MQV

MQV(메네제스)–Qu-Vanstone)은 Diffie--에 근거한 핵심 계약을 위한 인증된 프로토콜이다.지옥의 계략.인증된 다른 디피처럼-Hellman schemes, MQV는 활성 공격자에 대한 보호를 제공한다.프로토콜은 임의의 유한 그룹, 특히 타원 곡선 그룹에서 작동하도록 수정할 수 있으며, 여기서 타원 곡선 MQV(ECMQV)로 알려져 있다.

MQV는 알프레드 메네제스, 밍화 퀘, 스콧 반스톤에 의해 1995년에 처음 제안되었다.나중에 로리 로와 제리 솔리나스와의 공동 작업에서 수정되었다.^[1]1-패스, 2-패스, 3-패스가 있다.

MQV는 공개키 표준 IEEE P1363과 NIST의 SP800-56A 표준에 통합되어 있다.^[2]

일부 변형 MQV는 Certicom에 할당된 특허에서 클레임된다.

ECMQV가 국가안보국(NSA)의 스위트 B 암호 표준 세트에서 삭제되었다.

설명

앨리스는 공개 $A$ 키 $($ $(A,a)$ , $(A,a)$ ) ${\$ $displaystyle$ $(A,a)}$ 과 $(A,a)$ ( $와$ ) ${\$ $displaystyle$ A $}$ 과(와) $a$ 키를 가지고 있고, 밥은 공개 키( $B$ b $)$ 와 개인 $(B,b)$ 키를 각각 $가지고$ 있다 $.$

다음의 ${\$ 에서 다음 뜻이 있다 ${\bar {R}}$ . $R=(x,y)$ = $R=(x,y)$ ( $R=(x,y)$ , y $R=(x,y)$ ) ${\displaystyle$ R $=(x,y)}$ 을(를) 타원형 곡선의 점으로 한다 $R=(x,y)$ .Then ${\bar {R}}=(x\,{\bmod {\,}}2^{L})+2^{L}$ where $L=\left\lceil {\frac {\lfloor \log _{2}n\rfloor +1}{2}}\right\rceil$ and $n$ is the order of the used generator point ${\displaystyle$ $P$ 따라서 ${\bar {R}}$ 의 ${\$ 은(는) $R$ $R$ 의 첫 번째 좌표 중 첫 번째 L 비트 입니다 ${\bar {R}}$ $R$

스텝	작전
1	앨리스는 임의로 $x$ $x$ 을(를) 생성하고 $x$ , 타원형 $P$ 에 P{\ $displaystyle P}$ 을 $X=xP$ $P$ (를) $X=xP$ 로 $X=xP$ X = $X=xP$ $X=xP$ {\ $displaystyle$ X= $xP}$ 을(를) 계산하여 $(X,x)$ 키 쌍 $(X,x)$ , $(X,x)$ ) $(X,x)$ {\ $displaystystylem$ ( $X,x)$ 을)을 생성한다.
2	밥은 앨리스와 같은 방법으로 $(Y,y)$ 키 쌍 $(Y,y)$ , $(Y,y)$ ) ${\displaystyle(Y,y$ )}을 생성한다.
3	$이제$ 앨리스는 S $S_{a}=x+{\bar {X}}a$ = x $S_{a}=x+{\bar {X}}a$ + $S_{a}=x+{\bar {X}}a$ 의 $s_{a}=x+{\bar}modulo$ n {\displaystyle $n}$ 을 $S_a = x + \bar{X} a$ $n$ (를 $)$ 계산하고 X {\ $displaystyle$ X $}$ 을(를 $)$ 밥에게 $X$ 보낸다.
4	밥은 $S_{b}=y+{\bar {Y}}b$ $S_{b}=y+{\bar {Y}}b$ = y $S_{b}=y+{\bar {Y}}b$ + $S_{b}=y+{\bar {Y}}b$ 의 $S_{b}=y+{\bar {Y}}b$ $S_{b}=y+{\bar$ modulo $S_{b}=y+{\bar {Y}}b$ $n$ $n$ 을 $n$ 계산하여 Y $Y$ 을(를) 앨리스에게 보낸다 $Y$ .
5	Alice calculates $K=h\cdot S_{a}(Y+{\bar {Y}}B)$ and Bob calculates $K=h\cdot S_{b}(X+{\bar {X}}A)$ where $h$ is the cofactor (see Elliptic curve cryptography: domain parameters).
6	$비밀$ K $K$ 의 통신은 성공했다 $K$ .대칭 키 알고리즘의 키는 $K$ $K$ 에서 파생될 수 있다 $K$

참고: 알고리즘이 안전하려면 일부 검사를 수행해야 한다.행커슨 외 연구실을 참조하십시오.

