YAK(크립토그래피)

YAK는 2010년 펑하오에서 제안한 공개키 인증 키협정 프로토콜이다.^[1][2] MQV, HMQV, Station-to-Station 프로토콜, SSL/TLS 등 관련 체계 중 가장 간단하게 인증된 키 교환 프로토콜이라고 주장한다.인증은 공개 키 쌍을 기반으로 한다.다른 프로토콜과 마찬가지로, 일반적으로, YAK는 통신 당사자들에게 진정한 공개 키를 배포하기 위해 공개 키 기반 구조가 필요하다.YAK의 보안에 대해 논란이 있다(아래 및 토크 페이지 참조).

설명

앨리스와 밥 두 당사자는 분리 로그 문제가 어려운$$ 원시 순서 $q{\displaystyle }$ ${\displaystyle q}$의 발전기 $g{\displaystyle }$ ${\displaystyle g}$과(와) $G{\displaystyle }$ ${\displaystyle G}$ 그룹에 합의한다.일반적으로 Schnorr 그룹이 사용된다.일반적으로 YAK는 타원곡선 암호화를 포함해 공개키 암호화에 적합한 프라임 오더 그룹을 사용할 수 있다.$g{\displaystyle {}^{}}$ ${\displaystyle a^{}}$ ${\$를 앨리스의 장기 공개 키로$$ $하고{\displaystyle {}^{}}$ g ${\displaystyle b^{}}$ ${\$ g$^{b}$를 밥의 공개 키로 한다.프로토콜 실행은 다음 중 하나로 이루어진다.

앨리스는 $x{\displaystyle {}_{}}$∈ ${\displaystyle R_{}}$ [ ${\displaystyle 0{}_{}q}$- ${\displaystyle 1}$ ${\displaystyle ]}$을 선택하고,$$\$displaystyle$ x$\in _{\text{$$R}}[0,q-1]}$ and sends out ${\displaystyle g^{x}}$ together with a zero-knowledge proof (using for example Schnorr non-interactive zero-knowledge proof as described in RFC 8235) for the proof of the exponent ${\displaystyle x}$. Similarly, Bob selects ${\displaystyle y\in _{\text{$$R}[0,q-1]},$ 그리고$$ $지수{\displaystyle }$ y$${\$displaystyle y}$의 증명에 대한 0지식 증명과 ${\displaystyle {함께}^{}}$ g$${\$displaystyle$ g$^{y}}$을 내보낸다$.$여기 ${\displaystyle {표기법}_{}}$ $\in {\displaystyle {}_{}}$ R ${\$$R}}$은(는) 균일한 확률로 무작위로 선택된 원소를 가리킨다$$.

어느 쪽도 상대방에게 의존하지 않기 때문에 위의 커뮤니케이션을 한 번에 끝낼 수 있다.그것이 끝나면 앨리스와 밥은 받은 영지식 증거를 검증한다.Alice then computes ${\displaystyle K=(g^{y}g^{b})^{x+a}=g^{(x+a)(y+b)}}$. Similarly, Bob computes ${\displaystyle K=(g^{x}g^{a})$$^{y+b}=g^{(x+a)(y+b$ 동일한 키잉 재료 K ${\displaystyle$ K$}$를 ${\displaystyle \mathrm{사용}}$하여 앨리스와 Bob은 암호 해시함수 $session{\displaystyle }$ =${\displaystyle }$H${\displaystyle }$( K$){\displaystyle \kappa =H(K)}$를 사용하여 세션키를 도출할 수 있다$.$

보안 속성

Schnorr의 계획과 같이 잘 확립된 제로 지식 증명 원시성의 사용은 보안 증명을 크게 단순화한다.기초적인 영지식 증명 원시성이 안전하다는 점을 감안하여, YAK 프로토콜은 다음과 같은 특성을 만족시키는 것을 목표로 한다.^[2]

1. 개인 키 보안 – 공격자는 손상된 세션에서 세션별 모든 암호를 배울 수 있더라도 사용자의 정적 개인 키를 배울 수 없다.
2. Forward secrecy – 과거 손상되지 않은 세션에서 안전하게 설정된 세션 키는 두 사용자의 정적 개인 키가 모두 공개되더라도 미래에 입력할 수 없는 상태를 유지할 것이다.
3. 세션 키 보안 – 공격자가 사용자를 가장하지만 사용자의 개인 키에 액세스할 수 없는 경우 세션 키를 계산할 수 없음

원본 YAK 논문의 보안 주장은 랜덤 오라클 모델의 Computing Diffie-Hellman 가정에 기초한다.

암호해석

2015년 토오라니는 "야크 프로토콜은 공동 키 제어와 완벽한 전방 비밀유지 속성이 결여돼 있고, 미지의 키 공유, 키 복제 공격 등 일부 공격에 취약하다"고 언급해 하오 부총리의 의견이 엇갈렸다.^[4]

2020년, 모하마드는 YAK 프로토콜이 알려진 키 보안 공격을 견뎌낼 수 없다고 언급했는데, 이는 적대자가 양 당사자 사이의 공유된 정적 비밀키와 개시자의 순간적인 개인키를 모두 공개할 수 있는 새로운 키 타협적 사칭 공격으로 이어진다.저자는 또 이러한 공격과 이전 Toorani가 YAK 프로토콜에 대해 언급한 공격을 교정하기 위한 개선된 프로토콜을 제안했으며, 제안된 프로토콜은 실체 인증과 키 확인을 제공하는 검증 메커니즘을 이용한다.저자는 제안된 프로토콜이 Diffie alread 아래 제안된 공식적인 보안 모델에서 안전하다는 것을 보여주었다.지옥의 가정과 임의의 신탁 가정.더욱이 제안된 프로토콜의 보안과 YAK 프로토콜에 대한 공격은 Scyther 도구에 의해 검증되었다.^[5] 모하마드의 논문은 토크 페이지에서 논의된다.

참조