没有合适的资源?快使用搜索试试~ 我知道了~
理论计算机科学电子笔记121(2005)47-63www.elsevier.com/locate/entcs口令协议抗O-行字典攻击的里卡多·科林1荷兰特文特大学计算机科学学院Jeroen Doumen2荷兰特文特大学计算机科学学院Sandro Etalle3荷兰特文特大学计算机科学学院CWI阿姆斯特丹数学与计算机科学中心摘要研究了口令协议抵抗字典攻击的安全性.除了标准的对手的能力,我们还考虑进一步的加密优势时,考虑到特定的加密方案的密码协议被实例化的对手。我们的工作与应用π演算的阿巴迪和Fournet,其中我们提出了新的方程理论来模拟(新的)advertisement abilities.These新的能力是至关重要的,在我们的案例分析,加密密码传输(EPT)协议的Halevi和Krawczyk,以及著名的加密密钥交换(EKE)的Bellovin和Merritt。在后者中,我们发现了一种攻击,这种攻击是在考虑区分密文和随机噪声的能力时产生的我们建议对EKE进行修改,以防止这种攻击。保留字:密码协议,字典攻击,验证,π演算。1 电子邮件地址:corin@cs.utwente.nl2电子邮件地址:doumen@cs.utwente.nl3电子邮件地址:etalle@cs.utwente.nl1571-0661 © 2005 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi:10.1016/j.entcs.2004.10.00748R. Corin等人理论计算机科学电子笔记121(2005)471介绍由于用户选择的密码具有低熵性,密码协议通常容易受到零行字典攻击。攻击是由一个被动的对手谁窃听协议消息,然后去离线执行密码搜索。最近,已经有一些尝试来处理受到O行字典攻击的密码协议的形式验证[13,7,8]。这些方法基于通常的Dolev-Yao对手,并假设理想或完美的加密:密文不会向没有正确密钥的对手泄露任何不幸的是,假设理想的加密来分析密码协议是不现实的,因为大多数实际的加密方案离这个理想还很远在实践中,密码协议被设计为在使用特定加密方案实例化时是安全的,这使得针对字典攻击的安全性取决于所选择的密码系统。通常,加密方案的安全性由密文满足的某些属性来表征。例如,加密方案被称为重复隐藏[2]如果对手无法检测到使用相同密钥加密的同一消息的两个实例(为了实现这一点,需要概率[10类似地,如果对手不能推断出两个消息是否在同一密钥下加密,则加密方案是哪个密钥隐藏[2]。除了这些一般属性,通常每个特定的密码系统都有自己的微妙之处,也可以为对手提供有用的信息例如,RSA中由一对(n,e)组成的公钥可以区分为因为e是奇数,n不包含小的素因子。正如Mellovin和Merritt [3]所讨论的,这个简单的事实允许在使用RSA实例化时对EKE进行字典攻击。在本文中,我们使用应用π演算[1]来研究密码协议我们的贡献是双重的:首先,我们展示了如何在一个精确的形式化框架中分析密码协议的安全性,当它们被特定的加密方案实例化我们的模型(大部分)这些属性通过扩展应用π演算的方程理论。特别是,我们展示了如何建模的加密方案是重复的,其中的关键揭示,也加密方案,允许对手区分密文和公钥随机噪声。其次,作为示例,我们研究了两个众所周知的协议:Halevi和Krawczyk的EPT协议[11],以及已经提到的EKE协议[3]。对于EPT,我们证明了当加密是重复隐藏时,可以实现对字典攻击的安全性。对于EKE协议,我们表明,如果加密是安全的,R. Corin等人理论计算机科学电子笔记121(2005)4749˜˜--˜----密钥隐藏,并且密文和公钥与随机噪声不可区分。有趣的是,我们的分析帮助我们识别了当密文可识别时出现的EKE的漏洞。为了解决这个问题,我们提出了一个简单的修改(据我们所知)是新颖的。2应用π演算我们首先非常简要地总结了Abadi和Fournet的应用Pi演算,借用[1](逐字复制定义)。进程语法类似于pi演算中的语法,区别在于消息可以包含术语,并且名称不需要只是通道名称:P、Q、R = 0|P|Q|!P| vn.P|如果U=V则P,否则Q|u(x).P||uV.P我们将在后面的2.1节中描述我们的术语语法及其等式理论。