超级会员免费看
密码协议分析中的攻击规避与符号可达性分析技术
1. 攻击规避机制
在某些密码协议中,存在一种攻击情况,为了规避这种攻击,有几种简单且成本较低的机制。
- 发送安全哈希 :在多方计算(MPC)结束返回密文块时,代理可以向客户端发送注入随机数的安全哈希。当后续在发送到一次性邮箱地址的消息中发现该随机数时,很容易检查其是否与在 SCI 构造期间发送给客户端的哈希随机数匹配。这样,只要事后能检测到代理的不当行为,就无需假设密钥的初始纯净性。
- 发送零知识证明 :代理向客户端发送零知识证明,表明其知道注入的随机数。这种方式虽然成本稍高,但可以让客户端停止协议,防止攻击。
此外,Wang 等人提到双方使用通用 MPC 计算加密消息中加密随机数部分的块,且 MPC 的输出发送给代理。为避免攻击且不假设密钥纯净,还可以将输出发送给客户端而非代理。例如,若使用混淆电路(如在预期 SCI 开销分析中那样),可以反转混淆者和评估者的角色,这样还可能在通信开销上更高效,因为客户端无论如何都需要该输出来生成其余的密文。
需要注意的是,我们引入的攻击会被 TLS 会话恢复的密钥格式要求所排除。不过,分析表明,TLS 的 SCI 证明(使用特定构造)必须特别利用 TLS 会话密钥的初始纯净性。我们提出的修改后的 SCI 构造似乎可以避免对初始纯净会话密钥的假设,但这些构造仍需要新的安全证明。而且,如果客户端和代理的计算能力不同,即使协议只是将 MPC 的输出切换到客户端而非代理,也需要考虑性能问题。
订阅专栏 解锁全文
扫一扫
1623
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
