57、代理中介密钥协议中密钥泄露的影响

代理中介密钥协议中密钥泄露的影响

1. KCI 攻击与密钥撤销更新的局限性

在某些密钥协议攻击中，存在主动和被动冒充的情况。在 KCI 攻击里，攻击者冒充响应者，这种冒充是被动的，需要发起者启动密钥协商。攻击者可以通过等待密钥协商请求出现，或者使用一些带外机制（如硬重置发起者设备、社会工程学手段等）来实现。

之前的攻击揭示了协议存在两个不良特性：一是加密令牌可以替代长期秘密密钥；二是相关的加密令牌（如 h(skI∥idR) 和 h(skR∥idI)）可以通过有效的协议消息相互关联。当长期秘密密钥被泄露时，这些问题就会凸显出来。

用户意识到自己的秘密密钥被泄露后，通常会启动密钥撤销和更新程序。但实际上，即使完成了密钥撤销和更新，协议对于之前与受影响用户通信过的所有用户，在向前保密性和密钥泄露冒充方面仍然存在漏洞。
- 破坏向前保密性 ：假设响应者 R 在其长期秘密密钥 skR 暴露后，将密钥更新为 sk′R，撤销并更新之前的重新加密密钥。新的重新加密密钥应为 rk′I→R = h(skI∥idR)−1 · h(sk′R∥idI)−1。由于 h(skI∥idR) 未改变，攻击者可以从之前的协议轮次中提取该加密令牌，进而计算未来轮次协议第一条消息（M1）对应的 t 值，再次破坏向前保密性。
- 密钥泄露冒充 ：若发起者 I 更新其秘密密钥为 sk′I，攻击者仍可从 I 与其他用户 R 之前的通信流量中恢复 h(skR∥idI)。此时，攻击者不仅可以被动监听协议消息（破坏向前保密性），还能在知道解密消息 M2 所需的 h(skR∥idI) 值后，主动冒充响应者 R。

针对这