在这个演算中,上面定义的普通过程被扩展为主动替换{x=V},这意味着用项V替换变量x。 x=V可以表示一个术语V已经被发送到环境的情况,但是环境可能没有出现在V中的原子名称。环境仍然可以通过使用x来引用V。我们使用[1]中定义的过程之间的等价、归约(→)、结构等价(结构等价)和观测等价(观测等价)的标准概念(由于空间限制以及我们将主要使用静态等价的事实,我们在这里不定义它们,如下所述)。帧,范围超过φ,φ,. 是通过并行合成和限制从活动子结构建立起来的过程。框架φ的域dom(φ)是框架导出的所有变量,即。 变量使得x=V在φ中,x不受限制。 给定一个项M,我们记fn(M)为出现在M中的自由名的集合。现在我们可以定义两项在给定的框架中何时相等(这个定义和下一个定义来自[1])。定义2.1我们说两个项M和N在标架中相等,并记为(M = N)<$,当且仅当对某些名称n和代换σ,Mσ = Nσ和{n}<$(f n(M)<$fn(N))=<$。例2.2我们借用[ 1 ]中的一个例子。设f和g是两个没有方程的函数(它们可以被认为是两个独立的单向函数)。设φ0= νK,s。{x = K,y = s},φ1= νK。{x = f(K),y = g(K)},φ2= νK。x = K,y = f(K).在φ0中,x和y是不相关的,因此它们不能被任何一对项M和N区分。 在φ1中也是如此。然而,在φ2中,x和y是相关的:y是通过应用f从x得到的。更正式地,令M=f(x)且N=y。 则对i∈[0,1],(M=N)φ2而不是(M=N)φi50R. Corin等人理论计算机科学电子笔记121(2005)47≈这个例子激发了静态等价物的定义:定义2.3我们说两个封闭的(即没有自由变量)框架和是静态等价的,当dom()=dom()时,并且当对于所有项M和N,我们有(M=N)当且仅当(M=N)时,写作。给定两个闭扩展过程A和B,我们可以0. 然后我们说两个闭扩展过程是静态等价的,当它们的标架是静态等价的时,我们写A是B我们从[1]中引用一个有用的引理。引理2.4[1].(i) 观测等价和静态等价在标架上是一致的。在扩展过程上,Ob-服务等价比静态等价更严格。(ii) 静态等价在约简和结构等价下是封闭的现在我们准备用术语语法和等式理论来实例化微积分。2.1应用π演算在本节中,我们首先用我们的术语gram-mar实例化应用的pi演算。然后,我们提出代表标准对手能力的方程理论EQ0之后,我们扩展EQ0与EQ1和EQ2,两个等式理论,提供进一步的对手的能力。我们的术语语法如表1(左)所示。除了名称和变量,我们还有常用的配对构造函数,以及它的投影。给定一个代表私钥的名字K(因此通常看起来是受限制的),我们可以导出一个公钥pk(K),然后可以用于(公钥)加密4。我们还定义了通常的哈希函数。我们的加密构造函数(对称和非对称)采用名称r作为随机参数。这使我们能够对概率加密进行建模。通过明确地将随机性参数视为一个名称,比如r,我们可以通过简单地限制或不限制r来轻松地对重复隐藏与揭示密码系统进行建模(这种建模已经在[1]中提出)。另一方面,解密是确定性的。4但是,请注意,通常不可能从先前创建的私钥中获得公钥:通常,密钥对是同时创建的。因此,当使用限制ν创建私钥K时,我们假设相应的公钥也被创建。然后,构造函数pk(K)只是指向这个公钥的指针R. Corin等人理论计算机科学电子笔记121(2005)4751U,V ::=项a,n,r,N,A,K... 名称x,y,.可变(U,V)对fst(U)场选择器场选择器pk(U)公钥推导hash(U)加密hashsencr(U,V)对称加密pencr(U,V)公钥加密sdec(U,V)对称解密pdec(U,V)公钥解密sdec( sencr(x,y),y)=Xpdec(pencr(x, pk(y)),y)=Xfst((x,y))=Xsnd((x,y))=y表1Grammar for terms(top). 方程式理论EQ 0(底部)。标准方程理论EQ0在表1(右)中示出5 在EQ0中,我们编码了对手的所有标准能力,由解密身份和配对投影给出这里,pk(·)和hash(·)通过在等式0中隐式地不添加任何能力而被建模为不可逆操作。