Tôi đang viết một bài báo về Giao thức trao đổi khóa được xác thực. Tôi đã đọc bài báo quan trọng của Bellare và Rogway về chủ đề này và tôi nghĩ rằng tôi hiểu Mô hình BR và tôi hiện đang đọc Bài báo của Cenetti và Krawczyk nhằm mục đích cải thiện nó. Tôi đang bối rối không biết mô hình CK là cải tiến của BR như thế nào. Như đã đề cập trong phần phụ lục của bài báo CK, bài báo BR diễn đạt phân tích của họ dưới dạng lời tiên tri. Họ đề cập đến một lỗ hổng bảo mật trong mô hình BR nhưng tôi cần nó được khắc phục triệt để.
Trong các định nghĩa của (BR), đối thủ chỉ vào một phiên không phơi sáng mà nó chọn và nhận một giá trị $k_b$, ở đâu $k_0$ là khóa phiên thực của phiên này, $k_1$ là một giá trị ngẫu nhiên được chọn độc lập và $b$ là một bit được chọn ngẫu nhiên không biết đối thủ. Yêu cầu bảo mật là kẻ thù không thể dự đoán $b$ với lợi thế không thể bỏ qua hơn một nửa. Phiên bản gốc của các định nghĩa này yêu cầu đối thủ đưa ra dự đoán của mình cho $b$ ngay sau khi nó đạt được giá trị thử nghiệm
Điều này phần lớn là tốt và tôi đưa nó vào để cung cấp ngữ cảnh cho phần mà tôi không hiểu.
Xem xét giao thức trao đổi khóa an toàn yêu thích của bạn $\pi$. Bây giờ hãy thêm vào thông số kỹ thuật của giao thức hướng dẫn sau cho bên hoàn thành thiết lập phiên theo giao thức $\pi$: nếu tại bất kỳ thời điểm nào bên đó nhận được một tin nhắn có giá trị $\mathrm{MAC}_\kappa(0)$, ở đâu $\mathrm{MAC}$ là một chức năng xác thực tin nhắn an toàn và $\kappa$ là khóa phiên đã được thiết lập, sau đó bên công khai $\kappa$. Tuy nhiên, giao thức không bao giờ hướng dẫn bất kỳ bên nào thực hiện hướng dẫn như vậy. Kết quả là giao thức có thể được hiển thị để vượt qua định nghĩa yếu. Mặt khác, rõ ràng là một giao thức như vậy không thể được cấu thành một cách an toàn với một ứng dụng xác thực sử dụng khóa phiên cho thông tin MAC-ing.
Không phải giao thức trực tiếp yêu cầu phần xuất bản $\kappa$ nếu nó nhận được $\mathrm{MAC}_\kappa(0)$? Vậy giao thức này được bảo mật như thế nào theo định nghĩa BR? Làm thế nào để CK loại bỏ khả năng này?