정확성

Bob calculates: ${\displaystyle K=h\cdot S_{b}(X+{\bar {X}}A)=h\cdot S_{b}(xP+{\bar {X}}aP)=h\cdot S_{b}(x+{\bar {X}}a)$ $P=h\cdot S_{b}S_{a}P}$

Alice calculates: ${\displaystyle K=h\cdot S_{a}(Y+{\bar {Y}}B)=h\cdot S_{a}(yP+{\bar {Y}}bP)=h\cdot S_{a}(y+{\bar {Y}}b)$ $P=h\cdot S_{b}S_{a}P}$

따라서 공유 비밀 $K$ $K$ 은(는) K $K=h\cdot S_{b}S_{a}P$ = $K=h\cdot S_{b}S_{a}P$ $K=h\cdot S_{b}S_{a}P$ S $K=h\cdot S_{b}S_{a}P$ S $K=h\cdot S_{b}S_{a}P$ $K=h\cdot S_{b}S_{a}P$ {\ $displaystyle K=h\cdot S_{b}$ S_{ $a}P}$ 와 실제로 $K$ 동일하다.

MQV 대 HMQV

원래의 MQV 프로토콜은 주요 교환 흐름에서 통신 당사자의 사용자 ID를 포함하지 않는다.사용자 ID는 이후의 명시적 키 확인 프로세스에만 포함된다.그러나 명시적 키 확인은 MQV(그리고 IEEE P1363 규격)에서 선택적이다.2001년 칼리스키는 MQV 키 교환 프로토콜에서 사라진 정체성을 악용한 알 수 없는 키 공유 공격을 제시했다.^[3]공격은 명시적 키 확인이 없는 암묵적으로 인증된 MQV에 대해 작동한다.이 공격에서 사용자는 다른 사용자와 세션 키를 설정하지만 다른 사용자와 키를 공유한다고 속인다.2006년 메네제스와 우스타오글루는 MQV 키 교환 종료 시 키 파생 기능에 사용자 ID를 포함시켜 이 공격을 해결할 것을 제안했다.^[4]명시적 키 확인 프로세스는 선택 사항으로 유지된다.

2005년에 Krawczyk은 HMQV라고 불리는 MQV의 해시 변형을 제안했다.^[5]HMQV 프로토콜은 Kaliski의 공격(명시적인 키 확인 없이)에 대처하기 위해 설계되었으며, 검증 가능한 보안과 효율성 향상을 달성한다는 추가적인 목표를 가지고 있다.HMQV는 MQV를 다음과 같이 세 가지 변경했다.

Including the user identities in the key exchange flows: more specifically, letting ${\bar {X}}=H(X,B)$ and ${\bar {Y}}=H(Y,A)$ where $A$ and $B$ are identities of Alice and Bob respectively.
공인인증기관(CA)이 공개키 등록 시 사용자의 개인키의 보유 증명을 확인해야 한다는 MQV의 의무요건을 삭제한다.HMQV에서 CA는 제출된 공개 키가 0 또는 1이 아닌지만 확인하면 된다.
사용자가 수신한 사용 후 공개 키가 유효한 공개 키인지 확인해야 한다는 MQV의 필수 요구 사항 제거(공용 키 유효성 검사라고 함).HMQV에서 사용자는 수신된 후 삭제 공용 키가 0 또는 1이 아닌지 확인하기만 하면 된다.

HMQV는 MQV에서 의무적으로 요구하는 상기 2)와 3)의 연산을 분산하기 때문에 성능면에서 MQV보다 우수하다고 주장한다.HMQV 논문은 이러한 운영으로 분사하는 것이 안전하다는 것을 뒷받침하는 "공식적인 보안 증명서"를 제공한다.

