MQV

MQV (קיצור של Menezes-Qu-Vanstone) הוא פרוטוקול קריפטוגרפי לשיתוף מפתח הצפנה עם אימות, שפותח ב-1998 על ידי אלפרד מנזס וסקוט ונסטון מאוניברסיטת ווטרלו, מינגהו קו מחברת Certicom^[1]^[2], בשיתוף עם לורי לאו וג'רי סולינס מה-NSA. פרוטוקול MQV מבוסס על פרוטוקול דיפי-הלמן, הוא היעיל ביותר מסוגו וניתן להפעילו בכל חבורה ציקלית סופית, במיוחד בחבורת עקום אליפטי (במקרה זה מסומן בקיצור ECMQV). כמו כן קיימות שתי וריאציות נוספות של הפרוטוקול; העברת מפתח מאומת במהלך יחיד, המתאים לסביבה בה רק צד אחד מקוון וכן העברת מפתח בשלושה מהלכים המספק אימות דו צדדי.

הפרוטוקול מפורט בתקן SEC 1^[3] של איגוד SECG (שנוסד על ידי סרטיקום) ושולב בתקן IEEE P1363, בתקנים ANSI X9.63, X9.42 וכן RFC-5656 של IETF. כמו כן נכלל על ידי NSA בחבילה הקריפטוגרפית Suit B לפי המלצות NIST SP 800-56A. ייתכן שכמה מגרסאות הפרוטוקול מוגנות בפטנט. גרסאות מתקדמות של הפרוטוקול אטרקטיביות במיוחד להצפנת תקשורת אלחוטית ברשתות מקומיות כמו IEEE 802.11 או לטווחים בינוניים כמו WiMAX, כאשר משתמשי הקצה הם בדרך כלל מכשירים המוגבלים במשאבים וברוחב פס.

רקע

ערך מורחב – בעיית הפצת מפתחות

מאז המצאת המפתח הציבורי על ידי דיפי והלמן ופתרון בעיית הפצת המפתחות פותחו מספר פרוטוקולים קריפטוגרפיים להעברת מפתח סודי. כללית קיימים שני סוגים של שיתוף או הקמה (Key establishment) של מפתחות הצפנה; תהליך "שיתוף מפתח" (Key agreement) שבו שני משתתפים או יותר מסכמים ביניהם על מפתח סודי כך שכל אחד מהם תורם את חלקו להקמתו במידה שווה, לעומת "העברת מפתח" (Key transport) שבו צד אחד מייצר ומעביר מפתח סודי למשתתפים האחרים, בעוד שהם אינם בהכרח תורמים להקמתו ואין להם שליטה עליו.

החסרון בפרוטוקול דיפי הלמן במתכונתו המקורית שהוא אינו מספק אימות זהויות ולכן חשוף להתקפת אדם באמצע. אפשר להוסיף מרכיב אימות על ידי חתימה דיגיטלית או תעודת מפתח ציבורי החתומה על ידי רשות מאשרת. משיקולי יעילות נעשו מאמצים לפתח פרוטוקולים המספקים אימות עקיף כחלק אינטרגלי ללא צורך בתהליכים נפרדים ובהתערבות צד שלישי. אפשר לחלק את מרכיב האימות לשני סוגים, שיתוף מפתח מאומת שבו צד אחד משתף ומאמת מפתח עם צד אחר, כך שהוא מקבל אישור לזהותו של המשתתף האחר (כיוון אחד) ונקרא בקיצור AK וכן "שיתוף מפתח מאומת עם אישור", שבנוסף מאשר את זהות השרת כלפי הלקוח (דו כיווני) שנקרא בקיצור AKC (קיצור של Authenticated Key agreement with Confirmation).

בסיום הפרוטוקול יכולים המשתתפים הלגיטימיים להיות סמוכים ובטוחים שמלבדם אין איש יודע מהו המפתח הסודי המשותף. בעיקרון אפשר להשתמש בו כמפתח הצפנה להצפנת ההתקשרות ביניהם. מטעמי בטחון מומלץ לא להשתמש בו ישירות אלא לגזור ממנו מפתח אחר באמצעות פונקציית גזירת מפתח (Key derivation function) בקיצור KDF. המפתח הסודי המשותף שנגזר בסופו של דבר נקרא מפתח שיחה, כשמו הוא נועד להתקשרות אחת או מספר התקשרויות מוגבל כשלאחריהן מושמד.

