Я пишу статью о протоколах обмена ключами с проверкой подлинности. Я прочитал основополагающую статью Беллара и Рогвея по этому вопросу, и я думаю, что понимаю модель BR, и теперь я читаю Статья Ченетти и Кравчика который стремится улучшить его. Я не понимаю, как модель CK является улучшением BR. Как упоминалось в приложении к статье CK, в статье BR их анализ сформулирован в терминах оракулов. Они упоминают недостаток безопасности в модели BR, но мне нужно, чтобы он был полностью заглушен.
В определениях (BR) злоумышленник указывает на нераскрытый сеанс по своему выбору и получает значение $k_b$, куда $k_0$ реальный сеансовый ключ этого сеанса, $k_1$ является независимо выбранным случайным значением, и $б$ случайно выбранный бит, который неизвестен противнику. Требование безопасности состоит в том, что противник не может предсказать $б$ с незначительным преимуществом над половиной. Первоначальная версия этих определений требует, чтобы противник выдавал свое предположение за $б$ сразу после получения тестового значения
Это в основном нормально, и я включаю его, чтобы обеспечить контекст для той части, которую я не понимаю.
Подумайте о своем любимом безопасном протоколе обмена ключами. $\пи$. Теперь добавим в спецификации протокола следующую инструкцию для стороны, которая завершает установление сеанса согласно протоколу $\пи$: если в какой-то момент сторона получит сообщение со значением $\mathrm{MAC}_\каппа(0)$, куда $\mathrm{MAC}$ является безопасной функцией аутентификации сообщений и $\каппа$ является установленным сеансовым ключом, тогда сторона публикует $\каппа$. Однако протокол никогда не предписывает какой-либо стороне выполнять такую инструкцию. В результате можно показать, что протокол проходит ослабленное определение. С другой стороны, ясно, что такой протокол не может быть безопасно скомпонован с приложением аутентификации, которое использует сеансовый ключ для получения информации о MAC-адресе.
Протокол не говорит части опубликовать напрямую $\каппа$ если он получает $\mathrm{MAC}_\каппа(0)$? Итак, насколько этот протокол безопасен в соответствии с определением BR? Как CK устраняет эту возможность?