ฉันกำลังเขียนบทความเกี่ยวกับ Authenticated Key Exchange Protocols ฉันได้อ่านรายงานผลการศึกษาของ Bellare และ Rogway ในหัวข้อนี้แล้ว และฉันคิดว่าฉันเข้าใจ BR Model และตอนนี้ฉันกำลังอ่าน กระดาษของ Cenetti และ Krawczyk ซึ่งมีเป้าหมายที่จะปรับปรุงให้ดีขึ้น ผมงงว่ารุ่น CK เป็นรุ่นปรับปรุงของ BR ยังไง? ดังที่กล่าวไว้ในภาคผนวกของเอกสาร CK กระดาษ BR จะแสดงการวิเคราะห์ในแง่ของคำทำนาย พวกเขาพูดถึงข้อบกพร่องด้านความปลอดภัยในรุ่น BR แต่ฉันต้องการให้เป็นใบ้อย่างละเอียด
ในคำจำกัดความของ (BR) ฝ่ายตรงข้ามจะชี้ไปยังเซสชันที่ยังไม่เปิดเผยที่ตนเลือก และได้รับค่า $k_b$, ที่ไหน $k_0$ คือคีย์เซสชันที่แท้จริงของเซสชันนี้ $k_1$ เป็นค่าสุ่มที่เลือกอย่างอิสระ และ $ข$ เป็นบิตสุ่มเลือกที่ไม่รู้จักศัตรู ข้อกำหนดด้านความปลอดภัยคือฝ่ายตรงข้ามไม่สามารถคาดเดาได้ $ข$ ด้วยความได้เปรียบเกินครึ่ง ต้นฉบับของคำจำกัดความเหล่านี้ต้องการให้ฝ่ายตรงข้ามคาดเดา $ข$ ทันทีที่ได้รับค่าการทดสอบ
ส่วนใหญ่ใช้ได้และฉันรวมไว้เพื่อให้บริบทสำหรับส่วนที่ฉันไม่ได้รับ
พิจารณาโปรโตคอลแลกเปลี่ยนคีย์ที่ปลอดภัยที่คุณชื่นชอบ $\pi$. ตอนนี้เพิ่มคำแนะนำต่อไปนี้ในข้อกำหนดของโปรโตคอลสำหรับบุคคลที่ดำเนินการจัดตั้งเซสชันตามโปรโตคอล $\pi$: ถ้า ณ จุดใดฝ่ายหนึ่งได้รับข้อความที่มีค่า $\mathrm{MAC}_\kappa(0)$, ที่ไหน $\mathrm{MAC}$ เป็นฟังก์ชันการตรวจสอบข้อความที่ปลอดภัยและ $\กัปปะ$ เป็นคีย์เซสชันที่จัดตั้งขึ้น จากนั้นปาร์ตี้จะเผยแพร่ $\กัปปะ$. อย่างไรก็ตาม โปรโตคอลไม่เคยสั่งให้ฝ่ายใดปฏิบัติตามคำสั่งดังกล่าว เป็นผลให้โปรโตคอลสามารถแสดงให้ผ่านคำจำกัดความที่อ่อนแอลงได้ ในทางกลับกัน เป็นที่ชัดเจนว่าไม่สามารถสร้างโปรโตคอลดังกล่าวได้อย่างปลอดภัยด้วยแอปพลิเคชันการตรวจสอบสิทธิ์ที่ใช้คีย์เซสชันสำหรับข้อมูล MAC-ing
โปรโตคอลไม่ได้บอกส่วนที่จะเผยแพร่โดยตรง $\กัปปะ$ ถ้าได้รับ $\mathrm{MAC}_\kappa(0)$? ดังนั้นโปรโตคอลนี้มีความปลอดภัยภายใต้คำจำกัดความของ BR อย่างไร CK กำจัดความเป็นไปได้นี้อย่างไร?