MQV

MQV(קיצור של Menezes-Qu-Vanstone) הואפרוטוקול שיתוף מפתח קריפטוגרפיעםאימות,שפותח ב-1998 על ידיאלפרד מנזסוסקוט ונסטוןמאוניברסיטת ווטרלו,מינגהו קומחברתCerticom^[1]^[2],בשיתוף עםלורי לאווג'רי סולינסמה-NSA.פרוטוקול MQV מבוסס עלפרוטוקול דיפי-הלמן,הוא היעיל ביותר מסוגו וניתן להפעילו בכלחבורה ציקליתסופית, במיוחד בחבורתעקום אליפטי(במקרה זה מסומן בקיצור ECMQV). כמו כן קיימות שתי וריאציות נוספות של הפרוטוקול; העברת מפתח מאומת במהלך יחיד, המתאים לסביבה בה רק צד אחד מקוון וכן העברת מפתח בשלושה מהלכים המספק אימות דו צדדי.

הפרוטוקול מפורט בתקן SEC 1^[3]של איגוד SECG (שנוסד על ידי סרטיקום) ושולב בתקןIEEEP1363, בתקניםANSIX9.63, X9.42 וכן RFC-5656 שלIETF.כמו כן נכלל על ידי NSA בחבילה הקריפטוגרפיתSuit Bלפי המלצותNISTSP 800-56A. ייתכן שכמה מגרסאות הפרוטוקול מוגנות בפטנט.גרסאות מתקדמות של הפרוטוקול אטרקטיביות במיוחד להצפנתתקשורת אלחוטיתברשתות מקומיות כמוIEEE 802.11או לטווחים בינוניים כמוWiMAX,כאשר משתמשי הקצה הם בדרך כלל מכשירים המוגבלים במשאבים וברוחב פס.

רקע

פרוטוקול שיתוף מפתח

ערך מורחב –פרוטוקול שיתוף מפתח

מאז המצאתהמפתח הציבוריעל ידידיפיוהלמןופתרוןבעיית הפצת המפתחותפותחו מספר פרוטוקולים קריפטוגרפיים להעברת מפתח סודי. כללית קיימים שני סוגים של שיתוף או הקמה (Key establishment) שלמפתחות הצפנה;פרוטוקול שיתוף מפתח(Key agreement) שבו שני משתתפים או יותר מסכמים ביניהם על מפתח סודי כך שכל אחד מהם תורם את חלקו להקמתו במידה שווה, לעומת "העברת מפתח" (Key transport) שבו צד אחד מייצר ומעביר מפתח סודי למשתתפים האחרים, בעוד שהם אינם בהכרח תורמים להקמתו ואין להם שליטה עליו.

החסרון בפרוטוקול דיפי הלמן במתכונתו המקורית שהוא אינו מספק אימות זהויות ולכן חשוף להתקפת אדם באמצע.אפשר להוסיף מרכיב אימות על ידיחתימה דיגיטליתאותעודת מפתח ציבוריהחתומה על ידירשות מאשרת.משיקולי יעילות נעשו מאמצים לפתח פרוטוקולים המספקים אימות עקיף כחלק אינטרגלי ללא צורך בתהליכים נפרדים ובהתערבות צד שלישי. אפשר לחלק את מרכיב האימות לשני סוגים, שיתוף מפתח מאומת שבו צד אחד משתף ומאמת מפתח עם צד אחר, כך שהוא מקבל אישור לזהותו של המשתתף האחר (כיוון אחד) ונקרא בקיצור AK וכן "שיתוף מפתח מאומת עם אישור", שבנוסף מאשר את זהות השרת כלפי הלקוח (דו כיווני) שנקרא בקיצור AKC (קיצור של Authenticated Key agreement with Confirmation).

בסיום הפרוטוקול יכולים המשתתפים הלגיטימיים להיות סמוכים ובטוחים שמלבדם אין איש יודע מהו המפתח הסודי המשותף. בעיקרון אפשר להשתמש בו כמפתח הצפנה להצפנת ההתקשרות ביניהם. מטעמי ביטחון מומלץ לא להשתמש בו ישירות אלא לגזור ממנו מפתח אחר באמצעותפונקציית גזירת מפתח(Key derivation function) בקיצור KDF. המפתח הסודי המשותף שנגזר בסופו של דבר נקראמפתח שיחה,כשמו הוא נועד להתקשרות אחת או מספר התקשרויות מוגבל כשלאחריהן מושמד.