在标准方程理论EQ0下,非确定性加密表现为“安全信封”,模拟重复隐藏密码系统。让我们用一个例子来说明这一点的实际含义。ConsiderP(M)=. vr,K. {x=peNc(M,pk(K)), y=pk(K)}。ProcessP(M)R导出(在x中)M的加密与pk(K),并且还导出(在y中)使用公钥。现在,“安全信封”的性质P(M)sνs,k。{x=s,y=k},这直观上成立,因为r是一个(5)排除了由变量x、y和r的项的自反性、对称性、传递性和替换性得到的所有方程。52R. Corin等人理论计算机科学电子笔记121(2005)47∪∪∪不可猜测的种子 这表示用从K导出的公钥加密消息M的所得密文与随机“噪声”不可区分注意,即使M可能被环境知道(或猜测),这也成立。然而,有人可能会认为这种方法至少在三个方面模拟了一种过于强大,往往不切实际的加密机制:(A1)首先,在特定的密码系统中,即使明文或加密密钥没有泄露,也可以将密文与纯随机噪声区分开。例如,密文存在的通常指示可以在消息的长度中找到(这可能发生,例如,当填充很弱或不存在时)。例如,在 类似地,RSA中彼此接近的数字也可以很好地指示密文。另一个例子是,在McEliece密码系统[15]中,每个密文都是一个码字,其中添加了一个小的向量误差,这使得密文可以与随机噪声区分开来。(A2)第二,类似于上面的第1项,公钥也可以与随机噪声区分开,即使私钥是保密的。作为一个例子(已经在介绍中提到),RSA中的公钥由两个大的自然数n和e组成,其中e总是奇数,n不包含小的素因子。(A3)最后,加密可以是哪个密钥的泄露,允许对手不仅检测密文(如上面的第1项),而且还推断出两个密文是否在同一密钥下加密。2.2密码学与等式理论为了在这些更现实的场景下研究协议的安全性,我们首先需要将(A1),(A2)和(A3)建模为对手的能力。我们用表2的方程理论来实现这一点。在等式1中,我们模拟了攻击者从常规消息中区分密文和公钥的能力:sym密文检测使用对称加密创建的密文,而pk密文识别公钥密文。类似地,valid pk检测公钥。现在,EQ0 EQ1模拟一个对手,其能力包括(A1)和(A2)。在等式2中,我们增加了推断两个消息是否在相同密钥下加密的能力(具有相等的k),建模(A3)。当等式理论为等式0等式1等式2时,安全信封命题不再成立:x可由pk密文检测,y可由有效pkR. Corin等人理论计算机科学电子笔记121(2005)4753J·sym ciphertext(sencr(x,y))pk密文(pencr(x,y))valid pk(pk(x))===真真真same k(sencr(x,k),sencs(y,k))=真same k(pencr(x,k),pencs(y,k))=真表2扩展方程理论:EQ 1(顶部)。 等式2(底部)。最后,x和y的结合可以通过相同的k来识别。 然而,在这方面,一种较弱形式的“安全信封”仍然成立,即Mk,Mj:P(M)= P(M),其表明即使对手能够识别密文pencr (,pk (K))及其加密公钥pk(K),对手仍然不能收集到关于明文M的任何信息。因此,这个较弱的安全信封概念被简化为表示M的秘密性。2.3字典攻击建模在一个零行字典攻击中,对手猜测(弱)共享密码,然后试图用窃听的会话验证猜测[13]。因此,我们可以认为一个协议是安全的,如果它不提供这样的验证可能性的对手。正如我们已经提到的,在应用pi计算中,对手收集的信息可以通过使用帧来表征。 假设帧f表示被窃听ses的信息-假设K是共享的弱密码(K在密码中是自由的,表示K可以被对手“猜测”的事实)。然后,我们可以通过检查攻击者是否可以区分Vk和Vk来表示密码协议抵抗字典攻击的安全性概念,其中K是有界的,表示不可猜测性。更确切地说,通过“看”,我们使用静态等价(static equivalence,简称EVS),如定义2.3所定义。定义2.5设φ是一个框架,其中K是自由的。然后我们说φ验证K的一个猜想,如果φ/φ是νK.φ。 相反,我们说φ是w.r.t.安全的。 如果φ是νK,则K。直觉上,和νK的区别。模拟了对手“命中”正确猜测的情况另一方面,如果和νK.是不可区分的,则对手无法从验证给定的单词(例如来自字典)实际上是正确的密码。例如,如果φ=νNa。