18、迪菲 - 赫尔曼协议分析与经典密钥协商协议探索

迪菲 - 赫尔曼协议分析与经典密钥协商协议探索

迪菲 - 赫尔曼协议分析

在迪菲 - 赫尔曼（Diffie - Hellman）协议分析中，有两个关键引理对于理解攻击者如何获取域和群元素至关重要。

• 引理 1 ：假设协议 $\Pi$ 分离披露信息，$B$ 是一个 $\Pi$ - 束，$x \in trsc$ 在 $p \in F$ 中的次数不为 0。设 $n_p \in nodes(B)$ 是一个节点，在该节点的消息 $msg(n_p)$ 中 $p$ 是可见的。那么存在一个节点 $n_x \in nodes(B)$，使得 $n_x \preceq_B n_p$，并且 $x$ 在 $msg(n_x)$ 中是可见的。
• 引理 2 ：假设协议 $\Pi$ 分离披露信息，$B$ 是一个纯单项式 $\Pi$ - 束，$n_{\mu} \in nodes(B)$，并且 $g^{\mu} \in C$ 在 $msg(n_{\mu})$ 中被携带。那么存在一个单项式 $\nu \in F$，使得 $\nu$ 是在 $n_{\mu}$ 之前可见的超越数的乘积，并且要么 $\nu = \mu$，要么令 $\xi = \mu / \nu$，存在一个常规传输节点 $n_{\xi} \in nodes(B)$，使得 $n_{\xi} \preceq_B n_{\mu}$ 且 $g^{\xi}$ 在 $msg(n_{\xi})$ 中被携带。此外，要么 $\nu = 1$，要么 $g^{\xi}$ 之前是可见的。

CPSA（Cryptographic Protocol Shapes An