16、有状态协议自动验证中超越子项收敛等式理论

有状态协议自动验证中超越子项收敛等式理论

1 引言

安全协议的目标是保护通信免受第三方恶意行为的侵害，这些第三方可能会监控甚至完全控制网络，有时还会合法地参与协议。这类协议通常旨在实现机密性、认证、匿名性或不可链接性等特性。为达成这些目标，安全协议会运用各种加密原语，常见的有对称或非对称加密、签名以及加密哈希函数等。不过，某些安全目标可能需要更高级的原语，例如数字现金可能依赖盲签名来确保匿名性，电子投票协议可能使用陷门承诺或明文等价测试来实现无收据性，可验证性则可能依赖零知识证明。

目前已经存在一些用于自动分析安全协议的有效工具，尤其是针对简单的认证和机密性目标、标准加密原语以及不依赖全局可变状态的协议。近年来，研究人员也在积极拓展可验证属性的类别，例如考虑复杂的妥协形式或更具表达力的等价属性。许多工具还支持用户指定等式理论，以建模不常见的加密原语，同时也有工具支持不同会话更新全局可变状态的协议。

Tamarin 证明器是一款先进的加密协议验证工具，它允许用户同时指定复杂的安全属性（包括跟踪和等价属性）、通过等式理论建模加密原语，并支持协议维护状态信息。不过，该工具支持的等式理论类别主要是子项收敛等式理论，以及一些内置的理论，如 Diffie - Hellman 指数运算、双线性配对和多重集。虽然子项收敛理论涵盖了许多常见的加密原语，但它不包括盲签名或陷门承诺方案等原语。

本文的主要贡献在于显著扩展了 Tamarin 证明器支持的等式理论类别。我们移除了子项收敛理论的限制，现在允许使用具有有限变体属性的任意收敛理论。由于底层问题是不可判定的，我们当然不能保证终止性。更具体地说，我们的扩展主要体现在以下几个方面：
- 泛化了 Tamarin 证明器中用