当今的大多数交互式通信都将重点放在通过Diffie-Hellman进行的密钥协商以及最重要的身份验证上-目标是建立“安全通道”。有些方案使用签名进行不可否认的身份验证,但是许多方案使用Diffie-Hellman进行不可否认的身份验证。有许多用于密钥协商的协议,具有不同的安全性,大多数协议只是以复杂的方式使用Diffie-Hellman,并且依赖于DDH或CDH的安全性假设。作为协议的示例,我介绍YAK和J-PAKE。
现在,我的问题是,建立安全通道后的量子密码学答案是什么?或者,特别是-匿名密钥协议,已认证密钥协议和经过密码认证的密钥协议?
所有不同的后量子密码系统似乎都有一些很大的缺点-大型签名,大型公共密钥,大型处理要求等-所以我想知道哪种协议可以为关键协议提供最佳的权衡?
总的来说,任何公钥加密算法似乎都可以很容易地用于密钥协议,但是对于某些后量子密码算法,有没有关于加密协议进行密钥协议的具体建议?它们提供哪些属性,例如PFS,UKS,KCI,可否认性等?除非接收者公共密钥是短暂的(每次都会随机生成),否则仅将随机密钥加密为接收者公共密钥不会实现前向保密性。如果是临时的,那么问题就变成了如何将一些身份验证与临时密钥协议绑定在一起,对此,没有明显的最佳方法,但需要权衡取舍。
我知道后量子密码学是'还没有准备好被普遍使用-并且原语的安全性或标准化程度还不足以在现实世界中使用这些类型的协议-但感觉还应该就此问题进行更多的初步工作。如果您不同意,也请让我知道!
#1 楼
对于已认证/相互认证的密钥交换,您可以使用该TLS。 TLS需要公共密钥加密和用于密钥交换的密钥派生功能(如果需要,还需要PKI的签名算法)。量子后有许多加密功能,KDF通常基于哈希或MAC,而哈希或MAC也属于量子后。有一个使用NTRU加密和签名的TLS RFC草案(它们称为NTRU_NSS)。提供的安全性是非常基础的(没有PFS或高级属性)。我希望在更高级的交换协议上有一些工作,并期待其他答案。
评论
$ \ begingroup $
RFC草案非常有趣,谢谢您的链接!
$ \ endgroup $
–可以裸体
11年8月25日在11:45
$ \ begingroup $
我接受了这个答案,因为它包含了我不知道的更多信息。
$ \ endgroup $
–可以裸体
2011年9月1日下午13:48
#2 楼
自言自语...在后量子密码学中,现在有一个非常类似的替代Diffie-Hellman的方法:从超奇异椭圆曲线同质性转向量子抗性密码系统
这篇论文是非常新的,但是如果结果证明是安全的,这对于后量子密码学来说是一个非常有竞争力的密钥协商方案。
评论
$ \ begingroup $
该方案现已作为“ SIKE”提交给NIST PQC竞赛。
$ \ endgroup $
–森林
19-3-7在10:57
#3 楼
您可以使用非对称加密进行密钥协商。任何非对称加密算法(无论是否为后量子)都可以用于密钥协商:只需选择一个随机密钥并对其进行加密。Password Authenticated Key Exchange看起来更难,因为它不能应用于任何一种密钥交换或非对称加密方案。 IPAKE框架可以应用于任何“难以实现的陷波门同构”,但是在NTRU或McEliece上的应用似乎并不立即。
评论
$ \ begingroup $
如消息中所述,我知道可以将非对称加密用于密钥协商。但是“仅仅”对随机密钥进行加密远非执行PFS等的适当加密协议,而且评估协议安全性也不是一件容易的事。
$ \ endgroup $
–可以裸体
11年8月25日在11:43
$ \ begingroup $
我很难理解这个答案的第一部分。谁能解释为什么量子安全的非对称加密算法(例如,离散对数)也可以安全地用于密钥协商?例如,如果我们确实拥有大型可操作的量子计算机,那么密钥协议的哪些方面使它可以抵御量子密码分析?
$ \ endgroup $
–贾扬
2014年11月26日18:30
$ \ begingroup $
我并不是说即使在有量子计算机的攻击者在场的情况下,也可以安全地将“受量子威胁”的非对称加密算法用于密钥协商。我的意思是,任何非对称加密算法都可以用于密钥协商。因此,任何量子安全非对称加密算法也是量子安全密钥协商算法。
$ \ endgroup $
–托马斯·波宁(Thomas Pornin)
2014年11月26日在21:20
#4 楼
道格拉斯·斯特比拉(Douglas Stebila)发表:我们通过构造用于传输层安全性(TLS)协议的密码套件来证明后量子密钥交换的实用性,TLS协议提供了基于带有错误的环学习的密钥交换( R-LWE)问题
还为OpenSSL 1.0.1f实现了一个补丁。
#5 楼
Diffie-Hellman不需要达成关键协议。它在TLS中相对很少使用,TLS是使用最广泛的安全协议之一。没有身份验证的DH容易受到中间一个人的影响,因此实际系统无论如何都必须具有身份验证机制。通过您描述的一种机制进行身份验证后,密钥协商就很容易。评论
$ \ begingroup $
您能否解释一下通过身份验证后如何进行密钥协商?
$ \ endgroup $
– CodesInChaos
2012年8月26日在20:20
$ \ begingroup $
这个答案对我来说没有意义。身份验证可以解决,但是您要如何达成密钥协议才是这里的问题。
$ \ endgroup $
–user239558
2013年9月11日22:40
$ \ begingroup $
如果存在某种安全的非对称加密协议,则一端可以发送经过身份验证的非对称加密密钥,而另一端可以仅发送对该密钥加密的随机对称密钥。
$ \ endgroup $
–可以裸体
13-10-13在5:57
$ \ begingroup $
在这种情况下,发送对称密钥的一方可以完全控制共享密钥。密钥协议(如DH)通过让双方独立地对密钥派生过程做出贡献来避免这种陷阱。
$ \ endgroup $
–鼠标
18/12/8在1:22
评论
不是针对您要求的关键协议,而是针对数字签名,请参阅我对先前相关问题的回答。