33、密钥泄露伪装攻击下密钥协商协议的安全性分析

密钥泄露伪装攻击下密钥协商协议的安全性分析

1. 密钥泄露伪装攻击概述

密钥泄露伪装（Key Compromise Impersonation，KCI）攻击是指攻击者获取了诚实一方的私钥后，试图伪装成另一个用户，并与“被破坏”的一方建立有效的会话密钥。这种攻击是一种严重且隐蔽的威胁，因为用户可能根本没有意识到自己的计算机被“劫持”，私钥已被恶意方获取。

KCI 弹性的正式定义如下：
定义 1（KCI - 弹性）：如果特定主体的长期密钥被泄露后，攻击者无法通过伪装成其他主体与该主体建立会话密钥，则该密钥协商协议具有 KCI 弹性。

在现实世界中，KCI 攻击通常以中间人攻击的形式进行。以统一模型（UM）AK 协议为例，假设攻击者 E 知道 wA。消息 QA 不受干扰地送达预期接收方 B，接着 E 拦截 B 的响应 QB 并替换为 QE = rEP。结果，A 接受会话密钥 H(wAWB∥rAQE)，而 E 能够计算出相同的密钥 H(wAWB∥rEQA)。如果攻击者破坏了 B，攻击方式完全相同。

这个例子虽看似简单，但它让我们注意到两个重要问题：
- 许多协议在设计时未将 KCI 弹性作为安全目标。
- 被破坏的一方可能无法检测到攻击，因为攻击者（伪装成合法用户且不严格遵循协议规范）发送的消息（如上述的 QE）与诚实方发送的消息完全无法区分。

2. 部分协议对 KCI 攻击的免疫性

MTI/A0 和 MQV 协议似乎对 KCI 攻击具有免疫性。对于这两个隐式认证的密钥协商协议，在攻击者仅知道一方长期私钥的情况下，利用代数群结构设置类似的攻击似乎是不可行的。

对于 MTI/A