超级会员免费看
基于SAS的群组认证与密钥协商协议及蒙哥马利乘法算法优化
1. 并行组合的安全性
消息认证协议的并行组合通常是不安全的,即使单个协议实例在独立环境中是安全的。这种现象是由共享的长期秘密引起的。Bellare和Rogaway形式化了相应的安全模型,在该模型中,攻击者可以同时执行多个协议实例,如果至少有一个协议以不正确的输出进入接受状态,则攻击成功。该模型后来被扩展用于捕获密钥协商协议的安全性,并应用于手动认证的场景。
可能的安全下降仅在两个协议实例不统计独立,即共享长期密钥时才会出现。显然,独立的协议实例对攻击者没有帮助,因为攻击者可以自己生成协议记录。因此,SAS - GMA协议可以与任何其他协议安全组合,前提是满足以下限制:
- R1 :SAS - GMA实例中使用的随机性是新生成的。
- R2 :输出 (G, m) 在所有参与方达到接受状态之前绝不使用。
- R3 :SAS消息确定SAS - GMA的唯一实例。
- R4 :所有组成员具有不同的身份,即G确实是一个集合。
Bellare - Rogaway模型中,与独立环境类似,攻击者A可以完全控制协议参与者G及其输入m,并且允许自适应破坏。与独立模型不同的是,A可以自适应地为G(i)和m(i)启动新的协议实例π(i)。如果至少有一个协议实例π(i)的最终状态无效,即诚实方接受不同的输出,则攻击者A欺骗成功。由于单个SAS - GMA实例有不可忽略的欺骗概率,因此必须限制可以启动的协议实例数量。如果任何t时间的攻击者A最多可以启动q个协议
订阅专栏 解锁全文
扫一扫
2
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
