Page 272 - 《软件学报》2020年第10期

P. 272

3248 Journal of Software 软件学报 Vol.31, No.10, October 2020

证明:给定会话密钥私密性攻击者 A kp , 我们按照如下方式构造针对 DDH 问题的攻击者 A ddh . DDH 攻击者
A ddh 收到输入的三元组(X 0 ,Y 0 ,Z 0 ),首先为所有用户选择口令,为 TestPair 询问选择随机比特 b∈ {0,1}, 诚实地模
拟协议运行并基本按照规范回答攻击者 A 发出的 Execute 和 SendClient 询问,不同之处在于,在询问响应中将
kp
最终 X、Y、sk AB 、sk BA 相关的部分予以修改:按照类似于定理 1 证明中游戏 G 5 和 G 11 利用随机自规约方式将三
元组(X 0 ,Y 0 ,Z 0 )嵌入到协议运行中.
最后, A ddh 观察 A 的输出比特 b′,如果 b′=b,则 A ddh 输出 1,若 b′ ≠ , b 则 A ddh 输出 0.那么可以估计 A ddh 成功
kp
的概率为
1
Pr{A wins} = (Pr{ ' b = b |Real(X Y Z )}+Pr{ ' b ≠ b |Rand(X Y Z )})
, ,
, ,
ddh
2 0 0 0 0 0 0
⎛
11 1 ⎛ 1 ⎞ ⎞
= ⎜ + Adv kp , PD (A kp ) + ⎜ 1− ⎟ ⎟
22 2 ⎝ 2 ⎠ ⎠
⎝
1 1
= + Adv kp , PD (A kp . )
2 4
其中,Real(·)和 Rand(·)分别表示输入的三元组是真实的 DDH 三元组和随机的三元组.当(X 0 ,Y 0 ,Z 0 )是随机三
元组时,随机自规约保证了最终会话密钥是独立随机的;当(X 0 ,Y 0 ,Z 0 )是真实的 DDH 三元组时,给攻击者 A 提供
kp
的模拟环境与真实攻击相同.最后,注意到 A 对每个 Execute 和 SendClient 询问的模拟都只需要常数时间,即可
ddh
得定理结论. □
6 结束语
本文对基于验证元三方 PAKE 协议进行了研究.首先,指出目前唯一的在标准模型下设计的基于验证元的
三方 PAKE 协议存在安全缺陷,易于遭受离线字典攻击.其次,基于 ElGamal 公钥加密体制、口令哈希机制以及
支持验证元的平滑投射哈希函数等密码学组件,构造了一个新的基于验证元的三方 PAKE 协议,并在标准模型
下证明了该协议满足语义安全、会话密钥私密性等安全属性,与已有协议的比较表明新协议不仅提供了更高的
安全性,而且具有可接受的计算和通信效率.

References:
[1] Bonneau J, Herley C, van Oorschot PC, Stajano F. The quest to replace passwords: A framework for comparative evaluation of
Web authentication schemes. In: Proc. of IEEE Symp. on Security and Privacy (S&P). IEEE, 2012. 553–567.
[2] Bellovin SM, Merritt M. Encrypted key exchange: Password-based protocols secure against dictionary attacks. In: Proc. of the
Symp. on Security and Privacy (S&P). IEEE, 1992. 72–84.
[3] Bellare M, Pointcheval D, Rogaway P. Authenticated key exchange secure against dictionary attacks. In: Preneel B, ed. Proc. of the
EUROCRYPT 2000. Berlin, Heidelberg: Springer-Verlag, 2000. 139–155.
[4] Boyko V, MacKenzie P, Patel S. Provably secure password-authenticated key exchange using Diffie-Hellman. In: Preneel B, ed.
Proc. of the EUROCRYPT 2000. Berlin, Heidelberg: Springer-Verlag, 2000. 156–171.
[5] Abdalla M, Fouque PA, Pointcheval D. Password-based authenticated key exchange in the three-party setting. In: Vaudenay S, ed.
Proc. of the Public Key Cryptography-PKC 2005. Berlin, Heidelberg: Springer-Verlag, 2005. 65–84.
[6] Canetti R, Halevi S, Katz J, Lindell Y, MacKenzie P. Universally composable password-based key exchange. In: Cramer R, ed.
Proc. of the EUROCRYPT 2005. Berlin, Heidelberg: Springer-Verlag, 2005. 404–421.
[7] Abdalla M, Catalano D, Chevalier C, Pointcheval D. Efficient two-party password-based key exchange protocols in the UC
framework. In: Malkin T, ed. Proc. of the CT-RSA 2008. Berlin, Heidelberg: Springer-Verlag, 2008. 335–351.
[8] Abdalla M, Benhamouda F, MacKenzie P. Security of the J-PAKE password-authenticated key exchange protocol. In: Proc. of the
Symp. on Security and Privacy (S&P). IEEE, 2015. 571–587.
[9] Katz J, Ostrovsky R, Yung M. Efficient password-authenticated key exchange using human-memorable passwords. In: Pfitzmann B,
ed. Proc. of the EUROCRYPT 2001. Berlin, Heidelberg: Springer-Verlag, 2001. 475–494.

267 268 269 270 271 272 273 274 275 276 277