代数Eraser™是一个相对较新的非对称密钥协议协议(也称为有色Burau密钥协议协议),它基于辫子组中的同时共轭搜索问题。迈克尔·安塞尔(Michael Anshel),多里安·戈德菲尔德(Dorian Goldfeld),史蒂芬·莱米(Stephane Lemieux),关键协议,代数橡皮擦(Algebraic Eraser™)和轻量级密码术,见《当代数学》(第418页,2006年)(稍后稍候免费提供pdf)。有两种早期的并发攻击:


Arkadius Kalka,Mina Teicher,Boaz Tsaban,作为产品的置换的短表达和代数橡皮的密码分析,在应用数学进展第49卷,第1期(2012年7月);免费提供可能的早期pdf版本,网址为arXiv:0804.0629(2008年4月-2012年3月;由Kalka和Tsaban首次于2008年1月13日在巴伊兰大学的CGC研讨会上发表)。某些固定矩阵:Dorian Goldfeld,Paul E. Gunnells,击败arXiv:1202.0598(2012年2月)中的Kalka-Teicher-Tsaban线性代数对代数橡皮擦的攻击。 Anshel-Anshel-Goldfeld-Lemieux密钥协商协议,在Groups-Complexity-Cryptology Volume 1 No. 1(2009)中,预发布为arXiv:0801.4786(2008年1月30日)。 :Paul E. Gunnells,关于广义同时共轭搜索问题和代数橡皮擦的安全性的密码分析,载于arXiv:1105.1141(2011年5月)。

这是最近的介绍性论文:Derek Atkins, Algebraic Eraser™:一种轻巧,高效的非对称密钥协商协议,可用于低功耗,低功耗电力和物联网设备,在2015年轻型密码学研讨会上被接受,论文由Paul E. Gunnells演示。已提议将Algebraic Eraser™标准化为ISO / IEC 29167-20(当前为批准的工作项目)。该公司显然是在申请标准化,并拥有一些相关专利,并提供了以标准提案(2015年10月)为标题的描述,以及其他几篇技术论文。 -Teicher-Tsaban攻击:Adi Ben-Zvi,Simon R. Blackburn,Boaz Tsaban,《代数橡皮的实用密码分析》,arXiv:1511.03870和eprint(2015年11月12日);根据Ars Technica的这篇文章,还有一些争议。上述公司对该攻击进行了初步分析。他们承认,此方法适用于建议进行标准化的两个配置文件之一,并且可以恢复共享的秘密密钥(但不能恢复私钥;因此,我的理解是,攻击“仅”会损害过去记录的会话的机密性或完整性)。当前会话是否可以冻结足够长的时间来发动攻击)。

免责声明:我没有对上述参考文献进行过深入的研究。


我m询问密码系统的状态。特别是:


最近一次攻击解决了5个挑战(具有$ q = 256 $和
$ n = 16 $)声称的安全级别是什么?
在2015年10月的描述中,对附录C.1中B10F256密钥集参数的攻击是否可行?据推测,使用10股编织线和256(28)视场的编织层可提供280的安全级别。哪些这些Keyset参数在哪里公开产生?他们似乎在GL(n,\ mathbb F)$中包含矩阵$ m \,谨慎的选择被认为对击败Kalka-Teicher-Tsaban攻击至关重要,我在Atkins介绍性论文的第7节中读到了这些[[强调我的]


通过专有方法选择


考虑到根据第二节的描述,第二个配置文件与第二个配置文件的不同之处仅在于将公钥作为证书的一部分而获得,因此,第二个配置文件又如何受到影响? [强调我的]


配置文件[ii](标签上的证书):询问器首先获得标签的证书(CERT_t)。标签将其包含公钥(PUB_t)的证书发送到询问器。询问器从CERT_t获取PUB_t。然后,该协议遵循配置文件[i]。该协议允许通过标签的固定CERT_t跟踪标签。


2015年10月的描述与2014年的标准化提议之间有显着差异吗?