{x=(Na,K)},则νK.φ/εsφ. 直觉,这54R. Corin等人理论计算机科学电子笔记121(2005)47J从K是自由的这一事实得出(可猜测!) 在φ中,因此可以用于将x与随机噪声区分开的项中。 为了正式地看到这一点,我们让M=snd(x)和N=K。则(M=N)φ而不是(M=N)νK.φ。 另一方面,如果φ =νNa。{x = sencr(Na,K)}则νK.要明白这一主张的()是容易的;我们证明了相反的情况。设M和N为(M = N)φ。直觉上,我们需要看到使用K并不能帮助φ中M和N相等。我们可以假设Na不出现在M或N中(因为无论如何我们可以通过alpha转换将Na重写为φ中的NaJM和N可以在φ中使用K的唯一情况是解密x;例如,M=sdec(x,K)。但在这种情况下 , N 不 能 是 N a , 因 此 为 了 使 ( M=N ) φ 成 立 , 我 们 必 须 设 置N=M=sdec(x,K)。但这也意味着,通过在φ中对K进行α转换(转换为某个合适的KJ),(M=N)νK.φ也成立。然后,我们得到以下结果:命题2.6考虑一个过程P,假设K在φ(P)中是自由的。又设P→ P→PJ。如果φ(P)证明K,则φ(PJ)证明K。此外,如果φ(P)是相对于r.t.对于K,则φ(P)相对于t是安全的。到K顺序递增的这个命题来自于这样一个事实,即静态等价在归约和结构等价下是封闭的,引理2.4(2)。现在我们准备进行案例研究。3加密口令传输(EPT)协议在本节中,我们将研究加密密码传输(EPT)协议[11]。首先给出了协议,然后将其转化为微积分,最后分析了协议的安全性。EPT被设计为在服务器S和用户U之间运行。我们假设S和U共享弱密码P,并且服务器S具有强公钥-私钥对。此外,U已经存储了S该协议的目标是将U认证为S:S→U:(N,pk(KS))(EPT.1)U→S:pencr((N,P),pk(KS))(EPT.2)该协议如下进行:首先,服务器以明文向用户发送由随机询问(“nonce”)N和他的公钥pk(KS)组成的消息然后,用户检查接收到的公钥在被散列时是否与他自己的(存储的)密钥的散列副本相匹配。如果没有,则用户中止。否则,用户通过用服务器的公钥加密一对N和P来R. Corin等人理论计算机科学电子笔记121(2005)4755|3.1微积分中的翻译首先,我们将用户和服务器转换为适当的进程。 设cSU是从S到U的通信的信道名,并且cUS是从U到S的通信的信道。通过在进程U和S中保持cij自由,我们允许对手(即环境)可以窃听这些信道。我们将S定义为:S=. νKS,N.(c)特别股(N,pk(KS))。c美国(y)。如果((N,P)= pdec(y,KS)),则PS)|{pk = pk(KS)}过程PS对会话成功建立后发生的事情进行注意公钥pk(KS)是如何以变量pk导出的。我们假设在协议中使用的值都没有出现在PS中,并且PS从未公开KS。如果解密失败,则进程将中止(执行else分支的隐式0用户进程U是:U=.vr.(cSU(x). if(hash(snd(x))= hash(pks))thencUSpenccr((fst(x),P),snd(x)penc.PU)类似地,PU是用户在成功执行协议后执行的进程(同样,在PU中没有出现协议的值)。现在,一个用户和一个服务器的系统可以通过让他们共享密码P:νP来设置。(美国).这个过程的正常执行现在可以通过应用约简和等价来建模,如[1]所示:νP。(美国)|S)→→ S(PS|PU|ν P,KS,N,r.=. {x=(N,pk(K)), y=penc((fst(x), P),snd(x)),pks=pk(K)}SrS前两个减少来自消息通信(EPT.1)和(EPT.2),最后一个等价对应于范围收紧。此外,通过结构等价,我们可以重写并获得:ϕ≡ {x=(N,pk(KS)),y=pencr((N, P),pk(KS)), pks=pk(KS)}直觉上,EPT(连同其限制)表示环境从窃听用户U和服务器S之间的EPT运行中所获知的信息。接下来,我们研究是否可以利用记录在XML中的信息来进行O行字典攻击。由于命题2.6的第二部分,如果我们可以认为56R. Corin等人理论计算机科学电子笔记121(2005)47w.r.t. 