יש לשים לב שקיימת הבחנה בין המפתחות הציבוריים הארעיים (ephemeral key) שנוצרים באקראי בכל ריצת הפרוטוקול, לבין המפתחות ארוכי-הטווח שברשות המשתתפים. גם במסגרת פרוטוקול MQV ההנחה היא שהמשתתפים בפרוטוקול אימתו את המפתחות הציבוריים ארוכי הטווח שלהם בדרך מוסכמת לפני ריצת הפרוטוקול. לעומת זאת אין צורך באימות המפתחות הארעיים כיוון ש-MQV מבצע אימות עקיף.

מאפיינים

פרוטוקול שיתוף מפתח קריפטוגרפי בטוח אמור להתמודד עם התקפות פסיביות, שבהן התוקף מנסה לנחש את המידע הסודי על ידי התבוננות בחילופי המהלכים. ההנחה היא שמסרי הפרוטוקול מועברים בערוץ הפתוח שניתן לציתות על ידי כל גורם עם ציוד מתאים. וכן נגד התקפות אקטיביות בהן התוקף יכול גם ל'הזריק', ליירט, למחוק, לשנות ואו לשכפל מסרים. ביתר פירוט הפרוטוקול אמור לסכל את ההתקפות הבאות:

מפתח ידוע (known-key); הפרוטוקול ייוותר בטוח נוכח מצב שבו נחשפו לעיני התוקף מפתחות שיחה אחרים (שנוצרו בעבר על ידי הפרוטוקול).
שמירת סודיות קדימה (forward secrecy); גם אם מפתח ארוך-טווח של אחד המשתתפים נחשף, הדבר לא ישפיע על סודיות מפתחות שיחה שנוצרו לפני החשיפה.
מניעת התחזות (impersonation); במצב שבו המפתח הפרטי של אחד המשתתפים ידוע לתוקף לא יתאפשר לו לעשות בו שימוש כדי להתחזות לאחרים כלפי משתמש זה (ברור שבמקרה כזה התוקף מסוגל להתחזות למשתמש הלגיטימי הזה כלפי אחרים כיוון שהמפתח הפרטי מייצג בעצם את זהותו, אך ההיפך אינו מחויב המציאות ואף רצוי למנוע).
שיתוף לא ידוע (unkown key-share); התוקף לא יצליח לגרום למשתתף אחד לשתף איתו מפתח סודי בעוד שהלה סבור בטעות ששיתף מפתח עם מישהו אחר (כלומר צד אחד מאמין נכון שהוא משתף מפתח עם מישהו שהוא מכיר בעוד שהצד השני למעשה משתף בלא ידיעתו מפתח עם התוקף וסבור שהוא מישהו אחר).
שליטה; אף אחד מהצדדים לא יוכל לאלץ את מפתח השיחה שיהיה ערך כלשהו לפי בחירתו.
יעילות; מספר המהלכים צריך להיות המינימלי האפשרי וכן תעבורת רשת נמוכה (סך כל הסיביות ששודרו).

אפשר לממש את פרוטוקול MQV בתת-חבורה של החבורה הציקלית $\mathbb {Z} _{p}^{*}$ מסדר ראשוני, למשל המפתח הפרטי הוא השלם $x$ והציבורי הוא $X=g^{x}{\text{ mod }}p$ כאשר $g$ יוצר של השדה. במקרה זה המפתחות צריכים להיות בגודל של מעל 2000 ספרות בינאריות לעומת זאת יש יתרון ביישום הפרוטוקול בעקום אליפטי מכיוון שהוא מציע בטחון זהה עם מפתח קצר משמעותית (בין 160 ל-512 סיביות נכון לשנת 2015). מסיבה זו תיאור הפרוטוקול מתמקד בעקום אליפטי. מניחים שהפרמטרים הציבוריים של העקום ידועים לכל המשתתפים. וכן כל מפתח ציבורי $Q$ (שהוא נקודה בעקום) מאומת ונבדק שהוא עומד בהגדרות המערכת. בבדיקה מוודים ש:

Q

אינו שווה

{\mathcal {O}}

(הנקודה באין סוף).

הקואורדינטות

x_{Q},y_{Q}

הם אלמנטים של השדה

\mathbb {F} _{q}

.

