MQV ( Menezes-Qu-Vanstone ) es un protocolo autenticado para acuerdos de claves basado en el esquema Diffie-Hellman . Al igual que otros esquemas Diffie-Hellman autenticados, MQV brinda protección contra un atacante activo. El protocolo se puede modificar para que funcione en un grupo finito arbitrario y, en particular, en grupos de curvas elípticas , donde se conoce como curva elíptica MQV (ECMQV) .
MQV fue propuesto inicialmente por Alfred Menezes , Minghua Qu y Scott Vanstone en 1995. Posteriormente fue modificado en trabajo conjunto con Laurie Law y Jerry Solinas. [1] Hay variantes de una, dos y tres pasadas.
MQV está incorporado en el estándar de clave pública IEEE P1363 y en el estándar SP800-56A de NIST. [2]
Algunas variantes de MQV se reivindican en patentes asignadas a Certicom .
ECMQV se ha eliminado del conjunto de estándares criptográficos Suite B de la Agencia de Seguridad Nacional .
Descripción
Alice tiene un par de llaves con su clave pública y su clave privada y Bob tiene el par de claves con su clave pública y su clave privada.
En el siguiente tiene el siguiente significado. Dejarser un punto en una curva elíptica. Luego dónde y es el orden del punto generador usado . Entoncesson los primeros L bits de la primera coordenada de.
Paso | Operación |
---|---|
1 | Alice genera un par de claves generando aleatoriamente y calculando con un punto en una curva elíptica. |
2 | Bob genera un par de claves de la misma manera que Alice. |
3 | Ahora Alice calcula modulo y envía a Bob. |
4 | Bob calcula modulo y envía a Alice. |
5 | Alice calcula y Bob calcula dónde es el cofactor (ver Criptografía de curva elíptica: parámetros de dominio ). |
6 | La comunicación del secreto fue exitoso. Una clave para un algoritmo de clave simétrica se puede derivar de. |
Nota: para que el algoritmo sea seguro, es necesario realizar algunas comprobaciones. Ver Hankerson et al.
Exactitud
Bob calcula:
Alice calcula:
Entonces los secretos compartidos son de hecho lo mismo con
MQV frente a HMQV
El protocolo MQV original no incluye las identidades de usuario de las partes comunicantes en los flujos de intercambio de claves. Las identidades de usuario solo se incluyen en el proceso de confirmación de clave explícita posterior. Sin embargo, la confirmación de clave explícita es opcional en MQV (y en la especificación IEEE P1363 ). En 2001, Kaliski presentó un ataque de intercambio de claves desconocido que explotaba las identidades faltantes en el protocolo de intercambio de claves MQV. [3] El ataque funciona contra MQV autenticado implícitamente que no tiene confirmación de clave explícita. En este ataque, el usuario establece una clave de sesión con otro usuario, pero es engañado haciéndole creer que comparte la clave con un usuario diferente. En 2006, Menezes y Ustaoglu propusieron abordar este ataque al incluir identidades de usuario en la función de derivación de claves al final del intercambio de claves MQV. [4] El proceso de confirmación de clave explícita sigue siendo opcional.
En 2005, Krawczyk propuso una variante hash de MQV, llamada HMQV. [5] El protocolo HMQV fue diseñado para abordar el ataque de Kaliski (sin exigir una confirmación de clave explícita), con los objetivos adicionales de lograr una seguridad demostrable y una mejor eficiencia. HMQV realizó tres cambios en MQV:
- Incluir las identidades de los usuarios en los flujos de intercambio de claves: más específicamente, dejar y dónde y son identidades de Alice y Bob respectivamente.
- Eliminando el requisito obligatorio en MQV de que una autoridad de certificación (CA) debe verificar la prueba de posesión de la clave privada del usuario durante el registro de la clave pública. En HMQV, la CA simplemente necesita verificar que la clave pública enviada no sea 0 o 1.
