ام‌کیووی

ام‌کیووی (MQV) یک پیش‌ نویس معتبر برای طرحهای DIFFLE HELMAN که بر پایهٔ توافق‌ نامه‌ های کلیدی است می‌باشد.

مانند دیگر طرحهای معتبر diffie hellman.

mqv نیز در برابر یک مهاجم فعال محافظا ایجاد می‌کند. این پیش نویس می‌تواند طوری اصلاح شودکه در یک گروه قراردادی محدود و بخصوص در گروه‌های منحنی‌های بیضوی کارکند؛ که با نام ecmqv شناخته می‌شود.

mqvدر ابتدا توسطAlfred Menezes, Minghua Qu. Scott Vanston در سال ۱۹۹۵ مطرح شد ودر سال ۱۹۹۸ توسط l> , aw , Solinaasبا>وجود انواع یک بار دو بار و سه بار تأیید و اصلاح شد.

MQV در استاندارد عمومی IEEE P1363 و استاندارد SP800-56A NIST در کلید عمومی گنجانیده شده‌است.^[۱]

برخی از انواع MQV در حق ثبت اختراعات به Certicom ادعا شده‌است.

ECMQV از مجموعه استاندارد B رمزنگاری آژانس امنیت ملی حذف شده‌است.

شرح[ویرایش]

alice یک جفت کلیدی دارد $(A,a)$ $A$ کلید عمومی او و $a$ کلید خصوصی او است و باب جفت کلیدی دارد $(B,b)$ $B$ کلید عمومی او و $b$ کلید خصوصی اونشان داده می‌شود

در ادامه ${\bar {R}}$ معنای زیر را دارد: اگر $R=(x,y)$ یک نقطه در یک منحنی بیضوی باشد. سپس ${\bar {R}}=(x\,{\bmod {\,}}2^{L})+2^{L}$ جایی که $L=\left\lceil {\frac {\lfloor \log _{2}n\rfloor +1}{2}}\right\rceil$ و $n$ منظور از نقطه تولید ژنراتور است $P$ . بنابراین ${\bar {R}}$ اولین سری بیت‌های L که در مختصات اول $R$ هستند.

گام	عمل
۱	آلیس یک جفت کلید تولید می‌کند $(X,x)$ با تولید تصادفی $x$ و محاسبه $X=xP$ با $P$ نقطه ای از منحنی بیضوی.
۲	باب یک جفت کلیدی تولید می‌کند $(Y,y)$ به همان روش آلیس
۳	حالا آلیس $S_{a}=x+{\bar {X}}a$ به پیمانهٔ n را حساب می‌کند و Xرا به باب می‌فرستد.
۴	باب $S_{b}=y+{\bar {Y}}b$ به پیمانهٔ n را حساب می‌کند و Yرا به آلیس می‌فرستد
۵	آلیس $K=h\cdot S_{a}(Y+{\bar {Y}}B)$ و باب $K=h\cdot S_{b}(X+{\bar {X}}A)$ را حساب می‌کند. جایی که $h$ کوفاکتور است (رجوع کنید به رمزنگاری منحنی بیضوی: پارامترهای دامنه).
۶	ارتباط $K$ مجهول موفقیت‌آمیز بود. می‌توان از یک کلید برای یک الگوریتم کلید متقارن استفاده کرد می‌توان از $K$ استخراج کرد.

توجه: برای ایمن بودن الگوریتم برخی از بررسی‌ها باید انجام شود. به هنکرسون و همکاران مراجعه کنید.

صحت[ویرایش]

باب محاسبه می‌کند: $K=h\cdot S_{b}(X+{\bar {X}}A)=h\cdot S_{b}(xP+{\bar {X}}aP)=h\cdot S_{b}(x+{\bar {X}}a)P=h\cdot S_{b}S_{a}P$

آلیس محاسبه می‌کند: $K=h\cdot S_{a}(Y+{\bar {Y}}B)=h\cdot S_{a}(yP+{\bar {Y}}bP)=h\cdot S_{a}(y+{\bar {Y}}b)P=h\cdot S_{b}S_{a}P$