יש לשים לב שקיימת הבחנה בין המפתחות הציבוריים הארעיים (ephemeral key) שנוצרים באקראי בכל ריצת הפרוטוקול, לבין המפתחות ארוכי-הטווח שברשות המשתתפים. גם במסגרת פרוטוקול MQV ההנחה היא שהמשתתפים בפרוטוקול אימתו את המפתחות הציבוריים ארוכי הטווח שלהם בדרך מוסכמת לפני ריצת הפרוטוקול. לעומת זאת אין צורך באימות המפתחות הארעיים כיוון ש-MQV מבצע אימות עקיף.

מאפיינים

פרוטוקול שיתוף מפתח קריפטוגרפי בטוח אמור להתמודד עם התקפות פסיביות, שבהן התוקף מנסה לנחש את המידע הסודי על ידי התבוננות בחילופי המהלכים. ההנחה היא שמסרי הפרוטוקול מועברים בערוץ הפתוח שניתן לציתותעל ידי כל גורם עם ציוד מתאים. וכן נגד התקפות אקטיביות בהן התוקף יכול גם ל'הזריק', ליירט, למחוק, לשנות ואו לשכפל מסרים. ביתר פירוט הפרוטוקול אמור לסכל את ההתקפות הבאות:

מפתח ידוע(known-key); הפרוטוקול ייוותר בטוח נוכח מצב שבו נחשפו לעיני התוקף מפתחות שיחה אחרים (שנוצרו בעבר על ידי הפרוטוקול).
שמירת סודיות קדימה(forward secrecy) אוסודיות מושלמת קדימה;גם אם מפתח ארוך-טווח של אחד המשתתפים נחשף, הדבר לא ישפיע על סודיות מפתחות שיחה שנוצרו לפני החשיפה.
מניעת התחזות(impersonation); במצב שבו המפתח הפרטי של אחד המשתתפים ידוע לתוקף לא יתאפשר לו לעשות בו שימוש כדי להתחזות לאחרים כלפי משתמש זה (ברור שבמקרה כזה התוקף מסוגל להתחזות למשתמש הלגיטימי הזה כלפי אחרים כיוון שהמפתח הפרטי מייצג בעצם את זהותו, אך ההפך אינו מחויב המציאות ואף רצוי למנוע).
שיתוף לא ידוע(unkown key-share); התוקף לא יצליח לגרום למשתתף אחד לשתף איתו מפתח סודי בעוד שהלה סבור בטעות ששיתף מפתח עם מישהו אחר (כלומר צד אחד מאמין נכון שהוא משתף מפתח עם מישהו שהוא מכיר בעוד שהצד השני למעשה משתף בלא ידיעתו מפתח עם התוקף וסבור שהוא מישהו אחר).
שליטה;אף אחד מהצדדים לא יוכל לאלץ את מפתח השיחה שיהיה ערך כלשהו לפי בחירתו.
יעילות;מספר המהלכים צריך להיות המינימלי האפשרי וכןתעבורת רשתנמוכה (סך כל הסיביות ששודרו).

אפשר לממש את פרוטוקול MQV בתת-חבורה של החבורה הציקלית $\mathbb {Z} _{p}^{*}$ מסדר ראשוני, למשל המפתח הפרטי הוא השלם $x$ והציבורי הוא $X=g^{x}{\text{ mod }}p$ כאשר $g$ יוצרשל השדה. במקרה זה המפתחות צריכים להיות בגודל של מעל 2000 ספרות בינאריות לעומת זאת יש יתרון ביישום הפרוטוקול בעקום אליפטי מכיוון שהוא מציע ביטחון זהה עם מפתח קצר משמעותית (בין 160 ל-512 סיביות נכון לשנת 2015). מסיבה זו תיאור הפרוטוקול מתמקד בעקום אליפטי. מניחים שהפרמטרים הציבורייםשל העקום ידועים לכל המשתתפים. וכן כל מפתח ציבורי $Q$ (שהוא נקודה בעקום) מאומת ונבדק שהוא עומד בהגדרות המערכת. בבדיקה מוודים ש:

Q

אינו שווה

{\mathcal {O}}

(הנקודה באין סוף).

הקואורדינטות

x_{Q},y_{Q}

הם אלמנטים של השדה

\mathbb {F} _{q}

.