到P,那么我们可以肯定,每一个其他更早的帧也是安全的w.r.t. 到KS。3.2字典攻击下面的引理表明EPT是安全的,因为它不向对手提供对密码猜测的验证为了对此进行建模,我们通过将P从限制中移除来使P是可猜测的,然后将结果与它仍然受到限制的情况进行比较,就像我们在定义2.5中对猜测攻击的形式化一样:引理3.1设PS和PU是其中P、KS、N和r不自由的过程。然后又道:(P|PU)|νP,KS,N,r.|PU)|VKS,N,r.证据 我们首先确定:νP,KS,N,r.sνKS,N,r.(4)这种情况()是直接的,所以我们证明了相反的情况。设M和N是项s.t。(M=N)νKS,N,r.我们首先注意到KS不能从φ得到,因为构造函数pk(·)在方程理论中没有逆。如果P不出现在M或N中,那么很容易得到这个主张。现在假设P确实出现在M或N中。由于私钥KS不能从φ中获得,那么φ中的y不能被解密;那么P只能在M或N中用于加密类似于y的项。但这是不可能的,因为r被限制在y中,于是我们得到(M=N)νP,KS,N,r. π,从而建立(4)。请注意,即使当我们把等式理论看作是我们最强大的对手时,这一点也是成立的,因为等式0<$等式1<$等式2。最 后 , 通 过 引 理 2.4 ( 1 ) , 我 们 将 结 果 提 升 到 观 测 等 价(observational equivalence)。Q直觉上,这个引理来自于这样一个事实,r是一个不可猜测的、新生成的种子,然后环境永远无法区分y中的y和噪声。在证明这一引理时,主要的密码学要求的亲,母育酚w.r.t.其潜在的加密被揭开:它必须是重复隐藏的。在重复揭示(因此是确定性的)加密的情况下发现攻击并不困难。为了模拟确定性加密,我们从限制算子中删除r,从而让环境控制它。因此,设φ0为νP,KS,N. N,φ1为νKS,N. N。那么,φ0/φsφ1。设M1=y,M2=pencr((fst(x),P),snd(x)). 则(M1=M2)φ1但不R. Corin等人理论计算机科学电子笔记121(2005)4757(M1=M2)φ0.因此,当加密不是重复隐藏时,协议是不安全的。这与[11]一致,其中要求加密在语义上是安全的[10]6。基础加密不必隐藏哪个密钥来建立EPT的安全性。事实上,所有由EQ1和EQ2引入的能力并不都是一种选择.这使得EPT成为一个强大的协议。有趣的是,在我们分析的下一个协议(EKE协议)中,要求是相反的:重复隐藏被证明是无关紧要的,而隐藏哪个密钥的特征对于建立针对字典攻击的安全性至关重要。4加密密钥交换(EKE)协议在本节中,我们分析[3]中提出的加密密钥交换协议EKE协议的目的是解决认证密钥交换的问题,同时抵抗字典攻击。与前一节中研究的EPT协议不同,EPT协议要求U存储服务器公钥的散列副本,EKE是仅密码协议,它只假设一个弱共享密码。该协议可以描述如下:A→B:sencr(pk(K),P)(EKE.1)B→A:sencs(penct(R,pk(K)),P)(EKE.2)A→B:sencu(NA,R)(EKE.3)B→A:sencv((NA,NB),R)(EKE.4)A→B:sencw(NB,R)(EKE.5)首先,A生成新的私钥K,然后导出公钥pk(K)。然后,A用共享密码P加密pk(K)并发送到B(EKE.1)。然后,B提取pk(K),生成新的会话密钥R并用pk(K)对其进行加密。然后,B再次用P加密产生的消息并将其发送给A(EKE.2)。以下三个消息(EKE。i),i=3,4,5,交换随机数NA和NB以执行防御重放攻击所必需的4.1微积分中的翻译用户进程A可以定义为:[6]事实上,在[11]中,需要一个更强的安全概念,这是抵御积极对手所必需的我们在这里不需要这样做,因为我们只是在对付被动的对手。58R. Corin等人理论计算机科学电子笔记121(2005)47RBA110RS不1A=.维克河(c)在P(pk(K),P)C(十). (v k. ({k=sdec(pdec(x,K),P)}| (νu, NA.cAB⟨sencu (NA, k) ⟩ . cBA(x2)。如果(NA=fst(sdec(x2,k))),则νw.cAB<$sencw(snd(sdec(x2,k)),k)<$. PA)在成功执行协议之后执行过程PA我们假设由协议引入的值中没有一个出现在PA中,除了交换的会话密钥(在PA中表示为自由变量k)。