陆思奇  等:强安全模型下 TLS1.3 协议的形式化分析与优化                                                 2863


























































                              Fig.13    Raplay attack to Early Data in the optimized protocol
                                    图 13   优化协议中 Early Data 的重放攻击
             对比 1-RTT semi-static 模式中 claim(s,Niagree)所描述的 KCI 攻击(如图 14 所示)可以发现:优化协议中,攻
         击者发送的 Early Data 数据仍然为合法客户端所发送的数据,攻击者只能够对其简单重放;而 1-RTT semi-static
         模式中的 Early Data 数据为 IntruderString,即攻击者自己定义的消息,在这种情况下,攻击者不仅可以重放消息,
         甚至可以对重放的消息进行任意篡改,其风险显然远大于优化协议中的重放攻击.
             综上所述,相比之前的 1-RTT semi-static 模式,该优化协议能够有效抵抗 KCI 攻击,验证了之前的证明结果.
         PSK-DHE 模式与 1-RTT semi-static 模式类似,同样可以运用该优化协议的思路,在 Early Data 上加一层签名,即
         可保证 0-RTT 中的数据能够抵抗 KCI 攻击.表 3 总结了 1-RTT semi-static 模式和优化协议的安全性对比.