Q

מקיים את משוואת העקום.

nQ={\mathcal {O}}

הבדיקה האחרונה יקרה במונחי מחשוב ולכן נוטים בדרך כלל להימנע ממנה. אפשר במקום זאת לוודא שהמפתח המשותף $K$ שהופק בסיום הפרוטוקול הוא נקודה בתת-חבורה הנוצרת על ידי $P$ כלומר $\{{\mathcal {O}},P,2P,...,(n-1)\cdot P\}$ .

פרוטוקול דיפי-הלמן הבסיסי בעקום אליפטי (ללא אימות)

פרוטוקול דיפי-הלמן בעקום אליפטי ללא אימות (נקרא בקיצור ECDH) אנלוגי לפרוטוקול דיפי הלמן בחבורה רגילה. נתונים פרמטרי התחום של העקום לפי הגדרות התקן: $(q,a,b,P,n,h)$ ,העקום האליפטי הוא $E(\mathbb {F} _{q})$ כאשר $q$ הסדר של השדה $\mathbb {F} _{q}$ וכן $a,b$ מקדמים של משוואת העקום, $P$ היא נקודת הבסיס, $n$ הסדר הראשוני של נקודת הבסיס, $h$ פקטור משלים כך שמתקיים $\textstyle n={\frac {|E|}{h}}$ ו- $|E|$ מייצג את מספר הנקודות בעקום $E$ .

המשתתפת $A$ עם מפתח סודי שהוא שלם אקראי $d_{A}$ והמפתח הציבורי $Q_{A}=d_{A}P$ (תוצאת כפל סקלארי של נקודת הבסיס $P$ ב- $d_{A}$ ) מסומנת בקיצור $A^{(d_{A},Q_{A})}$ והמשתתף $B$ עם מפתחות $d_{B},Q_{B}$ בהתאמה, רוצים לשתף ביניהם סוד $K$ ,תחילה הם מחליפים ביניהם מפתחות ציבוריים ואז מחלצים את הסוד המשותף כדלהלן:

$A^{(d_{A},Q_{A})}$		$B^{(d_{B},Q_{B})}$
	${\xrightarrow {\qquad \qquad Q_{A}\qquad \qquad }}$
	${\xleftarrow {\qquad \qquad Q_{B}\qquad \qquad }}$
$K=d_{A}Q_{B}$		$K=d_{B}Q_{A}$

היות שמתקיים $K=d_{A}Q_{B}=d_{A}d_{B}P=d_{B}d_{A}P=d_{B}Q_{A}$ ,הסוד המשותף הוא הנקודה $K$ .

פרוטוקול MQV

במקור הוצעו שלוש וריאציות של הפרוטוקול; שיתוף במהלך יחיד כך שרק צד אחד מקוון, בשני מהלכים עם אימות חד כיווני ובשלושה מהלכים עם אימות דו כיווני. יהי $f$ פרמטר ביטחון של הפרוטוקול (אורך $n$ בסיביות), כלומר $f=\left\lfloor {\text{log}}_{2}n\right\rfloor +1$ .אם $R$ נקודה כלשהי בעקום ${\overline {R}}$ הוא פונקציה שממפה נקודה בעקום למספר שלםכדלהלן; ${\overline {R}}=({\overline {x}}{\text{ mod }}2^{\left\lceil f/2\right\rceil })+2^{\left\lceil f/2\right\rceil }$ כאשר ${\overline {x}}$ הוא השלם המייצג את הקואורדינטה $x$ של הנקודה $R$ .כדי לטשטש אינטראקציה אפשרית בין הפונקציה לבין העקום האליפטי (שעלולה לפתוח פתח להתקפת התנגשות) יש כאלו שממליצים להשתמש בפונקציית גיבוב.

פרוטוקול 1 - שיתוף מפתח עם אימות בשני מהלכים

$A^{(d_{A},Q_{A})}\qquad$		$B^{(d_{B},Q_{B})}\qquad$
	${\xrightarrow {\qquad \qquad R_{A}\qquad \qquad }}$
	${\xleftarrow {\qquad \qquad R_{B}\qquad \qquad }}$
$s_{A}=(r_{A}+{\overline {R}}_{A}d_{A}){\text{ mod }}n$		$s_{B}=(r_{B}+{\overline {R}}_{B}d_{B}){\text{ mod }}n$
$K=h\cdot s_{A}\cdot (R_{B}+{\overline {R}}_{B}Q_{B})$		$K=h\cdot s_{B}\cdot (R_{A}+{\overline {R}}_{A}Q_{A})$

