Điểm:1

Bảo mật trao đổi McCallum-Relyea

lá cờ in

Gần đây tôi đã biết về sàn giao dịch McCallum-Relyea cho phép một phương thức ký quỹ khóa mà không thực sự truyền khóa.

Nó được phát triển tại RedHat và được sử dụng bởi tangkhoan các tiện ích (và được mô tả thêm đây) để cho phép giải mã tự động, đặc biệt đối với phân vùng gốc được mã hóa cho các máy Linux. Vì vậy, máy khách chỉ có thể khởi động và giải mã đĩa của nó nếu nó ở trên mạng nơi nó có thể truy cập vào máy chủ.

Tôi chưa tìm thấy bất kỳ phân tích nào về giao thức này nên tôi băn khoăn không biết nó cung cấp mức độ bảo mật nào so với phương pháp thông thường hơn, chẳng hạn như máy chủ lưu trữ khóa và truyền khóa qua kênh TLS, đồng thời liệu có bất kỳ sai sót nào trong trao đổi có thể được khai thác.


Trao đổi là phiên bản sửa đổi/mở rộng của ECDH có chức năng như sau:

Trước tiên, phía máy chủ tạo cặp khóa EC tồn tại lâu dài với khóa riêng $s$ và khóa công khai $S = [s]G$.

Khách hàng, muốn bảo vệ một tin nhắn $M$, tạo khóa riêng $c$ và khóa công khai $C = [c]G$. Sau đó, máy khách yêu cầu một khóa từ máy chủ qua kênh văn bản gốc. Máy chủ phản hồi với $S$ đã ký với $s$. Người dùng phía máy khách xác thực khóa máy chủ thông qua một số phương thức ngoài băng tần và ghi lại hàm băm của khóa máy chủ. Sau đó, khách hàng thực hiện một nửa trao đổi ECDH để mang lại $K = [c]S = [cs]G$. $K$ sau đó được sử dụng (trực tiếp hoặc gián tiếp) để mã hóa $M$ thông qua một mật mã đối xứng, sau đó khách hàng loại bỏ $K$$c$ và chỉ giữ lại $C$. Tại thời điểm này, khách hàng không thể giải mã $M$ không có máy chủ.

Khi khách hàng muốn giải mã $M$, nó tạo ra một cặp khóa tạm thời $e$$E = [e]G$, sau đó tính toán $X = C + E$ và gửi $X$ đến máy chủ. Sau đó, máy chủ thực hiện một nửa trao đổi ECDH với $X$$s$ để tạo ra $Y = [s]X$ và truyền $Y$ quay lại máy khách, sử dụng $S$ để ký tin nhắn.

đã nhận được $Y$ từ máy chủ và xác thực chữ ký của máy chủ, sau đó máy khách sẽ thực hiện một nửa ECDH khác với $S$$e$ tính toán $Z = [e]S$. Khách hàng sau đó tính toán:

Y - Z = sX - eS 
      = s(C + E) - eS 
      = sC + sE - eS 
      = scG + seG - esG
      = scG
      = K

để phục hồi $K$ và giải mã $M$.