Q

מקיים את משוואת העקום.

nQ={\mathcal {O}}

הבדיקה האחרונה יקרה במונחי מיחשוב ולכן נוטים בדרך כלל להימנע ממנה. אפשר במקום זאת לוודא שהמפתח המשותף $K$ שהופק בסיום הפרוטוקול הוא נקודה בתת-חבורה הנוצרת על ידי $P$ כלומר $\{{\mathcal {O}},P,2P,...,(n-1)\cdot P\}$ .

פרוטוקול דיפי-הלמן הבסיסי בעקום אליפטי (ללא אימות)

פרוטוקול דיפי-הלמן בעקום אליפטי ללא אימות (נקרא בקיצור ECDH) אנלוגי לפרוטוקול דיפי הלמן בחבורה רגילה. נתונים פרמטרי התחום של העקום לפי הגדרות התקן: $(q,a,b,P,n,h)$ , העקום האליפטי הוא $E(\mathbb {F} _{q})$ כאשר $q$ הסדר של השדה $\mathbb {F} _{q}$ וכן $a,b$ מקדמים של משוואת העקום, $P$ היא נקודת הבסיס, $n$ הסדר הראשוני של נקודת הבסיס, $h$ פקטור משלים כך שמתקיים $\textstyle n={\frac {|E|}{h}}$ ו- $|E|$ מייצג את מספר הנקודות בעקום $E$ .

המשתתפת $A$ עם מפתח סודי שהוא שלם אקראי $d_{A}$ והמפתח הציבורי $Q_{A}=d_{A}P$ (תוצאת כפל סקלארי של נקודת הבסיס $P$ ב- $d_{A}$ ) מסומנת בקיצור $A^{(d_{A},Q_{A})}$ והמשתתף $B$ עם מפתחות $d_{B},Q_{B}$ בהתאמה, רוצים לשתף ביניהם סוד $K$ , תחילה הם מחליפים ביניהם מפתחות ציבוריים ואז מחלצים את הסוד המשותף כדלהלן:

$A^{(d_{A},Q_{A})}$		$B^{(d_{B},Q_{B})}$
	${\xrightarrow {\qquad \qquad Q_{A}\qquad \qquad }}$
	${\xleftarrow {\qquad \qquad Q_{B}\qquad \qquad }}$
$K=d_{A}Q_{B}$		$K=d_{B}Q_{A}$

היות שמתקיים $K=d_{A}Q_{B}=d_{A}d_{B}P=d_{B}d_{A}P=d_{B}Q_{A}$ , הסוד המשותף הוא הנקודה $K$ .

פרוטוקול MQV

במקור הוצעו שלוש וריאציות של הפרוטוקול; שיתוף במהלך יחיד כך שרק צד אחד מקוון, בשני מהלכים עם אימות חד כיווני ובשלושה מהלכים עם אימות דו כיווני. יהי $f$ פרמטר בטחון של הפרוטוקול (אורך $n$ בסיביות), כלומר $f=\left\lfloor {\text{log}}_{2}n\right\rfloor +1$ . אם $R$ נקודה כלשהי בעקום ${\overline {R}}$ הוא פונקציה שממפה נקודה בעקום למספר שלם כדלהלן; ${\overline {R}}=({\overline {x}}{\text{ mod }}2^{\left\lceil f/2\right\rceil })+2^{\left\lceil f/2\right\rceil }$ כאשר ${\overline {x}}$ הוא השלם המייצג את הקואורדינטה $x$ של הנקודה $R$ . כדי לטשטש אינטראקציה אפשרית בין הפונקציה לבין העקום האליפטי (שעלולה לפתוח פתח להתקפת התנגשות) יש כאלו שממליצים להשתמש בפונקציית גיבוב.

פרוטוקול 1 - שיתוף מפתח עם אימות בשני מהלכים

$A^{(d_{A},Q_{A})}\qquad$		$B^{(d_{B},Q_{B})}\qquad$
	${\xrightarrow {\qquad \qquad R_{A}\qquad \qquad }}$
	${\xleftarrow {\qquad \qquad R_{B}\qquad \qquad }}$
$s_{A}=(r_{A}+{\overline {R}}_{A}d_{A}){\text{ mod }}n$		$s_{B}=(r_{B}+{\overline {R}}_{B}d_{B}){\text{ mod }}n$
$K=h\cdot s_{A}\cdot (R_{B}+{\overline {R}}_{B}Q_{B})$		$K=h\cdot s_{B}\cdot (R_{A}+{\overline {R}}_{A}Q_{A})$