תיאור המהלכים

$A$ מייצרת מספר אקראי $r_{A}$ בטווח $[1,n-1]$ ומחשבת את $R_{A}=r_{A}P$ את התוצאה משדרת ל- $B$ .
$B$ מייצר מספר אקראי $r_{B}$ בטווח $[1,n-1]$ ומחשב את $R_{B}=r_{B}P$ ושולח את התוצאה ל- $A$ .
$A$ מוודה את תקפות הערכים ומחשבת את $s_{A}=(r_{A}+{\overline {R}}_{A}d_{A}){\text{ mod }}n$ ואת $K=h\cdot s_{A}\cdot (R_{B}+{\overline {R}}_{B}Q_{B})$ .
אם אחד הערכים אינו תקף או ש- $K={\mathcal {O}}$ אז $A$ מסיימת את הפרוטוקול בכישלון.
$B$ בודק תקפות באופן דומה, מחשב את $s_{B}=(r_{B}+{\overline {R}}_{B}d_{B}){\text{ mod }}n$ ואת $K=h\cdot s_{B}\cdot (R_{A}+{\overline {R}}_{A}Q_{A})$ .
הסוד המשותף הוא $K$ .

כאמור לפי הצעה של מספר מומחים כדי למנוע את התקפת שיתוף לא ידוע (להלן) כדאי להשתמש בפונקציית KDF מוסכמת על $K$ עם מידע משותף כלשהו שמכיל את זהות המשתתפים בפרוטוקול ולהשתמש בתוצאה האחרונה כמפתח שיחה. וכן מומלץ לכלול בכל המסרים של הפרוטוקול את זהות המשתתפים.

הפרוטוקול לא הוכח באופן פורמלי כבטוח אך לטענת המפתחים קיימת סברההיוריסטיתשהוא מספק אימות הדדי של המפתח באופן עקיף וכן שהוא עמיד כנגד ההתקפות המתוארות לעיל; מפתח שיחה ידוע, שמירת סודיות קדימה, מניעת התחזות ושליטה. חשיפת המפתחות הזמניים אינה מסכנת את חשיפת המפתחות הפרטיים ארוכי הטווח של המשתתפים ולא את מפתח השיחה $K$ .הערכים $s_{A}$ ו- $s_{B}$ משמשים למעשה כחתימה עקיפה של המשתתפים על המפתחות הציבוריים הזמניים שלהם $R_{A}$ ו- $R_{B}$ בהתאמה. אפשר לראות שהפרוטוקול נכון כי:

K=h\cdot s_{A}\cdot s_{B}\cdot P=h\cdot (r_{A}r_{B}+r_{A}d_{B}{\overline {R}}_{B}+r_{B}d_{A}{\overline {R}}_{A}+d_{A}d_{B}{\overline {R}}_{A}{\overline {R}}_{B})P

לעומת פרוטוקול דיפי הלמן הבסיסי שבו $K=r_{A}r_{B}P$ .כמו כן כדי לשפר יעילות הביטוי ${\overline {R}}$ מנצל רק מחצית מסיביות הקואורדינטה $x$ של הנקודה, זאת כדי להקל על פעולות הכפל הסקלארי בסעיפים 3 ו-5 והכפל ב- $h$ נועד להבטיח שהסוד המשותף $K$ יהיה נקודה בתת-חבורה מסדר $n$ בעקום האליפטי. כמו כן היות שאת $r_{A}P$ אפשר לחשב מראש יוצא שכל צד מבצע רק 1.5 פעולות כפל סקלארי און ליין.

פרוטוקול 2 - שיתוף מפתח עם אימות במהלך אחד

המטרה היא ש- $A$ ו- $B$ ישתפו מפתח סודי על ידי מהלך יחיד מ- $A$ ל- $B$ .מצב זה רצוי במקרה שרק משתמש אחד מקוון כמו ביישומידואר אלקטרוני.הפרוטוקול הוא כדלהלן:

$A^{(d_{A},Q_{A})}$		$B^{(d_{B},Q_{B})}$
	${\xrightarrow {\qquad \qquad R_{A}\qquad \qquad }}$
$s_{A}=(r_{A}+{\overline {R}}_{A}d_{A}){\text{ mod }}n$		$s_{B}=(d_{B}+{\overline {Q}}_{B}d_{B}){\text{ mod }}n$
$K=h\cdot s_{A}\cdot (Q_{B}+{\overline {Q}}_{B}Q_{B})$		$K=h\cdot s_{B}\cdot (R_{A}+{\overline {R}}_{A}W_{A})$