بنابراین مجهولات مشترک $K$ در واقع یکسان هستند با $K=h\cdot S_{b}S_{a}P$

MQV در مقابل HMQV[ویرایش]

پیش نویس اصلی MQV شامل هویت کاربرهای بخش ارتباط دهنده در جریان مبادلات کلیدی را شامل نمی‌شود. هویت کاربرها فقط در فرایند تأیید کلید صریح بعدی گنجانده شده‌است. با این وجود، تأیید کلید صریح در MQV اختیاری است (و در تصریح IEEE P1363). در سال ۲۰۰۱، کالیسکی یک حمله ناشناس کلید مشترک را ارائه داد که از هویت مفقود شده در پیش نویس کلید تبادل MQV سوء استفاده می‌کرد.^[۲] این حمله در مقابل MQV معتبرمجازا عمل کردکه تأیید صریح کلید ندارد. در این حمله، کاربریک کلید جلسه را با کاربر دیگری پایه‌ریزی می‌کند اما به این باورفریب می‌خورد که وی این کلید را با کاربر متفاوت دیگری به اشتراک می‌گذارد. در سال ۲۰۰۶، Menezes و Ustaoglu پیشنهاد کردند این حمله را با درج هویت کاربرها در عملکرد مشتق کلید در پایان مبادله کلید MQV، برطرف کنند.^[۳] فرایند تأیید کلید صریح همچنان اختیاری باقی می‌ماند.

در سال ۲۰۰۵، کراوسیک یک نوع هش از MQV را به نام HMQV پیشنهاد کرد.^[۴] پیش نویس HMQV برای مقابله با حمله کلایسکی (بدون تأیید کلید صریح) با اهداف اضافی دستیابی به امنیت قابل اثبات و بهره‌وری بهتر طراحی شده‌است. HMQV سه تغییر در MQV ایجاد کرد:

شامل شدن هویت کاربر در جریان مبادلات کلیدی: به‌طور خاص تری، قراردادن ${\bar {X}}=H(X,B)$ و ${\bar {Y}}=H(Y,A)$ جایی که $A$ و $B$ به ترتیب هویت آلیس و باب هستند.
حذف شرط الزامی در MQV که یک مجوز اعتباری (CA) باید اثبات تملک کلید خصوصی کاربر را در حین ثبت کلید عمومی تأیید کند. در HMQV , CA فقط باید کلید عمومی ارسالی را بررسی کند که ۰ یا ۱ نباشد.
حذف شرط الزامی در MQV که یک کاربر باید تأیید کند که آیا کلید عمومی زودگذر دریافت شده یک کلید عمومی معتبر است (به عنوان اعتبار کلید عمومی شناخته می‌شود). در HMQV، یک کاربر صرفاً نیاز دارد کلید عمومی زود گذر دریافتی از نظر ۰ یا ۱ نبودن را بررسی کند.

HMQV ادعا می‌کند در عملکرد از MQV برتر است زیرا از عملیاتهای ۲) و ۳)، بالا معاف است درحالیکه در MQV اجباری است. مقاله HMQV «مدارک امنیتی رسمی» را شامل می‌شود که اطمینان حاصل شود که معاف شدن از این دو عملیات ایمن است.

در سال ۲۰۰۵، منیز برای اولین بار حمله به زیر گروه کوچک علیه HMQV ارائه داد.^[۵] این حمله از فقدان دقیق اعتبارسنجی کلید عمومی در ۲) و ۳) بهره می‌برد. این نشان می‌دهد که هنگام درگیر شدن با یک مهاجم فعال، پیش نویس HMQV اطلاعاتی در مورد کلید خصوصی طولانی مدت کاربر درز می‌دهد و بسته به تنظیمات گروه رمزنگاری زمینه ای، ممکن است کل کلید خصوصی توسط مهاجم بازیابی شود. منزز پیشنهاد کرد که حداقل با تعیین اعتبار کلید عمومی در ۲) و ۳) به این حمله رسیدگی کند.