- Eliminando el requisito obligatorio en MQV de que un usuario debe verificar si la clave pública efímera recibida es una clave pública válida (conocida como validación de clave pública). En HMQV, un usuario simplemente necesita verificar que la clave pública efímera recibida no sea 0 o 1.
HMQV afirma ser superior al MQV en desempeño porque prescinde de las operaciones en 2) y 3) anteriores, que son obligatorias en MQV. El papel HMQV proporciona "pruebas de seguridad formales" para respaldar que prescindir de estas operaciones es seguro.
En 2005, Menezes presentó por primera vez un ataque de confinamiento de subgrupo pequeño contra HMQV. [6] Este ataque aprovecha la ausencia exacta de validaciones de claves públicas en 2) y 3). Muestra que cuando se relaciona con un atacante activo, el protocolo HMQV filtra información sobre la clave privada a largo plazo del usuario y, según la configuración del grupo criptográfico subyacente, el atacante puede recuperar toda la clave privada. Menezes propuso abordar este ataque al menos exigiendo validaciones de clave pública en 2) y 3).
En 2006, en respuesta al ataque de Menezes, Krawczyk revisó HMQV en la presentación a IEEE P1363 (incluido en el borrador IEEE P1363 D1-pre ). Sin embargo, en lugar de validar las claves públicas efímeras y de largo plazo en 2) y 3) respectivamente como dos operaciones separadas, Krawczyk propuso validarlas juntas en una operación combinada durante el proceso de intercambio de claves. Esto ahorraría costes. Con la validación combinada de la clave pública en su lugar, se evitaría el ataque de Menezes. El HMQV revisado aún podría afirmar que es más eficiente que el MQV.
En 2010, Hao presentó dos ataques al HMQV revisado (como se especifica en el borrador IEEE P1363 D1-pre). [7] El primer ataque aprovecha el hecho de que HMQV permite que cualquier cadena de datos que no sea 0 y 1 se registre como clave pública a largo plazo. Por tanto, se permite registrar un pequeño elemento de subgrupo como "clave pública". Con el conocimiento de esta "clave pública", un usuario puede pasar todos los pasos de verificación en HMQV y al final está completamente "autenticado". Esto contradice el entendimiento común de que la "autenticación" en un protocolo de intercambio de claves autenticadas se define sobre la base de demostrar el conocimiento de una clave privada. En este caso, el usuario está "autenticado" pero sin tener una clave privada (de hecho, la clave privada no existe). Este problema no se aplica a MQV. El segundo ataque explota el modo de autocomunicación, que se admite explícitamente en HMQV para permitir que un usuario se comunique con él mismo utilizando el mismo certificado de clave pública. En este modo, se muestra que HMQV es vulnerable a un ataque desconocido de intercambio de claves. Para abordar el primer ataque, Hao propuso realizar validaciones de clave pública en 2) y 3) por separado, como sugirió inicialmente Menezes. Sin embargo, este cambio disminuiría las ventajas de eficiencia de HMQV sobre MQV. Para abordar el segundo ataque, Hao propuso incluir identidades adicionales para distinguir copias de sí mismo o para deshabilitar el modo de autocomunicación.
Los dos ataques de Hao fueron discutidos por miembros del grupo de trabajo IEEE P1363 en 2010. Sin embargo, no hubo consenso sobre cómo se debería revisar HMQV. Como resultado, la especificación HMQV en el borrador previo de IEEE P1363 D1 no se modificó, pero la estandarización de HMQV en IEEE P1363 ha dejado de progresar desde entonces. [ cita requerida ]
Ver también
Referencias
- ^ Ley, L .; Menezes, A .; Qu, M .; Solinas, J .; Vanstone, S. (2003). "Un protocolo eficiente para el acuerdo de claves autenticadas". Des. Códigos de criptografía . 28 (2): 119-134. doi : 10.1023 / A: 1022595222606 .