פירוט המהלכים

$A$ מייצרת מספר אקראי $r_{A}$ בטווח $[1,n-1]$ ומחשבת את $R_{A}=r_{A}P$ ושולחת את התוצאה ל- $B$ .
$A$ מחשבת את $s_{A}=(r_{A}+{\overline {R}}_{A}d_{A}){\text{ mod }}n$ ואת $K=h\cdot s_{A}\cdot (Q_{B}+{\overline {Q}}_{B}Q_{B})$ .
$B$ מוודה תקפות ערכים ומחשב את $s_{B}=(d_{B}+{\overline {Q}}_{B}d_{B}){\text{ mod }}n$ ואת $K=h\cdot s_{B}\cdot (R_{A}+{\overline {R}}_{A}Q_{A})$ .
המפתח המשותף הוא $K$ .

מטבע הדברים היות ש- $B$ אינו תורם למהלכי הפרוטוקול בערך אקראי משלו, חסרים בפרוטוקול הגנה מפני התקפת מפתח ידוע ושמירת סודיות קדימה.

פרוטוקול 3 - שיתוף מפתח מאומת עם אישור דו צדדי

הגרסה הזו של פרוטוקול 1 מנצלת פרימיטיב קריפטוגרפי נוסף שמספק אימות כמוMACכדי לבצע אימות ואישור דו צדדי. וכן בפרוטוקול הבא הערכים ${\mathcal {H}}_{1}$ ו- ${\mathcal {H}}_{2}$ הם פונקציית לגזירת מפתח. למשל אם הערך הוא $z$ אפשר לממש פונקציית גיבוב בטוחה כמוSHA-2של $z$ כשהוא משורשר עם ערך נוסף, כך ${\mathcal {H}}_{1}={\text{SHA2}}(01\ \|\ z)$ וכן ${\mathcal {H}}_{2}={\text{SHA2}}(02\ \|\ z)$ .

$A^{(d_{A},Q_{A})}$		$B^{(d_{B},Q_{B})}$
	${\xrightarrow {\qquad \qquad \qquad \qquad R_{A}\qquad \qquad \qquad \qquad }}$
	${\xleftarrow {\qquad \qquad R_{B},{\text{MAC}}_{k'}(2,B,A,R_{B},R_{A})\qquad \qquad \ }}$
	${\xrightarrow {\quad \qquad \qquad {\text{MAC}}_{k'}(3,A,B,R_{A},R_{B})\qquad \qquad \quad }}$
$s_{A}=(r_{A}+{\overline {R}}_{A}d_{A}){\text{ mod }}n$		$s_{B}=(r_{B}+{\overline {R}}_{B}d_{B}){\text{ mod }}n$
$K=h\cdot s_{A}\cdot (R_{B}+{\overline {R}}_{B}Q_{B})$		$K=h\cdot s_{B}\cdot (R_{A}+{\overline {R}}_{A}Q_{A})$
$k={\mathcal {H}}_{1}(z)$		$k={\mathcal {H}}_{1}(z)$
$k'={\mathcal {H}}_{2}(z)$		$k'={\mathcal {H}}_{2}(z)$

פירוט המהלכים

$A$ מייצרת מספר אקראי $r_{A}$ בטווח $[1,n-1]$ ומחשבת את $R_{A}=r_{A}P$ ושולחת את התוצאה ל- $B$ .
$B$ מייצר מספר אקראי $r_{B}$ בטווח $[1,n-1]$ ,מחשב את $R_{B}=r_{B}P$ ושולח את התוצאה ל- $A$ .
$B$ מחשב את $s_{B}=(r_{B}+{\overline {R}}_{B}d_{B}){\text{ mod }}n$ ואת $K=h\cdot s_{B}\cdot (R_{A}+{\overline {R}}_{A}Q_{A})$ .
$B$ מחלץ את הערך $z$ שהוא הקואורדינטה $x$ של הנקודה $K$ ומחשב את $k={\mathcal {H}}_{1}(z)$ ואת $k'={\mathcal {H}}_{2}(z)$ .
$B$ מחשב את ${\text{MAC}}_{k'}(2,B,A,R_{B},R_{A})$ ושולח את תג האימות יחד עם $R_{B}$ ל- $A$ .
$A$ מחשבת את $s_{A}=(r_{A}+{\overline {R}}_{A}d_{A}){\text{ mod }}n$ ואת $K=h\cdot s_{A}\cdot (R_{B}+{\overline {R}}_{B}Q_{B})$ ובודקת שהנקודה $K$ תקינה.
$A$ מחלצת את הערך $z$ שהוא פונקציה של הקואורדינטה $x$ של הנקודה $K$ ומחשבת את הערכים $k={\mathcal {H}}_{1}(z)$ , $k'={\mathcal {H}}_{2}(z)$ .
$A$ מחשבת את ${\text{MAC}}_{k'}(3,A,B,R_{A},R_{B})$ ושולחת את התג ל- $B$ .
$B$ מחשב את ${\text{MAC}}_{k'}(3,A,B,R_{A},R_{B})$ ומוודה שהתוצאה זהה לתג שקיבל מ- $A$ .
מפתח השיחה הוא $k$ .