תיאור המהלכים

$A$ מייצרת מספר אקראי $r_{A}$ בטווח $[1,n-1]$ ומחשבת את $R_{A}=r_{A}P$ את התוצאה משדרת ל- $B$ .
$B$ מייצר מספר אקראי $r_{B}$ בטווח $[1,n-1]$ ומחשב את $R_{B}=r_{B}P$ ושולח את התוצאה ל- $A$ .
$A$ מוודה את תקפות הערכים ומחשבת את $s_{A}=(r_{A}+{\overline {R}}_{A}d_{A}){\text{ mod }}n$ ואת $K=h\cdot s_{A}\cdot (R_{B}+{\overline {R}}_{B}Q_{B})$ .
אם אחד הערכים אינו תקף או ש- $K={\mathcal {O}}$ אז $A$ מסיימת את הפרוטוקול בכישלון.
$B$ בודק תקפות באופן דומה, מחשב את $s_{B}=(r_{B}+{\overline {R}}_{B}d_{B}){\text{ mod }}n$ ואת $K=h\cdot s_{B}\cdot (R_{A}+{\overline {R}}_{A}Q_{A})$ .
הסוד המשותף הוא $K$ .

כאמור לפי הצעה של מספר מומחים כדי למנוע את התקפת שיתוף לא ידוע (להלן) כדאי להשתמש בפונקציית KDF מוסכמת על $K$ עם מידע משותף כלשהו שמכיל את זהות המשתתפים בפרוטוקול ולהשתמש בתוצאה האחרונה כמפתח שיחה. וכן מומלץ לכלול בכל המסרים של הפרוטוקול את זהות המשתתפים.

הפרוטוקול לא הוכח באופן פורמלי כבטוח אך לטענת המפתחים קיימת סברה היוריסטית שהוא מספק אימות הדדי של המפתח באופן עקיף וכן שהוא עמיד כנגד ההתקפות המתוארות לעיל; מפתח שיחה ידוע, שמירת סודיות קדימה, מניעת התחזות ושליטה. חשיפת המפתחות הזמניים אינה מסכנת את חשיפת המפתחות הפרטיים ארוכי הטווח של המשתתפים ולא את מפתח השיחה $K$ . הערכים $s_{A}$ ו- $s_{B}$ משמשים למעשה כחתימה עקיפה של המשתתפים על המפתחות הציבוריים הזמניים שלהם $R_{A}$ ו- $R_{B}$ בהתאמה. אפשר לראות שהפרוטוקול נכון כי:

K=h\cdot s_{A}\cdot s_{B}\cdot P=h\cdot (r_{A}r_{B}+r_{A}d_{B}{\overline {R}}_{B}+r_{B}d_{A}{\overline {R}}_{A}+d_{A}d_{B}{\overline {R}}_{A}{\overline {R}}_{B})P

לעומת פרוטוקול דיפי הלמן הבסיסי שבו $K=r_{A}r_{B}P$ . כמו כן כדי לשפר יעילות הביטוי ${\overline {R}}$ מנצל רק מחצית מסיביות הקואורדינטה $x$ של הנקודה, זאת כדי להקל על פעולות הכפל הסקלארי בסעיפים 3 ו-5 והכפל ב- $h$ נועד להבטיח שהסוד המשותף $K$ יהיה נקודה בתת-חבורה מסדר $n$ בעקום האליפטי. כמו כן היות שאת $r_{A}P$ אפשר לחשב מראש יוצא שכל צד מבצע רק 1.5 פעולות כפל סקלארי און ליין.

פרוטוקול 2 - שיתוף מפתח עם אימות במהלך אחד

המטרה היא ש- $A$ ו- $B$ ישתפו מפתח סודי על ידי מהלך יחיד מ- $A$ ל- $B$ . מצב זה רצוי במקרה שרק משתמש אחד מקוון כמו ביישומי דואר אלקטרוני. הפרוטוקול הוא כדלהלן:

$A^{(d_{A},Q_{A})}$		$B^{(d_{B},Q_{B})}$
	${\xrightarrow {\qquad \qquad R_{A}\qquad \qquad }}$
$s_{A}=(r_{A}+{\overline {R}}_{A}d_{A}){\text{ mod }}n$		$s_{B}=(d_{B}+{\overline {Q}}_{B}d_{B}){\text{ mod }}n$
$K=h\cdot s_{A}\cdot (Q_{B}+{\overline {Q}}_{B}Q_{B})$		$K=h\cdot s_{B}\cdot (R_{A}+{\overline {R}}_{A}W_{A})$

