42、Okamoto - Tanaka协议：完全认证的Diffie - Hellman密钥交换探索

Okamoto - Tanaka协议：完全认证的Diffie - Hellman密钥交换探索

1. 改进方向

为了更接近“终极”认证Diffie - Hellman协议（DHP），有以下几个改进方向：
- 支持任意离散对数群 ：寻找一个具有与mOT相同通信、计算和安全特性的协议，但能在任意离散对数群（特别是椭圆曲线）上工作。在这种情况下，mOT的简约性将转化为最佳的实际性能，即使是基于证书的具有这些特性的协议也会非常有用。
- 证明完全前向安全性 ：在不依赖非黑盒假设的情况下证明mOT的完全前向安全性（PFS）。虽然基于这些假设的证明能有力地证明安全性，但使用更标准的假设显然更可取。
- 避免协议漏洞 ：改进mOT协议，避免其在DH值（如$g^x$，$g^y$）或临时指数（如$x$，$y$）暴露时的脆弱性。

2. 预备知识

• 安全素数与RSA假设 ：设$SPRIMES(n)$是$n$位安全素数的集合。若素数$p$满足$\frac{p - 1}{2}$也是素数，则$p$是安全素数。设$N = pq$，其中$p$和$q$是$SPRIMES(n)$中的随机素数，记$p = 2p’ + 1$，$q = 2q’ + 1$。若对于任意概率多项式时间敌手$A$，在输入$N$、$e$和$R$（$R \in_R Z_N^*$）时，输出$x$使得$x^e \equiv R \pmod{N}$的概率在$n$上是可忽略的，则称RSA假设（指数为$e$）成立。
• 半安全素