כאמור ביטחון הפרוטוקול היוריסטי בלבד, כולל את כל התכונות המצוינות לעיל ויעיל במיוחד.

פרוטוקול HMQV

ב-2005 פרסםהוגו קרווציקמאמר^[4]שבו הוא מבקר את ביטחון MQV תחת מודלים של ביטחון ידועים ומציין שהתגלו על ידו כמה חולשות בפרוטוקול. אף על פי שהפרוטוקול זכה לפופולריות רבה וה-NSA הכליל אותו ברשימה הנבחרת שלאלגוריתמיםשעברו בדיקה של קריפטאנליסטים מקצועיים, הרי שלא ניתנה הוכחה פורמלית לביטחונו במונחים שלביטחון סמנטילפי מודלסיבוכיותסטנדרטי או במסגרתמודל אורקל אקראי.הוגו הציע לתקן את הליקויים שמצא על ידי אלגוריתם משופר משלו שנקרא HMQV שפועל עם פונקציית גיבוב ומציע יעילות דומה למקורי ועם ביטחון מוכח. אלפרד מנזס ביקר את ממצאיו של הוגו וטען כי HMQV אינו בטוח יותר ומציג התקפה ריאליסטית במודל קנטי-קרווציק שבה אפשר לחשוף את המפתח הפרטי של המשתתפים. וכן מצא לדבריו שגיאות קריטיות בהוכחות המתמטיות שהובאו על ידי קרווציק. התיקון שהציע מנזס נקרא HMQV-1 והוא גרסה מתוקנת שעמידה בפני ההתקפה המצוינת (אולם בשל התיקון אינה מהירה יותר מהמקורית). קרווציק הגיב על טענות מנזס במאמר משלו וסתר חלק מהן.

חלק מהוויכוח מתמקד סביב הבדיקה שנקראת G-test, כלומר במהלך הפרוטוקול המקורי בוצע הכפל ב- $h$ כדי להבטיח שהתוצאה שייכת לתת-חבורה $G$ מסדר $n$ וכי לא נבחר בכוונה תחילה ערך מתת חבורה קטנה יותר שעלולה להפוך את הפרוטוקול ללא בטוח כי התוקף יכול להפעילכוח גסאם ידוע לו שהמפתח נמצא בטווח אחר קטן משמעותית מהמצופה. ב-HMQV הבדיקה הזו הוסרה לטובת יעילות בטענה שאינה מוסיפה לביטחון האלגוריתם לפי מודל אורקל אקראי. על כל פנים, הוספת פונקציית גיבוב לפרוטוקול MQV כפי שהציע קרווציק מקובלת כיום כיוון שהיא יעילה למדי ואינה מסכנת את ביטחון הפרוטוקול.

השוואת פרוטוקול HMQV לעומת MQV (בחבורה ציקלית רגילה)

נתון פרוטוקול דיפי הלמן הבסיסי (שאינו מאומת), בו המשתתפת ${\hat {A}}$ עם מפתח פרטי $a$ והמפתח הציבורי $A=g^{a}$ והמשתתף ${\hat {B}}$ עם מפתחות $b,B=g^{b}$ בהתאמה, רוצים לשתף ביניהם מפתח סודי $K$ הם פועלים כך; ${\hat {A}}$ שולחת ל- ${\hat {B}}$ את $({\hat {A}},{\hat {B}},A=g^{a})$ וכן $B$ שולח ל- $A$ את $({\hat {B}},{\hat {A}},B=g^{b})$ .המפתחות $x$ ו- $y$ הם המפתחות הפרטיים הזמניים של $A$ ו- $B$ בהתאמה ואילו $X$ ו- $Y$ הם המפתחות הציבוריים המתאימים. בשני הפרוטוקולים ${\hat {A}}$ ו- ${\hat {B}}$ מריצים את פרוטוקול דיפי-הלמן הבסיסי ואז:

{\hat {A}}

מחשבת את

\sigma _{\hat {A}}=(YB^{e})^{x+da}

,

{\hat {B}}

מחשב את

\sigma _{\hat {B}}=(XA^{d})^{y+eb}

.