2005년에 메네제스는 처음으로 HMQV에 대한 작은 부분군 감금 공격을 제시했다.^[6]이 공격은 2)와 3)의 공개 키 검증이 정확히 누락된 점을 악용한다.활성 공격자와 교전할 때 HMQV 프로토콜이 사용자의 장기 개인 키에 대한 정보를 누설하고, 기본 암호 그룹 설정에 따라 공격자가 개인 키 전체를 복구할 수 있음을 보여준다.메네즈는 최소한 2)와 3)의 공개 키 검증을 의무화함으로써 이 공격을 해결할 것을 제안했다.

2006년, 메네제스의 공격에 대응하여 크라크지크는 IEEE P1363(IEEE P1363 D1-pre 초안에 포함)에 대한 제출에서 HMQV를 개정하였다.그러나 크라우치크는 2)와 3)의 장기 및 후기 공개키를 각각 두 개의 별도 작업으로 검증하는 대신 키 교환 과정에서 하나의 결합 작업으로 함께 검증할 것을 제안했다.이렇게 하면 비용이 절감될 것이다.조합된 공개키 검증이 시행되면 메네제스의 공격은 막을 수 있을 것이다.수정된 HMQV는 여전히 MQV보다 더 효율적이라고 주장할 수 있다.

2010년에 Hao는 수정된 HMQV에 대해 두 가지 공격을 제시했다(IEEE P1363 D1-pre 초안에 명시된 바와 같이).^[7]첫 번째 공격은 HMQV가 0과 1 이외의 모든 데이터 문자열을 장기 공개 키로 등록할 수 있도록 한다는 점을 악용한다.따라서 작은 부분군 요소는 "공용 키"로 등록할 수 있다.이 "공용 키"를 알면 사용자는 HMQV의 모든 검증 단계를 통과할 수 있으며, 결국 완전히 "인증"된다.이는 인증된 키 교환 프로토콜의 "인증"이 개인 키의 지식 증명에 기초하여 정의된다는 일반적인 이해와 배치된다.이 경우 사용자는 "인증"되지만 개인 키가 없는 경우(사실상 개인 키는 존재하지 않는다).이 문제는 MQV에는 적용되지 않는다.두 번째 공격은 HMQV에서 명시적으로 지원되는 자체 통신 모드를 이용하여 사용자가 동일한 공용 키 인증서를 사용하여 자신과 통신할 수 있도록 한다.이 모드에서 HMQV는 알 수 없는 키 공유 공격에 취약한 것으로 나타난다.첫 번째 공격을 해결하기 위해 하오는 메네제스가 처음 제안한 대로 2)와 3)에 공개키 검증을 별도로 실시할 것을 제안했다.그러나 이러한 변화는 MQV에 비해 HMQV의 효율성 이점을 감소시킬 것이다.하오는 두 번째 공격을 해결하기 위해 자기 복제본을 구별하기 위해 추가 신원을 포함시키거나, 자기소통 모드를 비활성화할 것을 제안했다.

하오의 두 가지 공격은 2010년 IEEE P1363 워킹그룹 멤버들에 의해 논의되었다.그러나 HMQV를 어떻게 개정해야 하는지에 대해서는 의견 일치가 없었다.그 결과, IEEE P1363 D1-pre 초안의 HMQV 규격은 변경되지 않았으나, IEEE P1363의 HMQV 표준화는 그 이후로 진행이 중단되었다.^{[citation needed]}

참고 항목

타원곡선암호법

참조

^ Law, L.; Menezes, A.; Qu, M.; Solinas, J.; Vanstone, S. (2003). "An Efficient Protocol for Authenticated Key Agreement". Des. Codes Cryptography. 28 (2): 119–134. doi:10.1023/A:1022595222606.
^ Barker, Elaine; Chen, Lily; Roginsky, Allen; Smid, Miles (2013). "Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography". doi:10.6028/NIST.SP.800-56Ar2. Retrieved 15 April 2018. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
^ Kaliski, Burton S., Jr. (August 2001). "An Unknown Key-share Attack on the MQV Key Agreement Protocol". ACM Transactions on Information and System Security. 4 (3): 275–288. doi:10.1145/501978.501981. ISSN 1094-9224.
^ Menezes, Alfred; Ustaoglu, Berkant (2006-12-11). On the Importance of Public-Key Validation in the MQV and HMQV Key Agreement Protocols. Progress in Cryptology - INDOCRYPT 2006. Lecture Notes in Computer Science. Springer, Berlin, Heidelberg. pp. 133–147. doi:10.1007/11941378_11. hdl:11147/4782. ISBN 9783540497677.
^ Krawczyk, H. (2005). "HMQV: A High-Performance Secure Diffie–Hellman Protocol". Advances in Cryptology – CRYPTO 2005. Lecture Notes in Computer Science. Vol. 3621. pp. 546–566. doi:10.1007/11535218_33. ISBN 978-3-540-28114-6.
^ Menezes, Alfred (2007-01-01). "Another look at HMQV". Mathematical Cryptology. 1 (1). doi:10.1515/jmc.2007.004. ISSN 1862-2984.
^ F. Hoo, Public Key Authentication에 기반한 강력한 키 계약서.2010년 1월 스페인 테네리페에서 열린 제14차 국제 금융 암호화 및 데이터 보안 회의의 절차, LNCS 6052, 페이지 383–390, 1월.