类似地,用户进程B定义如下:B=.(cAB(y1).νs,t,R. cBAsencs(penct(R,sdec(y1,P)),P). cAB(y2)|vv,NB.cBAsencv((sdec(y2,R),NB),R). cAB(y3)。如果(NB=sdec(y3,R)),则PB)在这里,我们对PB要求的限制与对PA要求的限制相同。与EPT协议类似,我们建立了一个会话νP。(A)|B)。现在,这个协议减少了到vP。(A)|B)→5k. (P A)|PB|式中,φ = νP,K,NA,NB,R,r,s,t,u,v,w,φ0,使用:=. {y =senc(pk(K),P),x=senc(penc(R,sdec(y,P)),P),y2=sencu(NA,k),x2=sencv((sdec(y2,R),NB),R)y3=sencw(snd(sdec(x2,k)}上述五种缩减对应于消息交换(EKE)。i),i= 1, 2, 3, 4,5。最后两个等价对应于k的范围收紧加上范围挤压。最后,可以证明:0x1=sencs(penct(R,pk(K)),P),y2=sencu(NA,R),x2=sencv((NA,NB),R),y3=sencw(NB,R)}4.2EKE分析考虑标架φP=νP,K,NA,NB,R,r,s,t,u,v,w.φ0。这里,P−与P相同,但P没有限制。我们对字典攻击的分析可以通过静态等价将CUPAB11R. Corin等人理论计算机科学电子笔记121(2005)4759与CUP-联系起来通过取消对相同名称的限制并将等式理论(等式1和等式2)添加到框架中,我们可以分析一系列不同的场景。我们首先从削弱底层加密开始,并认为EKE是-60R. Corin等人理论计算机科学电子笔记121(2005)47用重复的密码系统实例化(尽管我们仍然只考虑标准能力EQ0)。重复隐藏。在EKE中要注意的一个有趣的事实是,安全性并不真正取决于加密是否是重复隐藏。为了说明这一点,考虑标架φP=νP,K,NA,NB,R,k.<$0,类似地,φP−=νK,NA,NB,R,k.<$0。 帧φP和φP−分别与帧φP和帧φP−相同,但随机值(r,s,t,u,v和w)是这模拟了一种不重复隐藏的加密方案,因为现在对手控制着种子,因此可以检测到相同消息的重复。然而,下面的引理指出,额外的信息不能被对手利用。如果对手能在种子已知的情况下区分φP和φP−,那么她也能在种子不可猜的情况下区分φP和φP−引理4.1 φPsφP− i PsP−。引理成立,因为让对手拥有种子r,s,t,u,v和w永远不会有助于区分xi和yj的任务,因为i=1, 2和j=1, 2, 3。具有r无助于识别y1,因为当K是私有的时,pk(K)与随机噪声不可区分(然而,当考虑等式1时,这不再是真的,如下所述有s和t并不能帮助识别x1,因为现在R是随机的。其余情况类似(对于x2,y2和y3)。然后,我们得到φP<$sφP和φP−<$sφP−,这使我们可以得出φP<$sφP−i <$p<$s <$p−的结论。在建立引理时,我们看到EKE的两个加密要求:(i) 加密可能是重复揭示,因为R是强的。换句话说,当加密是重复暴露时,通过暴力攻击y2,x2和y3来破坏R必须是困难的,因为否则x1可以从噪声中区分出来(因此是P/sP-)。(ii) K不能使用超过一次。这可能是EKE的一个重要缺陷,因为新密钥的生成有时可能是昂贵的。事实上,这就是后来的协议OKE [14]对EKE的改进。为了对使用两次的密钥K进行建模,我们表示共享相同K的两个会话:b e VK,P. (vR,NA,NB.|νRJ,NAJ,NBJ.J0)其中reJ0类似于0。 同样的,letK,P-b e νK。(vR,NA,NB.|其中P是可猜的。现在,K,P/sK,P−,因为环境可以区分mbycomparingsdec(y1, P)和dsdec(y1J,P)。隐藏的钥匙现在,我们考虑对手识别消息加密密钥的可能性。为了对此进行建模,我们考虑R. Corin等人理论计算机科学电子笔记121(2005)4761∪联系我们|{|001Q1S223我们的方程式理论是EQ0<$ EQ2。