כעת שני המשתתפים מחלצים את הסוד המשותף $K=H(\sigma _{\hat {A}})=H(\sigma _{\hat {B}})$

פרוטוקול MQV	פרוטוקול HMQV
$d={\overline {X}}\ {\overset {\underset {\mathrm {def} }{}}{=}}\ 2^{\ell }+(X{\text{ mod }}2^{\ell })$ , $e={\overline {Y}}\ {\overset {\underset {\mathrm {def} }{}}{=}}\ 2^{\ell }+(Y{\text{ mod }}2^{\ell })$	$d={\overline {H}}(X,{\hat {B}})$ , $e={\overline {H}}(Y,{\hat {A}})$

ביטחון

הסברה היא שהפרוטוקול בטוח כנגד ההתקפות המצוינות לעיל; מפתחות ידועים, שמירת סודיות קדימה, התחזות ושליטה. בהנחה שבעיית הלוגריתם הדיסקרטי ובעיית דיפי-הלמן קשות לפתרון, אם כי לא ניתנה כל הוכחה פורמלית. מסרי הפרוטוקול זהים לפרוטוקול דיפי-הלמן הבסיסי מסיבה זו הוא בעל תפוקה ורוחב פס טובים יותר מדיפי-הלמן שאומת באמצעות חתימה דיגיטלית. אולם פרוטוקול MQV (גרסה 1) אינו מספק שמירת סודיות קדימה במובן החזק. כלומר לפי המפתחים התכונה הזו מתקיימת רק כאשר המשתתפים בפרוטוקול הגונים, כלומר מבצעים את מהלכי הפרוטוקול כראוי. בעוד שאם אחד מהם אינו הגון ייתכן שסודיות קדימה לא תושג. אפשר לנסח את המודל בשני אופנים. בראשון המפתח הפרטי הקבוע של אחד מהצדדים המשתתפים בפרוטוקול נחשף ובמודל החמור יותר כל המידע הפרטי של המשתתף נחשף. במקרה האחרון הפרוטוקול ייכשל. אם יוזם ההתקשרות נפרץ וכל המידע הפרטי שלו נחשף לתוקף לאחר תחילת ההתקשרות, אם החשיפה ארעה לפני שקיבל בחזרה את התגובה של המשתתף האחר הרי שהתוקף יכול להשיג את מפתח השיחה.

ב-2001 ביקרו רוגווי, בלייר ובונה^[5]את הפרוטוקול כפי שהתקבל לתקן SEC-1 והעלו כמה נקודות שראוי להיזהר בהן, תיארו כמה התקפות אפשריות כנגד הפרוטוקול וציינו שהאיומים אינם פטאליים והפרוטוקול טוב לדעתם אם כי יש צורך להגדיר במדויק את יעדי הפרוטוקול באופן שיאפשר להעריך את ביטחונו, מה שלא נעשה בתקן למעט כמה הערות כלליות. כמו כן מציינים שהפרוטוקול יכול להיות בטוח רק במסגרת שבה כל משתמש מחזיק במפתחות הצפנה ארוכי טווח ובמפתחות ארעיים חד פעמיים, מסיבה זו פרוטוקול 2 לא בטוח.