참고 문헌 목록

Kaliski, B. S., Jr (2001). "An unknown key-share attack on the MQV key agreement protocol". ACM Transactions on Information and System Security. 4 (3): 275–288. doi:10.1145/501978.501981.
Law, L.; Menezes, A.; Qu, M.; Solinas, J.; Vanstone, S. (2003). "An Efficient Protocol for Authenticated Key Agreement". Des. Codes Cryptography. 28 (2): 119–134. doi:10.1023/A:1022595222606.
Leadbitter, P. J.; Smart, N. P. (2003). "Analysis of the Insecurity of ECMQV with Partially Known Nonces". Information Security. 6th International Conference, ISC 2003, Bristol, UK, October 1–3, 2003. Proceedings. Lecture Notes in Computer Science. Vol. 2851. pp. 240–251. doi:10.1007/10958513_19. ISBN 978-3-540-20176-2.
Menezes, Alfred J.; Qu, Minghua; Vanstone, Scott A. (2005). Some new key agreement protocols providing implicit authentication (PDF). 2nd Workshop on Selected Areas in Cryptography (SAC '95). Ottawa, Canada. pp. 22–32.
Hankerson, D.; Vanstone, S.; Menezes, A. (2004). Guide to Elliptic Curve Cryptography. Springer Professional Computing. New York: Springer. CiteSeerX 10.1.1.331.1248. doi:10.1007/b97644. ISBN 978-0-387-95273-4.

외부 링크

[1] Law, L.; Menezes, A.; Qu, M.; Solinas, J.; Vanstone, S. (2003). "An Efficient Protocol for Authenticated Key Agreement". Des. Codes Cryptography. 28 (2): 119–134. doi:10.1023/A:1022595222606.

[2] Barker, Elaine; Chen, Lily; Roginsky, Allen; Smid, Miles (2013). "Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography". doi:10.6028/NIST.SP.800-56Ar2. Retrieved 15 April 2018. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)

[3] Kaliski, Burton S., Jr. (August 2001). "An Unknown Key-share Attack on the MQV Key Agreement Protocol". ACM Transactions on Information and System Security. 4 (3): 275–288. doi:10.1145/501978.501981. ISSN 1094-9224.

[:1-4] Menezes, Alfred; Ustaoglu, Berkant (2006-12-11). On the Importance of Public-Key Validation in the MQV and HMQV Key Agreement Protocols. Progress in Cryptology - INDOCRYPT 2006. Lecture Notes in Computer Science. Springer, Berlin, Heidelberg. pp. 133–147. doi:10.1007/11941378_11. hdl:11147/4782. ISBN 9783540497677.

[5] Krawczyk, H. (2005). "HMQV: A High-Performance Secure Diffie–Hellman Protocol". Advances in Cryptology – CRYPTO 2005. Lecture Notes in Computer Science. Vol. 3621. pp. 546–566. doi:10.1007/11535218_33. ISBN 978-3-540-28114-6.

[6] Menezes, Alfred (2007-01-01). "Another look at HMQV". Mathematical Cryptology. 1 (1). doi:10.1515/jmc.2007.004. ISSN 1862-2984.

[7] F. Hoo, Public Key Authentication에 기반한 강력한 키 계약서.2010년 1월 스페인 테네리페에서 열린 제14차 국제 금융 암호화 및 데이터 보안 회의의 절차, LNCS 6052, 페이지 383–390, 1월.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

Search

MQV

네임스페이스

더

목차

설명

정확성

MQV 대 HMQV

참고 항목

참조

참고 문헌 목록

외부 링크