( ∀ w , x , y , z ) S ( R ( P ( w ) , P ( x ) ) , Q ( y , z ) ) = S ( R ( P ( y ) , P ( z ) ) , Q ( w , x ) ) (\forall w,x,y,z)\ S(R(P(w),P(x)),Q(y,z))=S(R(P(y),P(z)),Q(w,x)) (∀w,x,y,z) S(R(P(w),P(x)),Q(y,z))=S(R(P(y),P(z)),Q(w,x))
其中 C C C代表使用者名, v = g x v=g^x v=gx, S = g a b + b u x S=g^{ab+bux} S=gab+bux
數學符合的含義一覽
n:大素數,模數
g:模n的原根(又稱為生成元)
s:一個随機字元串用作鹽值
P:使用者的密碼
x:由P和s生成的私鑰
v:主機的密碼驗證器
u:随機拼湊的參數,公開揭示
a,b:臨時的密鑰,随機生成且不公開
A,B:相關公鑰
H():單向哈希函數
m,n:逗号表示對m和n兩個字元串進行串聯
K:會話密鑰
解釋一下協定,Carol首先将自己的使用者名發送給Steve,Steve(一般指伺服器)可以從自己的使用者注冊目錄中找到該使用者名對應的鹽值s和密碼驗證器v。此後将鹽值發送給Carol,Carol收到鹽值後結合自己的密碼P生成私鑰x,然後利用私鑰a生成公鑰A發送給Steve,Steve同樣生成公鑰 g b g^b gb并用v保護起來得到B,并結合一個公開參數u一同發送給Carol(這裡就展現了AKE協定的特點,互相共享部分資訊)。雙方收到來自對方的共享資訊後開始生成會話密鑰,可以得到同樣的會話密鑰(讀者可自行驗算)。後一輪互動是挑戰響應的驗證過程,確定雙方都得到了相同的密鑰,這樣就對身份完成了認證。
(三)SRP細節解釋
問題1 為什麼發送 B = v + g b B=v+g^b B=v+gb而不是發送 B = g b B=g^b B=gb?
直接發送 B = g b B=g^b B=gb容易被字典攻擊。如果攻擊者Sue從合法會話中截獲鹽值s,可以進行下列步驟的攻擊。
避免 B = f ( v , g b ) B=f(v,g^b) B=f(v,gb)中的f()會滿足條件 f ( g x , g y ) = g f ′ ( x , y ) f(g^x,g^y)=g^{f'(x,y)} f(gx,gy)=gf′(x,y),其中 f ′ ( x , y ) f'(x,y) f′(x,y)是一個很簡單的派生,比如 f ( x , y ) = x y f(x,y)=xy f(x,y)=xy就屬于 f ( g x , g y ) = g x + y f(g^x,g^y)=g^{x+y} f(gx,gy)=gx+y,一旦有這種性質,攻擊者便可以将其利用。
盡量減少資訊洩露,避免被分區攻擊,不使用 f ( x , y ) = x ⊕ y f(x,y)=x\oplus y f(x,y)=x⊕y, f ( x , y ) = E y ( x ) f(x,y)=E_y(x) f(x,y)=Ey(x),結果可以排除大于n的
SRP的Q()函數, Q ( g a , g b + g x , u , g , n , x ) = g a b + b u x Q(g^a,g^b+g^x,u,g,n,x)=g^{ab+bux} Q(ga,gb+gx,u,g,n,x)=gab+bux
DH的Q’()函數, Q ′ ( g a , g b , g , n ) = g a b Q'(g^a,g^b,g,n)=g^{ab} Q′(ga,gb,g,n)=gab
SRP的Q()函數可以表示DH的Q’()函數, Q ′ ( A , B , g , n ) = Q ( A , B + g n − 1 2 , 2 , g , n , n − 1 2 ) Q'(A,B,g,n)=Q(A,B+g^{\frac{n-1}{2}},2,g,n,\frac{n-1}{2}) Q′(A,B,g,n)=Q(A,B+g2n−1,2,g,n,2n−1)
