Một số phân tích về mô hình an toàn cho giao thức trao đổi khóa

Bài viết trình bày so sánh độ an toàn trong mô hình
Nội dung trích xuất từ tài liệu:
Một số phân tích về mô hình an toàn cho giao thức trao đổi khóa Công nghệ thông tin MỘT SỐ PHÂN TÍCH VỀ MÔ HÌNH AN TOÀN CHO GIAO THỨC TRAO ĐỔI KHÓA Triệu Quang Phong* Tóm tắt: Các mô hình an toàn đóng vai trò quan trọng trong việc phân tích độ an toàn của các giao thức trao đổi khóa. Trong đó các mô hình an toàn CK [1], ?????? [2] và eCK [3] được sử dụng phổ biến hơn cả. Trong [4], C. J. F. Cremers đã chỉ ra rằng độ an toàn trong ba mô hình này không thể được suy dẫn qua nhau, nghĩa là một giao thức đạt được độ an toàn trong bất cứ mô hình nào kể trên thì chưa chắc an toàn trong bất kỳ mô hình nào còn lại. Ngoài ra, công trình này cũng chỉ ra một vài vấn đề liên quan đến chứng minh an toàn cho một số giao thức trong những mô hình này, cụ thể là vấn đề về tính so khớp phiên. Dựa trên cơ sở của [4], bài báo sẽ so sánh độ an toàn trong mô hình ?????? [2] và độ an toàn AKE [8]. Bên cạnh đó, bài báo sẽ chỉ ra một vấn đề liên quan đến việc cài đặt của giao thức Lemongrass-3 [9], [10], mà đạt độ an toàn AKE, và sau đó đưa ra một phương án giải quyết cho vấn đề đó.Từ khóa: Giao thức HMQV; Giao thức KEA+; Giao thức Lemongrass-3; Mô hình ?????? ; Độ an toàn AKE. 1. GIỚI THIỆU Các mô hình an toàn đóng vai trò quan trọng trong việc phân tích độ an toàn của cácgiao thức trao đổi khóa. Mô hình chứng minh an toàn đầu tiên được đề xuất bởi Bellarevà Rogaway, với tên gọi BR93 [5]. Tiếp theo đó, nhiều mô hình chứng minh an toànkhác đã được đề xuất như BR95 [6], BPR2000 [7], CK [1]. Trong đó, mô hình CK vàcác biến thể của nó, bao gồm CK HMQV [2] và mô hình eCK [3], hiện được sử dụng phổbiến để phân tích độ an toàn cho các giao thức mật mã. Cụ thể, những giao thức đặctrưng mà chúng ta có thể kể đến như: SIG-DH an toàn trong mô hình CK [1], HMQV antoàn trong mô hình CK HMQV [2] và NAXOS an toàn trong mô hình eCK [3]. Hình 1. Giao thức HMQV [2]. Trong [4], C. J. F. Cremers đã phân tích và tìm liên hệ giữa ba mô hình an toàn CK,CK HMQV, eCK. Một kết quả mà công trình đó đưa ra là độ an toàn của ba mô hình CK,CK HMQV, eCK không được suy dẫn qua nhau, nghĩa là một giao thức đạt được độ an toàntrong bất cứ mô hình nào kể trên thì chưa chắc an toàn trong bất kỳ mô hình nào còn lại.Ngoài ra, [4] còn chỉ ra một số vấn đề khi chứng minh độ an toàn của các giao thức traođổi khóa trong những mô hình này. Cần lưu ý rằng, phương án tiếp cận chính mà C. J. F.Cremers sử dụng là khai thác tính so khớp phiên trong những mô hình kể trên.60 Triệu Quang Phong, “Một số phân tích về mô hình an toàn cho giao thức trao đổi khóa.”Nghiên cứu khoa học công nghệ Bên cạnh độ an toàn trong những mô hình kể trên, K. Lauter và A. Mityagin [8] đãtrình bày độ an toàn AKE cho các giao thức trao đổi khóa có xác thực và chỉ ra một giaothức đạt được độ an toàn này, với tên gọi là KEA+. Trong [10], Grebnev cũng đã sửdụng độ an toàn này để phân tích cho giao thức Lemongrass-3, mà sau đó đã xuất hiệntrong dự thảo chuẩn [9] do TC26 đề xuất. Về cơ bản, có thể xem độ an toàn AKE [8]như một biến thể của độ an toàn trong mô hình CK HMQV. Đóng góp. Dựa trên ý tưởng của [4], bài báo này sẽ so sánh độ an toàn trong mô hìnhCK HMQV [2] và độ an toàn AKE [8]. Kết quả thu được là hai độ an toàn trên không đượcsuy dẫn thông qua nhau, bằng cách chỉ ra rằng giao thức HMQV không đạt được độ antoàn AKE và giao thức KEA+ không an toàn trong mô hình CK HMQV. Bên cạnh đó, bài báo chỉ ra một vấn đề đối với mô tả của giao thức Lemongrass-3trong [9]. Cụ thể, nếu với mô tả đó, giao thức Lemongrass-3 sẽ không đạt được độ antoàn AKE, mặc dù nó đã đã được chứng minh đạt độ an toàn AKE theo mô tả trong [10].Giải pháp cho vấn đề này sẽ được đề xuất trong mục 0 của bài báo. 2. MÔ HÌNH AN TOÀN CHO CÁC GIAO THỨC TRAO ĐỔI KHÓA2.1. Các chuẩn bị và quy ước ký hiệu Ở đây, chúng ta xem xét các giao thức được thực hiện giữa hai bên tham gia. Chúngta sẽ dùng ký hiệu ?̂, ?̂,... để đại diện cho các bên tham gia. Khi thực hiện giao thức, mỗibên tham gia sẽ đóng vai trò như bên khởi tạo ℐ, hoặc bên phúc đáp ℛ; và mỗi lần thựchiện như vậy sẽ được coi là một phiên. Hơn nữa, mỗi bên tham gia cũng có thể thực hiệncùng lúc nhiều phiên với các bên tham gia khác. Trong lúc giao thức được thực hiện bình thường (không có sự can thiệp của bên đốikháng) giữa 2 bên tham gia ?̂ và ?̂, có một phiên tại ?̂ và một phiên tại ?̂. Đối với cácgiao thức trao đổi khóa, chúng ta yêu cầu cả hai phiên đó đều tính ra cùng một khóa. Cácmô hình trao đổi khóa được xem xét ở đây đều bao gồm khái niệm của các phiên so khớp(matching) (đôi khi được gọi là tính đối tác -- parterning). Trong trường hợp hai phiênso khớp với nhau thì c ...