פירוט המהלכים

$A$ מייצרת מספר אקראי $r_{A}$ בטווח $[1,n-1]$ ומחשבת את $R_{A}=r_{A}P$ ושולחת את התוצאה ל- $B$ .
$A$ מחשבת את $s_{A}=(r_{A}+{\overline {R}}_{A}d_{A}){\text{ mod }}n$ ואת $K=h\cdot s_{A}\cdot (Q_{B}+{\overline {Q}}_{B}Q_{B})$ .
$B$ מוודה תקפות ערכים ומחשב את $s_{B}=(d_{B}+{\overline {Q}}_{B}d_{B}){\text{ mod }}n$ ואת $K=h\cdot s_{B}\cdot (R_{A}+{\overline {R}}_{A}Q_{A})$ .
המפתח המשותף הוא $K$ .

מטבע הדברים היות ש- $B$ אינו תורם למהלכי הפרוטוקול בערך אקראי משלו, חסרים בפרוטוקול הגנה מפני התקפת מפתח ידוע ושמירת סודיות קדימה.

פרוטוקול 3 - שיתוף מפתח מאומת עם אישור דו צדדי

הגרסה הזו של פרוטוקול 1 מנצלת פרימיטיב קריפטוגרפי נוסף שמספק אימות כמו MAC כדי לבצע אימות ואישור דו צדדי. וכן בפרוטוקול הבא הערכים ${\mathcal {H}}_{1}$ ו- ${\mathcal {H}}_{2}$ הם פונקציית לגזירת מפתח. למשל אם הערך הוא $z$ אפשר לממש פונקציית גיבוב בטוחה כמו SHA-2 של $z$ כשהוא משורשר עם ערך נוסף, כך ${\mathcal {H}}_{1}={\text{SHA2}}(01\ \|\ z)$ וכן ${\mathcal {H}}_{2}={\text{SHA2}}(02\ \|\ z)$ .

$A^{(d_{A},Q_{A})}$		$B^{(d_{B},Q_{B})}$
	${\xrightarrow {\qquad \qquad \qquad \qquad R_{A}\qquad \qquad \qquad \qquad }}$
	${\xleftarrow {\qquad \qquad R_{B},{\text{MAC}}_{k'}(2,B,A,R_{B},R_{A})\qquad \qquad \ }}$
	${\xrightarrow {\quad \qquad \qquad {\text{MAC}}_{k'}(3,A,B,R_{A},R_{B})\qquad \qquad \quad }}$
$s_{A}=(r_{A}+{\overline {R}}_{A}d_{A}){\text{ mod }}n$		$s_{B}=(r_{B}+{\overline {R}}_{B}d_{B}){\text{ mod }}n$
$K=h\cdot s_{A}\cdot (R_{B}+{\overline {R}}_{B}Q_{B})$		$K=h\cdot s_{B}\cdot (R_{A}+{\overline {R}}_{A}Q_{A})$
$k={\mathcal {H}}_{1}(z)$		$k={\mathcal {H}}_{1}(z)$
$k'={\mathcal {H}}_{2}(z)$		$k'={\mathcal {H}}_{2}(z)$

פירוט המהלכים

$A$ מייצרת מספר אקראי $r_{A}$ בטווח $[1,n-1]$ ומחשבת את $R_{A}=r_{A}P$ ושולחת את התוצאה ל- $B$ .
$B$ מייצר מספר אקראי $r_{B}$ בטווח $[1,n-1]$ , מחשב את $R_{B}=r_{B}P$ ושולח את התוצאה ל- $A$ .
$B$ מחשב את $s_{B}=(r_{B}+{\overline {R}}_{B}d_{B}){\text{ mod }}n$ ואת $K=h\cdot s_{B}\cdot (R_{A}+{\overline {R}}_{A}Q_{A})$ .
$B$ מחלץ את הערך $z$ שהוא הקואורדינטה $x$ של הנקודה $K$ ומחשב את $k={\mathcal {H}}_{1}(z)$ ואת $k'={\mathcal {H}}_{2}(z)$ .
$B$ מחשב את ${\text{MAC}}_{k'}(2,B,A,R_{B},R_{A})$ ושולח את תג האימות יחד עם $R_{B}$ ל- $A$ .
$A$ מחשבת את $s_{A}=(r_{A}+{\overline {R}}_{A}d_{A}){\text{ mod }}n$ ואת $K=h\cdot s_{A}\cdot (R_{B}+{\overline {R}}_{B}Q_{B})$ ובודקת שהנקודה $K$ תקינה.
$A$ מחלצת את הערך $z$ שהוא פונקציה של הקואורדינטה $x$ של הנקודה $K$ ומחשבת את הערכים $k={\mathcal {H}}_{1}(z)$ , $k'={\mathcal {H}}_{2}(z)$ .
$A$ מחשבת את ${\text{MAC}}_{k'}(3,A,B,R_{A},R_{B})$ ושולחת את התג ל- $B$ .
$B$ מחשב את ${\text{MAC}}_{k'}(3,A,B,R_{A},R_{B})$ ומוודה שהתוצאה זהה לתג שקיבל מ- $A$ .
מפתח השיחה הוא $k$ .