- ^ Barker, Elaine; Chen, Lily; Roginsky, Allen; Smid, Miles (2013). "Recomendación para esquemas de establecimiento de claves por pares utilizando criptografía de logaritmo discreto" . doi : 10.6028 / NIST.SP.800-56Ar2 . Consultado el 15 de abril de 2018 . Cite journal requiere
|journal=
( ayuda ) - ^ Kaliski, Burton S., Jr. (agosto de 2001). "Un ataque desconocido de intercambio de claves en el protocolo de acuerdo de claves MQV". Transacciones ACM sobre seguridad de la información y del sistema . 4 (3): 275–288. doi : 10.1145 / 501978.501981 . ISSN 1094-9224 .
- ^ Menezes, Alfred; Ustaoglu, Berkant (11 de diciembre de 2006). Sobre la importancia de la validación de claves públicas en los protocolos de acuerdos de claves MQV y HMQV . Progresos en Criptología - INDOCRYPT 2006 . Apuntes de conferencias en informática. Springer, Berlín, Heidelberg. págs. 133-147. doi : 10.1007 / 11941378_11 . hdl : 11147/4782 . ISBN 9783540497677.
- ^ Krawczyk, H. (2005). "HMQV: un protocolo Diffie-Hellman seguro de alto rendimiento" . Avances en criptología - CRYPTO 2005 . Apuntes de conferencias en informática. 3621 . págs. 546–566. doi : 10.1007 / 11535218_33 . ISBN 978-3-540-28114-6.
- ^ Menezes, Alfred (1 de enero de 2007). "Otra mirada a HMQV". Criptología matemática . 1 (1). doi : 10.1515 / jmc.2007.004 . ISSN 1862-2984 .
- ^ F. Hao, sobre el acuerdo de claves robustas basado en la autenticación de claves públicas . Actas de la 14ª Conferencia Internacional sobre Criptografía Financiera y Seguridad de Datos, Tenerife, España, LNCS 6052, págs. 383–390, enero de 2010.
Bibliografía
- Kaliski, BS, Jr. (2001). "Un ataque desconocido de intercambio de claves en el protocolo de acuerdo de claves MQV". Transacciones ACM sobre seguridad de la información y del sistema . 4 (3): 275–288. doi : 10.1145 / 501978.501981 .
- Law, L .; Menezes, A .; Qu, M .; Solinas, J .; Vanstone, S. (2003). "Un protocolo eficiente para el acuerdo de claves autenticadas". Des. Códigos de criptografía . 28 (2): 119-134. doi : 10.1023 / A: 1022595222606 .
- Leadbitter, PJ; Inteligente, NP (2003). "Análisis de la inseguridad de ECMQV con Nonces parcialmente conocidos". Seguridad de la información . 6ª Conferencia Internacional, ISC 2003, Bristol, Reino Unido, 1 al 3 de octubre de 2003. Actas. Apuntes de conferencias en Ciencias de la Computación . 2851 . págs. 240-251. doi : 10.1007 / 10958513_19 . ISBN 978-3-540-20176-2.
- Menezes, Alfred J .; Qu, Minghua; Vanstone, Scott A. (2005). Algunos nuevos protocolos de acuerdos de claves que proporcionan autenticación implícita (PDF) . 2º Taller de Áreas Seleccionadas en Criptografía (SAC '95) . Ottawa, Canadá. págs. 22–32.
- Hankerson, D .; Vanstone, S .; Menezes, A. (2004). Guía de criptografía de curva elíptica . Computación profesional Springer. Nueva York: Springer . CiteSeerX 10.1.1.331.1248 . doi : 10.1007 / b97644 . ISBN 978-0-387-95273-4.
enlaces externos
- HMQV: un protocolo Diffie-Hellman seguro de alto rendimiento por Hugo Krawczyk
- Otra mirada a HMQV
- Un protocolo eficiente para el acuerdo de claves autenticadas
- MQV y HMQV en IEEE P1363 (toma de corriente)