YAK (kryptografie) - YAK (cryptography) - Wikipedia

The YAK je ověřený veřejný klíč klíč-dohoda protokol, navržený Feng Hao v roce 2010. ^[1][2] Tvrdí se, že je to jeden z nejjednodušších protokolů výměny ověřených klíčů mezi souvisejícími schématy, včetně MQV, HMQV, Protokol mezi stanicemi, SSL /TLS atd. Ověřování je založeno na párech veřejných klíčů. Stejně jako u jiných protokolů, YAK obvykle vyžaduje a Infrastruktura veřejného klíče distribuovat autentické veřejné klíče komunikujícím stranám.

Popis

Dvě strany, Alice a Bob, se dohodnou na skupině ${ displaystyle G}$ s generátorem ${ displaystyle g}$ hlavního řádu ${ displaystyle q}$ ve kterém je problém diskrétního protokolu těžký. Typicky a Skupina Schnorr se používá. Obecně může YAK použít libovolnou skupinu hlavních příkazů, která je vhodná pro kryptografii veřejných klíčů, včetně kryptografie eliptické křivky. Nechat ${ displaystyle g ^ {a}}$ být Aliciným dlouhodobým veřejným klíčem a ${ displaystyle g ^ {b}}$ být Bob. Protokol se provádí v jedno kolo:

Alice vybere ${ displaystyle x in _ { text {R}} [0, q-1]}$ a vysílá ${ displaystyle g ^ {x}}$ společně s a důkaz nulových znalostí (například s využitím neinteraktivního důkazu nulových znalostí Schnorr popsaného v RFC 8235 ) pro důkaz exponenta ${ displaystyle x}$. Podobně vybere Bob ${ displaystyle y in _ { text {R}} [0, q-1]}$ a vysílá ${ displaystyle g ^ {y}}$ společně s a důkaz nulových znalostí pro důkaz exponenta ${ displaystyle y}$. Tady notace ${ displaystyle in _ { text {R}}}$ označuje prvek vybraný náhodně s jednotnou pravděpodobností.

Výše uvedenou komunikaci lze dokončit v jednom kole, protože žádná ze stran není závislá na druhé. Po dokončení Alice a Bob ověří přijaté nulové znalosti. Alice pak počítá ${ displaystyle K = (g ^ {y} g ^ {b}) ^ {x + a} = g ^ {(x + a) (y + b)}}$. Podobně Bob počítá ${ displaystyle K = (g ^ {x} g ^ {a}) ^ {y + b} = g ^ {(x + a) (y + b)}}$. Se stejným klíčovacím materiálem ${ displaystyle K}$, Alice a Bob mohou odvodit klíč relace pomocí a kryptografická hashovací funkce: ${ displaystyle kappa = H (K)}$.

Vlastnosti zabezpečení

Použití osvědčených primitiv s nulovými znalostmi, jako je Schnorrovo schéma, výrazně zjednodušuje bezpečnostní důkazy. Vzhledem k tomu, že podkladové nulový důkaz znalostí primitiv je zabezpečený, protokol YAK si klade za cíl uspokojit následující vlastnosti. ^[2]

1. Zabezpečení soukromým klíčem - Útočník se nemůže naučit statický soukromý klíč uživatele, i když je schopen naučit se všechna tajemství specifická pro relaci v jakékoli napadené relaci.
2. Forward tajemství - Klíče relace, které byly bezpečně vytvořeny v minulých nepoškozených relacích, zůstanou v budoucnu nepočítatelné, i když budou zveřejněny statické soukromé klíče obou uživatelů.
3. Zabezpečení klíče relace - Útočník nemůže vypočítat klíč relace, pokud se vydává za uživatele, ale nemá přístup k soukromému klíči uživatele.

Bezpečnostní nároky v původním papíru YAK ^[2] jsou založeny na Výpočetní Diffie-Hellmanův předpoklad v náhodný věštecký model.

Kryptoanalýza

V roce 2015 Toorani zmínil, že „protokolu YAK chybí společné ovládání klíčů a dokonalé atributy utajení vpřed a je zranitelný vůči některým útokům, včetně neznámých útoků na sdílení klíčů a replikace klíčů“ ^[3] na které má Hao jiný názor.^[4]

V roce 2020 Mohammad zmínil, že protokol YAK nemůže odolat známému klíčovému bezpečnostnímu útoku, který vede k novému klíčovému kompromisnímu útoku na zosobnění, kdy protivník smí odhalit jak sdílený statický tajný klíč mezi dvěma stranami, tak prchavý soukromý klíč iniciátora. Autor také navrhl vylepšený protokol k nápravě těchto útoků a předchozích útoků zmíněných Toorani na protokol YAK a navrhovaný protokol používá ověřovací mechanismus, který poskytuje autentizaci entity a potvrzení klíče. Autor ukázal, že navrhovaný protokol je v navrhovaném formálním modelu zabezpečení bezpečný pod mezerovým předpokladem Diffie-Hellman a předpokladem náhodného věštce. Zabezpečení navrhovaného protokolu a útoky na protokol YAK byly navíc ověřeny nástrojem Scyther. ^[5]

Reference