כאמור בטחון הפרוטוקול היוריסיטי בלבד, כולל את כל התכונות המצוינות לעיל ויעיל במיוחד.

פרוטוקול HMQV

ב-2005 פרסם הוגו קרווציק מאמר^[4] שבו הוא מבקר את בטחון MQV תחת מודלים של בטחון ידועים ומציין שהתגלו על ידו כמה חולשות בפרוטוקול. למרות שהפרוטוקול זכה לפופולריות רבה וה-NSA הכליל אותו ברשימה הנבחרת של אלגוריתמים שעברו בדיקה של קריפטאנליסטים מקצועיים, הרי שלא ניתנה הוכחה פורמלית לביטחונו במונחים של בטחון סמנטי לפי מודל סיבוכיות סטנדרטי או במסגרת מודל אורקל אקראי. הוגו הציע לתקן את הליקויים שמצא על ידי אלגוריתם משופר משלו שנקרא HMQV שפועל עם פונקציית גיבוב ומציע יעילות דומה למקורי ועם בטחון מוכח. אלפרד מנזס ביקר את ממצאיו של הוגו וטען כי HMQV אינו בטוח יותר ומציג התקפה ריאליסטית במודל קנטי-קרווציק שבה אפשר לחשוף את המפתח הפרטי של המשתתפים. וכן מצא לדבריו שגיאות קריטיות בהוכחות המתמטיות שהובאו על ידי קרווציק. התיקון שהציע מנזס נקרא HMQV-1 והוא גרסה מתוקנת שעמידה בפני ההתקפה המצוינת (אולם בשל התיקון אינה מהירה יותר מהמקורית). קרווציק הגיב על טענות מנזס במאמר משלו וסתר חלק מהן.

חלק מהוויכוח מתמקד סביב הבדיקה שנקראת G-test, כלומר במהלך הפרוטוקול המקורי בוצע הכפל ב- $h$ כדי להבטיח שהתוצאה שייכת לתת-חבורה $G$ מסדר $n$ וכי לא נבחר בכוונה תחילה ערך מתת חבורה קטנה יותר שעלולה להפוך את הפרוטוקול ללא בטוח כי התוקף יכול להפעיל כוח גס אם ידוע לו שהמפתח נמצא בטווח אחר קטן משמעותית מהמצופה. ב-HMQV הבדיקה הזו הוסרה לטובת יעילות בטענה שאינה מוסיפה לבטחון האלגוריתם לפי מודל אורקל אקראי. על כל פנים, הוספת פונקציית גיבוב לפרוטוקול MQV כפי שהציע קרווציק מקובלת כיום כיוון שהיא יעילה למדי ואינה מסכנת את בטחון הפרוטוקול.

השוואת פרוטוקול HMQV לעומת MQV (בחבורה ציקלית רגילה)

נתון פרוטוקול דיפי הלמן הבסיסי (שאינו מאומת), בו המשתתפת ${\hat {A}}$ עם מפתח פרטי $a$ והמפתח הציבורי $A=g^{a}$ והמשתתף ${\hat {B}}$ עם מפתחות $b,B=g^{b}$ בהתאמה, רוצים לשתף ביניהם מפתח סודי $K$ הם פועלים כך; ${\hat {A}}$ שולחת ל- ${\hat {B}}$ את $({\hat {A}},{\hat {B}},A=g^{a})$ וכן $B$ שולח ל- $A$ את $({\hat {B}},{\hat {A}},B=g^{b})$ . המפתחות $x$ ו- $y$ הם המפחות הפרטיים הזמניים של $A$ ו- $B$ בהתאמה ואילו $X$ ו- $Y$ הם המפתחות הציבוריים המתאימים. בשני הפרוטוקולים ${\hat {A}}$ ו- ${\hat {B}}$ מריצים את פרוטוקול דיפי-הלמן הבסיסי ואז:

{\hat {A}}

מחשבת את

\sigma _{\hat {A}}=(YB^{e})^{x+da}

,

{\hat {B}}

מחשב את

\sigma _{\hat {B}}=(XA^{d})^{y+eb}

.

