参与者B 则认为自己与敌手之间建立了会话密钥。这一攻击可以导致参与者把信息发给错误的实体,或者接收数据并认为它来自一个错误的参与者
-
前向安全(전향적 보안성 FS, Forward Secrecy)。粗略地说,如果协议参与者的长期私钥被敌手获得,而敌手不能由此求出参与者在私钥泄露前协商获得的会话密钥的话,则称该协议具有前向安全性。根据会话性质的不同,前向安全性可分为完美前向安全性和弱的完美前向安全性。具体来说,如果长期私钥泄露前的会话受到了敌手的破坏(该攻击者获得了参与者的长期私钥,并为其选择了这次会话的临时私钥),而敌手仍无法获得这次会话的会话密钥,则称该协议具有完美前向安全性;若协议只能保证敌手在获得参与者的长期私钥后,之前的那些未被敌手破坏的会话的会话密钥不能被敌手获得,则称该协议具有弱的完美前向安全性。Krawczyk[7]对协议的前向安全性进行了详细研究,指出基于公钥的两轮的双方认证密钥协商协议都无法实现完美前向安全性,而只能实现弱的完美前向安全性。
安全性分析
-
已知密钥安全
在每次协议过程中,临时私钥 a 和 b 都由参与者自己重新选取,因此,每次协议所生成的会话密钥也是不同的。换句话说,即使敌手知道了之前会话的会话密钥,也不会对其所要攻击的协议过程的会话密钥的安全性造成影响。 -
完美前向安全性
假设参与者 A 和 B 的长期私钥 SA 和 SB 泄露,敌手也无法获得本次协商的会话密钥。事实上,由于每次密钥协商的会话密钥都是由参与者的长期私钥和临时私钥通过计算得到的,因此敌手即使获得了参与者的长期私钥,只要其没有控制参与者(即可以控制临时私钥),敌手就无法得到会话密钥。因\此,改进后的协议满足完美前向安全性。 -
抗密钥泄露冒充攻击
假设参与者 A 的长期私钥 SA 被敌手获得后,敌手试图冒充 B 与 A 建立会话密钥。为了达到这一目的,敌手 E 需要首先计算得到 KAB ,但由于其不知道a 或者 SB ,从而无法得到 KAB 。在改进的协议中,敌手需要知道 KAB 和 K′AB 才可以获得会话密钥,因此改进避免了敌手发起密钥泄露冒充攻击。 -
抗未知密钥共享攻击
在改进的协议中,会话密钥中包含了参与者的身份值,这一改进使得敌手无法在协议进行过程中作为一个合法的参与者而使得对方无法分辨其真实性,因此避免了未知密钥共享攻击。
566
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