در سال ۲۰۰۶، در پاسخ به حمله منیز، کروشزیک HMQV را در ارسال IEEE P1363 تجدیدنظر کرد (شامل پیش نویس IEEE P1363 D1-pre). با این حال، به جای اعتبار کلیدهای عمومی بلند مدت و زودگذر در ۲) و ۳) به ترتیب به عنوان دو عملیات جداگانه، Krawczyk پیشنهاد کرد تا آنها را در یک عملیات ترکیبی در طی فرایند تبادل کلید اعتبار سنجی کند. این باعث صرفه جویی در هزینه می‌شود. با جایگذاری اعتبار کلید ترکیبی عمومی، از حمله منیز جلوگیری می‌شود. HMQV اصلاح شده هنوز هم می‌تواند ادعا کند که از MQV کارآمد تر است.

در سال ۲۰۱۰، هائو دو حمله به HMQV اصلاح شده ارائه داد (همان‌طور که در پیش نویس IEEE P1363 D1- پیش‌بینی شده‌است).^[۶] اولین حمله از این واقعیت سوء استفاده می‌کند که HMQV اجازه می‌دهد تا هر رشته داده‌ای به غیر از ۰ و ۱ به عنوان یک کلید عمومی بلند مدت ثبت شود. از این رو، یک عنصر زیر گروه کوچک مجاز است به عنوان «کلید عمومی» ثبت شود. با آگاهی از این «کلید عمومی»، کاربر می‌تواند تمام مراحل تأیید صحت را در HMQV بگذراند و در پایان کاملاً «تأیید شده» است. این در تضاد با درک مشترک است که «احراز هویت» در یک پیش نویس معتبر مبادله کلید بر اساس اثبات دانش یک کلید خصوصی تعریف شده‌است. در این حالت، کاربر «تأیید اعتبار» می‌شود اما بدون داشتن کلید خصوصی (در واقع، کلید خصوصی وجود ندارد). این مسئله برای MQV کاربرد ندارد. حمله دوم از حالت خود ارتباطی سوءاستفاده می‌کند، که صریحاً در HMQV پشتیبانی می‌شود تا به کاربر اجازه دهد با استفاده از همان مجوز کلید عمومی ارتباط برقرار کند. در این حالت، HMQV در برابر یک حمله ناشناخته کلید مشترک آسیب‌پذیر است. برای مقابله با حمله اول، هائو پیشنهاد کرد اعتبار سنجی کلید عمومی را در ۲) و ۳) جداگانه انجام دهد، همان‌طور که در ابتدا توسط Menezes پیشنهاد شده‌است. با این حال، این تغییر مزایای بهره‌وری HMQV نسبت به MQV را کاهش می‌دهد. برای مقابله با حمله دوم، هائو پیشنهاد کرد که هویت‌های دیگری را برای تمایز کپی از خود یا غیرفعال کردن حالت خود ارتباطی درج کند.

دو حمله هائو توسط اعضای کارگروه IEEE P1363 در سال ۲۰۱۰ مورد بحث قرار گرفت. با این حال، هیچ اجماعی در مورد چگونگی تجدید نظر در HMQV وجود ندارد. در نتیجه، مشخصات HMQV در پیش نویس IEEE P1363 D1-پیش بدون تغییر بوده‌است، اما استانداردسازی HMQV در IEEE P1363 از آن زمان به بعد متوقف شده‌است. ^{^{[نیازمند منبع]}}

جستارهای وابسته[ویرایش]

رمزنگاری منحنی بیضوی

منابع[ویرایش]