我们想看看,在一个不隐藏哪个密钥的密码系统下,是否有一个P=P−。 根据引理4.1,它表明φP<$sφP−。然而,事实并非如此,实际上我们可以看到φP/φsφP−。 设M = sdec(x1,P),N = pencw(x,sdec(y1,P)).那么,(same k(M,N)= true)φP−但不是(samek(M,N)= true)φP。识别公钥。在展示引理4.1时,我们使用了这样的论点:当K受到限制并且因此不可猜测时,pk(K)与随机噪声是不可区分的。如果我们把EQ0和EQ1看作是我们的等式理论,这就不再成立了。直觉上,如果对手能够判断公钥是否有效,对手可以比较许多窃听的会话(具有许多消息(EKE.1))并大大缩小密码空间,从而对P进行成功攻击。在我们的设置中,攻击是暴露的,因为当我们添加等式1时,我们立即看到,解密消息(EKE.1)返回一个有效的公钥:设M = valid pk(sdec(y1,P)),N = true。 则(M = N)φP而不是(M = N)φP−。识别密文。当我们考虑等式1时,我们也可以区分密文。然后,可以在(EKE.2)上发起可能的攻击(类似于上面在(EKE.1)上提出的攻击)。在这里,用一个好的猜测解密(EKE.2)返回一个pk密文可以识别的有效密文,从而允许攻击。但是,我们建议将(EKE.2)改为:B→A:pencs(senct(R,P),pk(K))(现在,消息(因此,可以防止上述攻击。据我们所知,这种对EKE的修改以前从未提出过字典攻击的安全性 如果只考虑等式0,即假设加密是密钥隐藏,公钥和密文不可识别,则可以说明EKE对字典攻击的安全性。下一个定理表明,建立的密钥会话是一个安全的密钥,即,对手不能通过仅仅偷听消息来发现它,在方案执行过程中发生变化设P−为νq,r,s,t,u,v,w.其中reJ是J=。 {y=senc(r,P), x=senc(t,P), y=u,x=v,y=w}。然后,我们将v k关联起来。(P A)| PB| EKE中的消息交换,V R。((PAPB)k = RJP-),其中P是可猜测的,但加密随机值r和t。定理4.2设PA和PB是具有自由变量k的过程,其中R不出现。那么,vk。(PA)|PB|ϕP) ≈νR. ((PA|PB){k=R}|P−)。62R. Corin等人理论计算机科学电子笔记121(2005)47≈≈证明素描。由于引理4.1,它表面上表明φ≠φP−,这可以通过对引理4.1中的φP的消息进行案例分析来建立。4.1. 然后,我们可以看到,<$P− s<$JP−,从而得出结论,<$P s<$JP−。为了得到所需的观测等价性,我们应用引理2.3。直觉上,定理4.2说EKE没有给出对P的猜测的验证,而且PA和PB之间的会话密钥k对于由环境表示的对手来说是不可区分的随机噪声5结论本文利用应用的pi演算研究了口令协议抗O-行字典攻击的安全性 我们认为,考虑一个标准的对手与通常的限制能力(在我们的方法表示的方程理论EQ0),是不够现实的,彻底分析密码协议的安全性。为此,我们引入了两个进一步的方程理论EQ1和EQ2,模拟额外的对手能力。后一种能力,即哪个密钥泄露,已经在[9]中考虑过,其中这种能力的存在会立即破坏协议的隐私保证。在本文中,我们允许EQ2显式地进入场景,并研究它的存在是否允许字典攻击。我们还介绍了等式理论EQ1,它模拟了对手从随机噪声中区分密文和公钥的能力。据我们所知,我们不知道其他形式化的安全协议分析方法,考虑这样的一个adversary能力。我们还考虑了对手可以检测到相同消息重复的能力。这些非标准的能力被证明是至关重要的,决定我们的案例研究,EPT和EKE协议的安全性。此外,我们相信,我们的分析有助于确定哪些是协议需要依赖的精确密码学假设此外,我们的技术允许人们发现可能的混淆和可能的攻击来源。特别是,对于使用加密方案实例化的EKE,其中密文可以与随机噪声(即EQ1)区分开,我们发现了一个新的漏洞。为了解决这个问题,我们提出了一个简单的修改(即将(EKE.2)中的加密顺序更改为(EKE'.2作为未来的工作,我们计划分析具有挑战性的问题,分析密码协议的安全性受到字典攻击的存在R. Corin等人理论计算机科学电子笔记121(2005)4763活跃的对手。