כעת שני המשתתפים מחלצים את הסוד המשותף $K=H(\sigma _{\hat {A}})=H(\sigma _{\hat {B}})$

פרוטוקול MQV	פרוטוקול HMQV
$d={\overline {X}}\ {\overset {\underset {\mathrm {def} }{}}{=}}\ 2^{\ell }+(X{\text{ mod }}2^{\ell })$ , $e={\overline {Y}}\ {\overset {\underset {\mathrm {def} }{}}{=}}\ 2^{\ell }+(Y{\text{ mod }}2^{\ell })$	$d={\overline {H}}(X,{\hat {B}})$ , $e={\overline {H}}(Y,{\hat {A}})$

בטחון

הסברה היא שהפרוטוקול בטוח כנגד ההתקפות המצוינות לעיל; מפתחות ידועים, שמירת סודיות קדימה, התחזות ושליטה. בהנחה שבעיית הלוגריתם הדיסקרטי ובעיית דיפי-הלמן קשות לפתרון, אם כי לא ניתנה כל הוכחה פורמלית. מסרי הפרוטוקול זהים לפרוטוקול דיפי-הלמן הבסיסי מסיבה זו הוא בעל תפוקה ורוחב פס טובים יותר מדיפי-הלמן שאומת באמצעות חתימה דיגיטלית. אולם פרוטוקול MQV (גרסה 1) אינו מספק שמירת סודיות קדימה במובן החזק. כלומר לפי המפתחים התכונה הזו מתקיימת רק כאשר המשתתפים בפרוטוקול הגונים, כלומר מבצעים את מהלכי הפרוטוקול כראוי. בעוד שאם אחד מהם אינו הגון ייתכן שסודיות קדימה לא תושג. אפשר לנסח את המודל בשני אופנים. בראשון המפתח הפרטי הקבוע של אחד מהצדדים המשתתפים בפרוטוקול נחשף ובמודל החמור יותר כל המידע הפרטי של המשתתף נחשף. במקרה האחרון הפרוטוקול ייכשל. אם יוזם ההתקשרות נפרץ וכל המידע הפרטי שלו נחשף לתוקף לאחר תחילת ההתקשרות, אם החשיפה ארעה לפני שקיבל בחזרה את התגובה של המשתתף האחר הרי שהתוקף יכול להשיג את מפתח השיחה.

ב-2001 ביקרו רוגווי, בלייר ובונה^[5] את הפרוטוקול כפי שהתקבל לתקן SEC-1 והעלו כמה נקודות שראוי להיזהר בהן, תיארו כמה התקפות אפשריות כנגד הפרוטוקול וציינו שהאיומים אינם פטאליים והפרוטוקול טוב לדעתם אם כי יש צורך להגדיר במדויק את יעדי הפרוטוקול באופן שיאפשר להעריך את ביטחונו, מה שלא נעשה בתקן למעט כמה הערות כלליות. כמו כן מציינים שהפרוטוקול יכול להיות בטוח רק במסגרת שבה כל משתמש מחזיק במפתחות הצפנה ארוכי טווח ובמפתחות ארעיים חד פעמיים, מסיבה זו פרוטוקול 2 לא בטוח.