kelalaka avatar
lá cờ in
Và, câu hỏi là phân tích cung cấp bảo mật? Sau đó đặt câu hỏi ai là đối thủ và họ có khả năng gì? Điều này rất quan trọng vì đối với một kẻ thù lượng tử, không có bảo mật.
lá cờ in
@kelalaka Đã chỉnh sửa để thêm chi tiết: cụ thể là so với TLS hoặc nếu có bất kỳ lỗi nào có thể khai thác được trong trao đổi.
kelalaka avatar
lá cờ in
Điều kỳ lạ là $C$ là công khai nên bất kỳ ai có cái này đều có thể yêu cầu giải mã bất kỳ mã hóa nào được thực hiện bởi chủ sở hữu khóa công khai ban đầu của $C$. Tôi đoán bạn sẽ nói rằng nó được bảo vệ bởi một số cơ chế? Bạn chỉ cần cân nhắc và gửi $X = C + E$ đến máy chủ với $E = [e]G$ để nhận $e$ ngẫu nhiên.
lá cờ in
@kelalaka $C$ được yêu cầu truy xuất $K$ và nó là phần công khai của cặp khóa, mặc dù nó không "công khai" theo nghĩa là nó được truyền đi bất cứ đâu. $C$ phải được giữ cục bộ cho máy khách và được bảo vệ như một khóa riêng tư. Tôi tin rằng mục tiêu là chỉ cho phép khách hàng truy xuất $K$ nếu máy chủ có thể truy cập được. Vì vậy, nếu máy khách bị gỡ bỏ về mặt vật lý và được đặt trên một mạng không thể truy cập vào máy chủ thì máy khách không thể giải mã $M$.
kelalaka avatar
lá cờ in
Ngoài ra, khách hàng có thể gửi điểm đặt hàng nhỏ $X$ để lấy một số thông tin về $s$ bí mật của máy chủ.
kelalaka avatar
lá cờ in
Sau đó, câu hỏi sẽ là gì nếu máy chủ giữ mã hóa tệp bằng khóa từ đầu ra của ECDH phù du? Giống như nhiều năm trước, tôi đã thiết lập một hộp Linux với tên người dùng, sau đó truy cập các tệp của người dùng trong hệ thống...
kelalaka avatar
lá cờ in
Nếu máy chủ có khóa, thì các tệp của bạn sẽ không được bảo mật. Trao đổi được bảo mật miễn là $C$ được bảo mật.
kelalaka avatar
lá cờ in
Ngoài ra, ý tưởng còn thiếu sót trong bộ lưu trữ, kích thước của khóa chung lớn hơn khóa riêng ngay cả khi điểm chung bị nén.
Điểm:2
lá cờ ru

Thật thú vị, tính bảo mật của lược đồ cũng mạnh như tính bảo mật của $C$ độc lập với các giả định về độ cứng (ngoài độ mạnh của mật mã đối xứng và việc xóa an toàn $K$, $c$ và bản rõ). Ngược lại, mô hình lưu trữ và truyền tải phía máy chủ qua TLS phụ thuộc vào độ cứng của cơ chế thiết lập khóa TLS và xác thực của nó.

Nếu $e$ được chọn một cách thống nhất một cách ngẫu nhiên thì $X$ không chứa thông tin về $C$. Lưu ý rằng việc truyền $X$ là giao tiếp duy nhất của máy khách trong toàn bộ giao thức và do đó đại diện cho cơ hội duy nhất để kẻ tấn công Dolaev-Yao truy cập thông tin về các giá trị bí mật của máy khách. tính đồng nhất của $X$ cũng có nghĩa là người phục vụ không thể xác minh xem khách hàng có yêu cầu ký quỹ cho khóa mà họ có quyền truy cập hợp pháp hay không và vì vậy bất kỳ ai quản lý đều có thể biết được về $C$ có thể sử dụng giao thức để phục hồi $K$.

Việc giải mã mà không có sự hợp tác của máy chủ ký quỹ bị ngăn cản bởi tính bảo mật của $s$ VÀ sức mạnh của giao thức Diffie-Hellman tính toán cho đường cong elip được đề cập (có thể bị kẻ tấn công lượng tử xâm phạm, tham số hóa kém hoặc nhiều phương tiện khác) VÀ sức mạnh của sơ đồ xác thực được sử dụng để xác thực thông báo của máy chủ. Điều này có nghĩa là sự thất bại của bất kỳ biện pháp bảo vệ nào trong ba biện pháp bảo vệ này đều cho phép giải mã mà không cần máy chủ.

Cơ chế ký quỹ có thể được gọi nhiều lần mà không cần mã hóa lại dưới dạng nhiều lần $X$ truyền sẽ vẫn không chứa bất kỳ thông tin nào về $C$.

Không có sự từ chối trong hệ thống cho người dùng hợp pháp. Nếu tôi thực hiện một truy vấn $X$ và sau đó tuyên bố rằng nó được liên kết với một cụ thể $C$ giá trị, yêu cầu này không thể được xác thực. Ngay cả khi được yêu cầu tiết lộ $e$, tạo phụ $C$ giá trị $C'=C+dG$, trong trường hợp đó cặp $(C,e)$ tạo ra một $X$ mà cũng có thể được tạo ra bởi $(C',d+e)$.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.