评论

推动技术发展的公司制造了施耐尔的狗屋:schneier.com/blog/archives/2006/10/the_doghouse_se.html

布鲁斯·施耐尔(Bruce Schneier)刚刚发布了另一个有关它的博客,只提到了您链接到的攻击。<​​br />
这篇论文刚出来的时候,您可能会发现有趣的。

那似乎是毁灭性的:eprint.iacr.org/2016/091

@DrLecter这可能会持续一段时间。这是公司的回应。他们基本上承认ISO草案存在缺陷,并提出了解决方案。

#1 楼

部分自我解答的第一部分使用了我从最近一次攻击的作者之一西蒙·布莱克本(Simon R.Blackburn)教授那里收到的其他信息。对于GL(n,\ mathbb F)$中的矩阵$ m \,谨慎的选择被认为对击败早期版本的攻击至关重要。因此,新攻击的作者要求支持代数橡皮擦密钥交换的公司进行标准化,以提供“实践中提出的样本参数”;这是在2015年10月的标准提案发布之前发布的,该标准本身早于攻击的发布。较弱的参数和键集”。该所谓的弱集合是由声明的公司提供的。 (所有这些问题都通过一个CPU和未经优化的代码在8小时之内解决),相当于128位安全性(NIST的Lightry Cryptography Workshop 2015中幻灯片的第13页)。我没有立即看到为什么攻击对提议的标准中的B10F256密钥集参数无效的原因(据我了解,该机制要求80位安全级别,$ q = 256 $和$ n = 10 $)。他希望良好实现中的详细代码可以利用较小的参数大小而有所不同。受到提议的标准中概要文件的含义的攻击。<​​br />
目前,我不信任提议的标准中任何概要文件的安全性,因为: >

密码系统在其支持者定义的实验挑战中失败了,其安全级别远远超出了标准化的提议。
参数生成方法不是公开的;因此,该方法处于中断和修复循环中,并且处于中断状态。因此,不可能排除对该方法的了解会带来更好的攻击。<​​br />

PS:Ars Technica引用了支持代数橡皮擦密钥交换以实现标准化的公司代表的文字:


很明显,我们可能提供了用于内部测试的“弱参数”,并在需要时发送给研究人员(..)我们正在解决这两个领域。参数以及我们批准安全参数的过程。但是他的袭击并未声称“破坏”了我们的方法或追回了任何秘密材料。它声称能够恢复计算出的共享机密。如果为true,则像RSA和其他协议一样,我们将需要向我们的合作伙伴标识这些弱参数,并确保不使用它们。 ,“共享机密”是“秘密材料”;并恢复它构成了一个突破。代数橡皮擦,在Cryptology ePrint存档(2016-01-18)中。 :


在一个配置文件中,一方可以访问包含另一方公钥材料的数据库。具体来说,在此配置文件中,攻击者永远无法访问其中一个公钥,因此,不能
发起攻击以导出共享秘密。


来吧!公钥中有九分之九的字母专门用于说明所有人(包括攻击者)都知道该密钥;这就是激发公钥密码学的前提。在相反的假设下,我们可以使用更简单,更轻便的密钥协议。提议的标准本身将公用密钥定义为:“可以公开的非对称对的公用数据项。”

给出的另一个参数是:


在受限的计算能力和内存的受限设备中,BBT攻击(在4 GHz处理器上)的运行时间通常比AEDH协议的运行时间慢数千倍。 ISO 29167-20草案中的第二个配置文件是身份验证协议,通过该协议,轻量级密码设置中的两个用户运行AEDH密钥协议协议,并获取一个共享的机密,该机密将公开显示以完成身份验证。如果BBT攻击在发现共享密码并完成身份验证之后恢复了共享密码,则没有任何影响。因此,由于信息不再相关,因此攻击失败。


攻击的持续时间足以保护第二个配置文件(在这种情况下,可以从以下位置自由读取已认证的公钥)甚至令人怀疑:标签,或第一个标签(否则相同),因为:


密钥建立协议的常见用法是建立用于传统加密的秘密会话密钥,因此,要考虑用于攻击的帧超出了身份验证时间:只要知道攻击者仍希望知道任何加密数据,并且至少在经过身份验证的会话的整个持续时间内,密钥始终是目标。没有描述时间限制;并且在RF身份验证协议的典型实现中,很容易加长协议,从而为攻击提供了更多时间:


典型的RF读取器实施允许重试的通信协议(例如ISO / IEC 14443-4),而没有规定的限制。
典型的RF标签无法测量其等待数据帧的时间,并且可以无限期暂停在这样的时刻。即使读者实施了时间限制,仅此一项也可能使标签容易受到未经授权的写入。


目前,攻击尚未得到优化,并且所使用的参数比拟议的要大得多。对于标准化,因此完全有可能将其加速以实时化为标准化建议的参数(既不承认也不否认攻击实际上在以下建议的挑战参数中的5个中起作用了5个)当标准提议$ N = 10 $时,可以推测为128位安全级别,其中$ N = 16 $)。时间;我们可以选择使该假设无效的新参数,从而使攻击变得不可能。我们正在研究细节;参数$ N $的值“必定会比攻击的$ 16 $更高,”但是该方法可以通过应用与奇异的第一个私有矩阵相关的合适投影算子在计算上可行。

#2 楼

本文尝试概述在2016年1月冻结的其他答案之后的更新。

Simon R. Blackburn和M.J.B. Robshaw通过“代数橡皮擦标签身份验证协议的安全性”进一步暴露了对拟议标准中的一种协议的批评。在Cryptology ePrint Archive(2016-02-02,update 2016-06-02)中。

D. Atkins和D. Goldfeld撰写了《解决代数橡皮Diffie-Hellman空中协议》。在Cryptology ePrint Archive(2016-02-25)中回答。他们


几乎承认2015年10月的标准草案易受攻击;
以此为借口将该标准赶了出来(有关情况请参见文件); >将攻击与Diffie-Hellman ECC协议上的无效椭圆曲线攻击进行比较;
注意,这些攻击在与伪装成真实验证者的流氓设备进行交互时严重依赖于恢复通过身份验证的标签计算出的共享机密;
提出两种可能的“对标签身份验证协议进行直接更改”,以防止泄露该共享机密:用于身份验证的MAC密钥。




这些对策是有道理的,并且令人信服地阻止了Blackburn和Robshaw攻击。但是,


这些都是重要的变化,
没有降低安全性,
没有对本-兹维,布莱克本和扎班的攻击作出任何声明。
/>

阿迪·本-兹维(Adi Ben-Zvi),西蒙·R·布莱克本(Simon R. Blackburn),波阿斯·萨班(Boaz Tsaban)的《实用的代数橡皮擦密码分析》; Cryptology ePrint存档中的文件已更新(2016-06-02),并在Crypto 2016的议事记录中发布了一个版本。到2016年末,SecureRF推广了IronwoodKAP(一种关键协议协议,被描述为Algebraic Eraser™的产物,该协议使用1中的哈希值生成共享密钥)。 WalnutDSA(一种数字签名算法);和Hickory Hash II(加密哈希函数);请参阅SecureRF网站上的Iris Anshel,Derek Atkins,Dorian Goldfeld和Paul E.Gunnells:《量子组理论密码学》(2016-12-05),网址为SecureRF。一个家用设备与多个其他设备之间的协议和身份验证协议。限制为单个HD(或其相同副本)是为了抵抗Ben-Zvi,Blackburn和Tsaban的攻击,而又不增加密钥大小也不影响性能。因此,该协议具有对称加密功能,具有持久性HD主密钥和OD唯一性持久性多样化密钥,用于HD和OD的相互认证以及协商或每个会话的共享密钥。加上声称具有量子抗性,并声称无法使用高清电影来模拟OD。参见编号。 Ironwood元密钥协议和身份验证协议(2017-07)。