ב-2003 פרסמו פטר לידביטר ונייג'ל סמארט התקפה^[6] כנגד גרסת העקום האליפטי של הפרוטוקול: ECMQV (וכן כל פרוטוקול שיתוף מפתח מאומת מבוסס דיפי-הלמן שאינו עושה שימוש בחתימה דיגיטלית) באמצעות התקפת סריג שבה ניתן לחשוף את המפתח הפרטי ארוך הטווח של אחד המשתמשים כאשר חלק מהפרמטרים ידוע (כגון אם משתתף אחד הצליח לגלות חלק מסיביות ערך כלשהו המשמש את המשתתף השני בהכנת המפתח הארעי. גרעין התחלתי, Nonce, וקטור האתחול וכדומה. ערכים כאלו יכולים להתגלות לתוקף בדרכים אחרות כמו דליפה עקב יישום גרוע של האלגוריתם בתוכנה או בהתקפת ערוץ צדדי כמו קרינה אלקטרומגנטית וכדומה). בכל אופן לאחר מספר ריצות של הפרוטוקול, המשתתף יכול לחשוף את המפתח הפרטי של הצד השני ולהתחזות אליו. הממצאים מראים שבטחון הפרוטוקול מצטמצם ל- $O(q^{1/4})$ ולא $O(q^{1/2})$ כאשר $q$ הוא סדר השדה.

התקפת שיתוף לא ידוע

פרוטוקול MQV (פרוטוקול 1) אינו פתור את בעיית "שיתוף לא ידוע" לעיל, כלומר אפשר לבצע התקפה של קליסקי^[7] כדלהלן: המצותת $E$ מיירטת את מפתח הציבורי $R_{A}$ המיועד ל- $B$ ומחליפה אותו ב- $R_{E}=R_{A}+{\overline {R}}_{A}Q_{A}-P$ מחשבת את $d_{E}=({\overline {R}}_{E})^{-1}{\text{ mod }}n$ וכן את $Q_{E}=d_{E}P$ ואז רושמת את המפתחות הללו אצל הרשות המאשרת כדי שיהיו תקפים ושולחת את $R_{E}$ ל- $B$ . המשתמש $B$ מגיב במשלוח $R_{B}$ ל- $E$ והיא מעבירה אותו הלאה ל- $A$ ללא שינוי. כעת $A$ ו- $B$ שיתפו את $K$ בזמן ש- $B$ משוכנע כל העת שהוא משתף מפתח עם $E$ בעוד שלמעשה הוא שיתף מפתח עם $A$ . ישנן שתי דרכים לפתור בעיה זו, האחת להוסיף את זהות המשתתפים לכל מהלכי הפרוטוקול והשנייה להוסיף מהלך שלישי כמו בפרוטוקול 3.

הערות שוליים

^ An Efficient Protocol for Authenticated Key Agreement
^ Law, L.; Menezes, A.; Qu, M.; Solinas, J.; Vanstone, S. (2003). "An Efficient Protocol for Authenticated Key Agreement". Des. Codes Cryptography 28 (2): 119–134
^ SEC 1: Elliptic Curve Cryptography
^ HMQV: A High-Performance Secure Diffie-Hellman Protocol
^ Evaluation of Security Level of Cryptography ECMQVS (from SEC 1)
^ Leadbitter, P. J.; Smart, N. P. (2003). "Analysis of the Insecurity of ECMQV with Partially Known Nonces". Information Security. 6th International Conference, ISC 2003, Bristol, UK, October 1–3, 2003. Proceedings. Lecture Notes in Computer Science 2851. pp. 240–251
^ B. Kaliski. An unknown key-share attack on the MQV key agreement protocol. Manuscript. Proceedings version appeared in RSA 17 Conference 2000 Europe, Munich, April 2000. Work based on earlier communication to IEEE P1363a and ANSI X9F1 working groups, June 1998.

[1] An Efficient Protocol for Authenticated Key Agreement

[2] Law, L.; Menezes, A.; Qu, M.; Solinas, J.; Vanstone, S. (2003). "An Efficient Protocol for Authenticated Key Agreement". Des. Codes Cryptography 28 (2): 119–134

[3] SEC 1: Elliptic Curve Cryptography

[4] HMQV: A High-Performance Secure Diffie-Hellman Protocol

[5] Evaluation of Security Level of Cryptography ECMQVS (from SEC 1)

[6] Leadbitter, P. J.; Smart, N. P. (2003). "Analysis of the Insecurity of ECMQV with Partially Known Nonces". Information Security. 6th International Conference, ISC 2003, Bristol, UK, October 1–3, 2003. Proceedings. Lecture Notes in Computer Science 2851. pp. 240–251

[7] B. Kaliski. An unknown key-share attack on the MQV key agreement protocol. Manuscript. Proceedings version appeared in RSA 17 Conference 2000 Europe, Munich, April 2000. Work based on earlier communication to IEEE P1363a and ANSI X9F1 working groups, June 1998.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

MQV

תוכן עניינים