Authenticated Key Agreement Protocols: Security Models, Analyses, and Designs
Protocoles d'échanges de clefs authentifiés : modèles de sécurité, analyses et constructions
Résumé
An impressive ratio of the previously proposed key agreement protocols turn out to be insecure when regarded with respect to recent security models. The Canetti–Krawczyk (CK) and extended Canetti–Krawczyk (eCK) security models, are widely used to provide security arguments for key agreement protocols. We point out security shades in the (e)CK models, and some practical attacks unconsidered in (e)CK–security arguments. We propose a strong security model which encompasses the eCK one. We propose a complementary analysis of the Exponential Challenge Response (XRC) and Dual Exponential Challenge Response (DCR) signature schemes, which are the building blocks of the HMQV protocol. On the basis of this analysis we show how impersonation and man in the middle attacks can be performed against the (C, H)MQV(–C) protocols when some session specific information leakages happen. We define the Full Exponential Challenge Response (FXRC) and Full Dual Exponential Challenge Response (FDCR) signature schemes; using these schemes we propose the Fully Hashed MQV protocol and the Strengthened MQV protocol, which preserve the remarkable performance of the (H)MQV protocols and resist the attacks we present. The SMQV and FHMQV protocols are particularly suited for distributed implementations wherein a tamper–proof device is used to store long–lived keys, while session keys are used on an untrusted host machine. In such settings, the non–idle time computation effort of the device reduces to few non–costly operations. The SMQV and FHMQV protocols meet our security definition under the Gap Diffie–Hellman assumption and the Random Oracle model.
Une part importante des protocoles d'échange de clefs proposés se sont révélés vulnérables lorsqu'analysés au regard des définitions de sécurité les plus récentes. Les arguments de sécurité des protocoles récents sont généralement fournis avec les modèles de sécurités dits de Canetti–Krawczyk (CK) et Canetti–Krawczyk étendus (eCK). Nous montrons que ces définitions de sécurité présentent des subtilités qui font que certaines attaques, qui peuvent être menées en pratique, ne sont pas considérées dans les analyses de sécurité. Nous proposons une forte définition de sécurité, qui englobe le modèle eCK. Nous proposons une analyse complémentaire des schémas de signature XCR (“Exponential Challenge Response”) et DCR (“Dual exponential Challenge Response”), qui sont les briques du protocole HMQV. Sur la base de cette analyse, nous montrons la vulnérabilités des protocoles (C, H)MQV(–C) aux fuites d'informations spécifiques à une session. Nous montrons notamment que lorsqu'un attaquant accède à certaines informations de session, qui ne conduisent pas à une divulgation de la clef statique du détenteur de la session, il peut réussir une attaque par usurpation d'identité. Nous proposons les schémas de signature FXCR (“Full XCR”) et FDCR (“Full DCR”) à partir desquels nous construisons les protocoles FHMQV (“Fully Hashed MQV”) et SMQV (“Strengthened MQV”) qui préservent la performance remarquable des protocole (H)MQV, en plus d'une meilleure résistance aux fuites d'informations. Les protocoles FHMQV et SMQV sont particulièrement adaptés aux environnements dans lesquels une machine non digne de confiance est combinée avec un module matériel à faible capacité de calcul et résistant aux violations de sécurité. Dans un tel environnement, les opérations effectuées sur le module matériel hors temps mort se réduisent à des opérations peu coûteuses. Les protocoles FHMQV et SMQV satisfont notre définition de sécurité sous les hypothèses de l'oracle aléatoire et du problème échelon de Diffie-Hellman.
Loading...