另一个可能的地点是应用我们的技术来研究(后来)提出的密码协议的丰富领域(例如,在[14,6,12]中提出的协议。最近,Blanchet提出了对Proverif工具的扩展[4],以(自动)证明安全协议的强保密性[5]。事实上,他们的(独立发展的)强保密概念,在[5]的定义2中提出,概括了我们的定义2.5。因此,这将是有趣的,以验证本文中提出的(手动)证明使用Blanchet的技术致谢。感谢Pieter Hartel和匿名评论者提供的有用意见。我们还要感谢Jonathan Herzog提出了一个有益的评论,导致了这项工作。这项工作是在Telematica Instituut支持的LicenseScript项目的背景下进行的。引用[1] M. Abadi和C. Fournet。移动价值、新名称和安全通信。 第28届ACM程序设计语言原理研讨会论文集(POPLACM,2001年1月。[2] M.阿巴迪和P. Rogaway。讨论密码学的两种观点(形式加密的计算可靠性)。《密码学杂志》,第15期,第103斯普林格,2000年。[3] S. Bellovin和M.梅里特加密的密钥交换:基于密码的协议可以防止字典攻击。IEEESymposiumon Security and Privacy,第72IEEE计算机学会,1992年5月。[4] B.布兰切特一个基于Prolog规则的高效密码协议验证器。第14届IEEE计算机安全基础研讨会(CSFW-14),第82IEEE计算机学会,2001年。[5] 布鲁诺·布兰切特。安全协议强保密性的自动证明。 在IEEE Symposium on Security andPrivacy,第86-100页[6] V. Boyko、P. MacKenzie和S.帕特尔可证明安全的密码认证密钥交换使用Di Blee-Hellman。LNCS,1807:156[7] R. Corin,S. Malladi、J. Alves-Foss和S.埃塔勒 你猜怎么着? 这里有一个新的工具,可以发现一些新的猜测攻击(扩展抽象)。In R. Gorrieri和R. Lucchi,editors,IFIP WG 1.7 and ACMSIGPLAN Workshop on Issues in the Theory of Security(WITS),pages 62-71,Warsaw,Poland,Apr 2003.意大利博洛尼亚大学信息科学部[8] S. Delaune存在猜测攻击的入侵者推断问题。安全协议验证研讨会(SPV '2003),法国马赛,9月。 2003,第26-30页,2003。[9] C. Fournet和M.阿巴迪隐藏名字:应用pi演算中的私有身份验证。LNCS第2609卷,第317Springer,2003年1月[10] S. Goldwasser和S.米卡利可能的加密。计算机与系统科学杂志,28:270[11] S. Halevi和H.克劳奇克公钥加密和密码协议。 ACM Transactions on Information and SystemSecurity,2(3):2564R. Corin等人理论计算机科学电子笔记121(2005)47[12] 卡茨河Ostrovsky和M.容仅密码密钥交换协议中的前向保密性。第2576卷,第29 - 44页。Springer,2003年1月。[13] G.洛分析遭受猜测攻击的协议。 安全理论问题讲习班(WITS[14] S.卢卡斯开放密钥交换:如何在不加密公钥的情况下击败字典攻击。安全协议,第5届国际研讨会,LNCS第1361卷,第79-90页。Springer,1997年4月。[15] R.J. 麦克莉斯一种在DSN进度报告42喷气推进实验室,帕萨迪纳,1978年。
下载后可阅读完整内容,剩余1页未读,立即下载
cpongm
- 粉丝: 4
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- zigbee-cluster-library-specification
- JSBSim Reference Manual
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功