↑ Barker, Elaine; Chen, Lily; Roginsky, Allen; Smid, Miles (2013). "Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography". doi:10.6028/NIST.SP.800-56Ar2. Archived from the original on 16 April 2018. Retrieved 15 April 2018. {{cite journal}}: Cite journal requires |journal= (help)
↑ Kaliski, Burton S. , Jr. (August 2001). "An Unknown Key-share Attack on the MQV Key Agreement Protocol". ACM Transactions on Information and System Security. 4 (3): 275–288. doi:10.1145/501978.501981. ISSN 1094-9224.
↑ Menezes, Alfred; Ustaoglu, Berkant (2006-12-11). On the Importance of Public-Key Validation in the MQV and HMQV Key Agreement Protocols. Progress in Cryptology - INDOCRYPT 2006. Lecture Notes in Computer Science. Springer, Berlin, Heidelberg. pp. 133–147. doi:10.1007/11941378_11. ISBN 978-3-540-49767-7.
↑ Krawczyk, H. (2005). "HMQV: A High-Performance Secure Diffie–Hellman Protocol". Advances in Cryptology – CRYPTO 2005. Lecture Notes in Computer Science. Vol. 3621. pp. 546–566. doi:10.1007/11535218_33. ISBN 978-3-540-28114-6.
↑ Menezes, Alfred (2007-01-01). "Another look at HMQV". Mathematical Cryptology (به انگلیسی). 1 (1). doi:10.1515/jmc.2007.004. ISSN 1862-2984.
↑ F. Hao, On Robust Key Agreement Based on Public Key Authentication. Proceedings of the 14th International Conference on Financial Cryptography and Data Security, Tenerife, Spain, LNCS 6052, pp. 383–390, Jan, 2010.

Kaliski, B. S. , Jr (2001). "An unknown key-share attack on the MQV key agreement protocol". ACM Transactions on Information and System Security. 4 (3): 275–288. doi:10.1145/501978.501981.
Law, L.; Menezes, A.; Qu, M.; Solinas, J.; Vanstone, S. (2003). "An Efficient Protocol for Authenticated Key Agreement". Des. Codes Cryptography. 28 (2): 119–134. doi:10.1023/A:1022595222606.
Leadbitter, P. J. ; Smart, N. P. (2003). "Analysis of the Insecurity of ECMQV with Partially Known Nonces". Information Security. 6th International Conference, ISC 2003, Bristol, UK, October 1–3, 2003. Proceedings. Lecture Notes in Computer Science. 2851. pp. 240–251. doi:10.1007/10958513_19. ISBN 978-3-540-20176-2.
Menezes, Alfred J. ; Qu, Minghua; Vanstone, Scott A. (2005). Some new key agreement protocols providing implicit authentication (PDF). 2nd Workshop on Selected Areas in Cryptography (SAC '95). Ottawa, Canada. pp. 22–32.
Hankerson, D.; Vanstone, S.; Menezes, A. (2004). Guide to Elliptic Curve Cryptography. Springer Professional Computing. New York: Springer. doi:10.1007/b97644. ISBN 978-0-387-95273-4.

پیوند به بیرون[ویرایش]

[1] Barker, Elaine; Chen, Lily; Roginsky, Allen; Smid, Miles (2013). "Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography". doi:10.6028/NIST.SP.800-56Ar2. Archived from the original on 16 April 2018. Retrieved 15 April 2018. {{cite journal}}: Cite journal requires |journal= (help)

[2] Kaliski, Burton S. , Jr. (August 2001). "An Unknown Key-share Attack on the MQV Key Agreement Protocol". ACM Transactions on Information and System Security. 4 (3): 275–288. doi:10.1145/501978.501981. ISSN 1094-9224.

[:1-3] Menezes, Alfred; Ustaoglu, Berkant (2006-12-11). On the Importance of Public-Key Validation in the MQV and HMQV Key Agreement Protocols. Progress in Cryptology - INDOCRYPT 2006. Lecture Notes in Computer Science. Springer, Berlin, Heidelberg. pp. 133–147. doi:10.1007/11941378_11. ISBN 978-3-540-49767-7.

[4] Krawczyk, H. (2005). "HMQV: A High-Performance Secure Diffie–Hellman Protocol". Advances in Cryptology – CRYPTO 2005. Lecture Notes in Computer Science. Vol. 3621. pp. 546–566. doi:10.1007/11535218_33. ISBN 978-3-540-28114-6.

[5] Menezes, Alfred (2007-01-01). "Another look at HMQV". Mathematical Cryptology (به انگلیسی). 1 (1). doi:10.1515/jmc.2007.004. ISSN 1862-2984.

[6] F. Hao, On Robust Key Agreement Based on Public Key Authentication. Proceedings of the 14th International Conference on Financial Cryptography and Data Security, Tenerife, Spain, LNCS 6052, pp. 383–390, Jan, 2010.

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]