密码学原语安全模型的来源:
几乎每一种密码学原语都有其自己的安全模型,安全模型即为密码学原语(工具)在现实中的应用与敌手攻击的抽象,例如加密方案的CPA、CCA等模型,签名方案的EUCMA模型以及密钥交换协议的BR,CK等模型。这些模型的命名方式有的是依据敌手的攻击行为而定义,有的是则是用提出该模型的作者姓名进行命名。
密钥交换安全模型:
密钥交换方案与加密方案还是有一定的区别,但是可以类比其安全模型。密钥交换本质是一种密码学协议,其中可能有2个或者多个参与方。一般情况下,加密方案只有两个参与者加密方与接受密文的解密方。
首先,我们关注密钥交换协议中敌手的能力。第一,一般来说敌手是一种基于网络的敌手,其可以监听网络流量信息甚至修改、截取、变换网络上信息的顺序。第二,由于密钥协商协议是公开的,敌手也能够执行任意的协议计算。第三,敌手除了静态的监听还能积极主动的参与到协议的执行过程中去,例如其可能通过一些物理手段或者其他技术手段获取到使用该协议的参与者的长期密钥信息,甚至是实时的内存信息。
接着,我们关注密钥交换协议中敌手的目的。敌手的最终目的是获取其选择的某些用户在某些时刻的会话密钥,为此敌手可以不择手段。
然后,我们列举一些敌手可能获取信息以及方式:
(1)敌手可以指定一些用户创建会话。
(2)敌手可以向已经存在的会话发送消息,并获得返回值。
(3)敌手可以揭示(打开、腐败)一些参与者的长期密钥
(4)敌手可以揭示(打开、腐败)一些随机数。
(5)敌手可以对测试会话进行猜测。
(6) 其他方式
目前多种不同的安全模型的最大区别也在于能够支持敌手访问、请求能力不同。
进一步,我们关注一些密钥协商协议共有的内容:
匹配、部分匹配会话概念:AKE协议实际上是由一方进行计算的,因为AKE协议中至少有两个参与方,并且协议执行于一个不假定为安全的网络上,那么作为会话的发起方而言,其实很难确定与其交互的合作者是一个敌手还是一个真实的参与者。故,在AKE的习惯处理方式上,用2个谕言机来刻画一个会话实例,一般定义为会话谕言机s以及会话谕言机s`。如果这两个会话满足一定的条件,则称两个会话是匹配的,或者部分匹配的。如果对方已经被敌手控制或者就是敌手,则称匹配会话不存在。
新鲜度(freshness)的概念:在一个安全实验(game,experiment)中,敌手依然可能对测试会话施加一些攻击或者腐败手段,这将削弱我们对于安全含义的定义。所以为了让test session真正有实际的意义,我们需要给出一个关于“未被破坏”的会话的定义,即什么样的test session是未被破坏的,这里我们用“freshness”来刻画一个未被敌手干扰的安全会话的标准。
关于一个协议会话新鲜度的安全定义的细节一定是按照具体的协议不同的设定的,换句话说针对于一个test session 我们应该指定那些东西是敌手所不能触碰的,下面有几个基本的freshness定义,(1)一个会话是fresh的,没有敌手对这个会话的所有者、合作者进行腐败。另外,敌手不能对整个会话或者其匹配会话发起任何的reveal类的请求。
(2)敌手此时不能对任何的参与方进行corrupt(除过整个会话以外的)。
(3)也有一些为了捕获完全前向安全,允许在会话匹配完成后进行腐败。
(4)新鲜度的限定是针对整个实验期间的,而不是test结束后就没有整个概念了。
安全实验概念:如果一个安全实验满足以下的两个条件则可以说其基本捕获了一个密钥交换协议的安全性。
(1)协议会话完成匹配,且两个匹配会话计算获得相同的会话密钥。
(2)敌手的优势可忽略。