ב-2003 פרסמופטר לידביטרונייג'ל סמארטהתקפה^[6]כנגד גרסת העקום האליפטי של הפרוטוקול: ECMQV (וכן כל פרוטוקול שיתוף מפתח מאומת מבוסס דיפי-הלמן שאינו עושה שימוש בחתימה דיגיטלית) באמצעות התקפתסריגשבה ניתן לחשוף את המפתח הפרטי ארוך הטווח של אחד המשתמשים כאשר חלק מהפרמטרים ידוע (כגון אם משתתף אחד הצליח לגלות חלק מסיביות ערך כלשהו המשמש את המשתתף השני בהכנת המפתח הארעי. גרעין התחלתי, Nonce,וקטור האתחולוכדומה. ערכים כאלו יכולים להתגלות לתוקף בדרכים אחרות כמו דליפה עקב יישום גרוע של האלגוריתם בתוכנה או בהתקפת ערוץ צדדיכמוקרינה אלקטרומגנטיתוכדומה). בכל אופן לאחר מספר ריצות של הפרוטוקול, המשתתף יכול לחשוף את המפתח הפרטי של הצד השני ולהתחזות אליו. הממצאים מראים שביטחון הפרוטוקול מצטמצם ל- $O(q^{1/4})$ ולא $O(q^{1/2})$ כאשר $q$ הוא סדר השדה.

התקפת שיתוף לא ידוע

פרוטוקול MQV (פרוטוקול 1) אינו פתור את בעיית "שיתוף לא ידוע" לעיל, כלומר אפשר לבצע התקפה של קליסקי^[7]כדלהלן: המצותת $E$ מיירטת את מפתח הציבורי $R_{A}$ המיועד ל- $B$ ומחליפה אותו ב- $R_{E}=R_{A}+{\overline {R}}_{A}Q_{A}-P$ מחשבת את $d_{E}=({\overline {R}}_{E})^{-1}{\text{ mod }}n$ וכן את $Q_{E}=d_{E}P$ ואז רושמת את המפתחות הללו אצל הרשות המאשרת כדי שיהיו תקפים ושולחת את $R_{E}$ ל- $B$ .המשתמש $B$ מגיב במשלוח $R_{B}$ ל- $E$ והיא מעבירה אותו הלאה ל- $A$ ללא שינוי. כעת $A$ ו- $B$ שיתפו את $K$ בזמן ש- $B$ משוכנע כל העת שהוא משתף מפתח עם $E$ בעוד שלמעשה הוא שיתף מפתח עם $A$ .ישנן שתי דרכים לפתור בעיה זו, האחת להוסיף את זהות המשתתפים לכל מהלכי הפרוטוקול והשנייה להוסיף מהלך שלישי כמו בפרוטוקול 3.

הערות שוליים

^An Efficient Protocol for Authenticated Key Agreement
^Law, L.; Menezes, A.; Qu, M.; Solinas, J.; Vanstone, S. (2003). "An Efficient Protocol for Authenticated Key Agreement". Des. Codes Cryptography 28 (2): 119–134
^SEC 1: Elliptic Curve Cryptography
^HMQV: A High-Performance Secure Diffie-Hellman Protocol
^Evaluation of Security Level of Cryptography ECMQVS (from SEC 1)
^Leadbitter, P. J.; Smart, N. P. (2003). "Analysis of the Insecurity of ECMQV with Partially Known Nonces". Information Security. 6th International Conference, ISC 2003, Bristol, UK, October 1–3, 2003. Proceedings. Lecture Notes in Computer Science 2851. pp. 240–251
^B. Kaliski. An unknown key-share attack on the MQV key agreement protocol. Manuscript. Proceedings version appeared in RSA 17 Conference 2000 Europe, Munich, April 2000. Work based on earlier communication to IEEE P1363a and ANSI X9F1 working groups, June 1998.

[1] An Efficient Protocol for Authenticated Key Agreement

[2] Law, L.; Menezes, A.; Qu, M.; Solinas, J.; Vanstone, S. (2003). "An Efficient Protocol for Authenticated Key Agreement". Des. Codes Cryptography 28 (2): 119–134

[3] SEC 1: Elliptic Curve Cryptography

[4] HMQV: A High-Performance Secure Diffie-Hellman Protocol

[5] Evaluation of Security Level of Cryptography ECMQVS (from SEC 1)

[6] Leadbitter, P. J.; Smart, N. P. (2003). "Analysis of the Insecurity of ECMQV with Partially Known Nonces". Information Security. 6th International Conference, ISC 2003, Bristol, UK, October 1–3, 2003. Proceedings. Lecture Notes in Computer Science 2851. pp. 240–251

[7] B. Kaliski. An unknown key-share attack on the MQV key agreement protocol. Manuscript. Proceedings version appeared in RSA 17 Conference 2000 Europe, Munich, April 2000. Work based on earlier communication to IEEE P1363a and ANSI X9F1 working groups, June 1998.

[1]

[2]

[3]

[4]

[5]

[6]

[7]