本杰明·道林;马克·费希林;费利克斯·Günther;道格拉斯·斯特比拉 TLS 1.3握手协议的密码分析。 (英语) Zbl 1472.94049号 J.密码学 34,第4号,第37号论文,69页(2021年). 摘要:我们分析了传输层安全(TLS)协议1.3版的握手协议。我们讨论了完整的TLS 1.3握手(一次往返时间模式,带有用于身份验证和(椭圆曲线)Diffie-Hellman临时((EC)DHE)密钥交换的签名)和使用预共享密钥进行身份验证的缩写恢复/“PSK”模式(带可选(EC)DHE密钥交换和零往返时间密钥建立)。我们在还原论安全框架中的分析使用了多阶段密钥交换安全模型,其中,在一次TLS 1.3握手中派生的多个会话密钥中的每一个都被标记有各种属性(例如未经身份验证与单方身份验证与相互身份验证,它是否旨在提供前向安全性,它在协议中的使用方式,以及密钥是否受到重播攻击的保护)。我们表明,这些TLS 1.3握手协议模式在标准密码假设下建立了具有所需安全属性的会话密钥。 引用于19文件 MSC公司: 94A60型 密码学 94A62型 身份验证、数字签名和秘密共享 关键词:密钥交换;传输层安全(TLS);握手协议 软件:NAXOS公司;miTLS系统 PDF格式BibTeX公司 XML格式引用 \textit{B.Dowling}等人,J.Cryptology 34,第4期,论文37,69页(2021年;Zbl 1472.94049) 全文: DOI程序 参考文献: [1] L.Akhmetzyanova、E.Alekseev、E.Smyshlyaeva、A.Sokolov,继续思考外部PSK的TLS 1.3。《加密电子打印档案》,2019/421年报告(2019年)。https://eprint.iacr.org/2019/421 [2] D.Adrian、K.Bhargavan、Z.Durumeric、P.Gaudry、M.Green、J.A.Halderman、N.Heninger、D.Springall、E.Thomé、L.Valenta、B.VanderSloot、E.Wustrow、S.Zanella-Béguelin、P.Zimmermann,《不完善的前向保密:赫尔曼如何在实践中失败》,ACM CCS 15(2015) [3] G.Arfaoui,X.Bultel,P.-A.Fouque,A.Nedelcu,C.Onete,TLS 1.3协议的隐私。PoPET,2019(4),190-210(2019)。doi:10.2478/popets-2019-0065 [4] N.AlFardan,D.J.Bernstein,K.G.Paterson,B.Poettering,J.C.N.Schuldt,《关于TLS中RC4的安全性》,第22届USENIX安全研讨会论文集,第305-320页。USENIX(2013) [5] M.Abdalla、M.Bellare、P.Rogaway,预言家Diffie-Hellman假设和DHIES分析。David Naccache,编辑,CT-RSA 2001,LNCS 2020卷,第143-158页。斯普林格,海德堡,(2001)。doi:10.1007/3-540-45353-9_12·Zbl 0991.94033号 [6] N.Aviram、K.Gellert、T.Jager,TLS 1.3 0-RTT的会话恢复协议和高效转发安全。《密码学杂志》(2021)。出现。《2019/228年加密电子打印档案》。https://eprint.iacr.org/2019/228 ·Zbl 1428.94056号 [7] N.J.AlFardan,K.G.Paterson,《幸运十三:打破TLS和DTLS记录协议》,2013年IEEE安全与隐私研讨会,第526-540页。IEEE计算机学会出版社,(2013)。doi:10.1109/SP.2013.42 [8] J.Altman,N.Williams,L.Zhu,TLS的信道绑定。RFC 5929(拟议标准),2010年。http://www.ietf.org/rfc/rfc5929.txt [9] B.Beurdouche,K.Bhargavan,A.Deligna-Lavaud,C.Fournet,M.Kohlweiss,A.Pironti,P.-Y.Strub,J.K.Zinzindohoue,《联盟的混乱状态:驯服TLS的复合状态机》,2015年IEEE安全与隐私研讨会,第535-552页。IEEE计算机学会出版社,2015年。文件编号:10.1109/SP.20.15.39 [10] B.Beurdouche、K.Bhargavan、A.Deligna-Levaud、C.Fournet、M.Kohlweiss、A.Pironti、P.-Y.Strub、J.K.Zinzindohoue,《联盟的混乱状态:驯服TLS的复合状态机》,摘自2015年IEEE安全与隐私(S&P)研讨会论文集,第535-552页。IEEE(2015) [11] K.Bhargavan、C.Brzuska、C.Fournet、M.Green、M.Kohlweiss、S.Zanella-Béguelin。密钥交换协议的降级弹性,2016年IEEE安全与隐私研讨会,第506-525页。IEEE计算机学会出版社,2016年。doi:10.109/SP.2016.37 [12] M.Bellare,R.Canetti,H.Krawczyk,消息认证的键控散列函数,收录于Neal Koblitz,编辑,CRYPTO’96,LNCS第1109卷,第1-15页。斯普林格,海德堡(1996)。doi:10.1007/3-540-68697-5_1·Zbl 1329.94051号 [13] K.Bhargavan,A.Deligna-Lavaud,C.Fournet,A.Pironti,P.-Y.Strub,《三重握手和饼干切割:打破和修复TLS认证》,2014年IEEE安全与隐私研讨会,第98-113页。IEEE计算机学会出版社(2014)。doi:10.1109/SP.2014.14 [14] M.Bellare,《NMAC和HMAC的新证明:无抗碰撞的安全性》,Cynthia Dwork主编,《密码》2006年,LNCS第4117卷,第602-619页。斯普林格,海德堡(2006)。doi:10.1007/11818175_36·Zbl 1161.68437号 [15] J.Brendel、M.Fischlin、F.Günther,《密钥交换协议的故障恢复:新希望、TLS 1.3和混合协议》,收录于K.Sako、S.Schneider、P.Y.A.Ryan,编辑,ESORICS 2019,第二部分,LNCS第11736卷,第521-541页。斯普林格,海德堡(2019)。doi:10.1007/978-3-030-29962-025 [16] J.Brendel、M.Fischlin、F.Gunther、C.Janson、D.Stebila,基于密钥封装机制证明量子后密钥交换的挑战。加密电子打印档案,2019/13562019年报告。https://eprint.iacr.org/2019/1356 [17] J.Brendel、M.Fischlin、F.Gunther、C.Janson、PRF-ODH:关系、实例化和不可能性结果。J.Katz,H.Shacham,编辑,《密码》2017,第三部分,LNCS第10403卷,第651-681页。施普林格,海德堡(2017)。doi:10.1007/978-3-319-63697-9_22·Zbl 1418.94034号 [18] K.Bhargavan,C.Fournet,M.Kohlweiss,A.Pironti,P.-Y.Strub,《使用经验证的加密安全实现TLS》,2013年IEEE安全与隐私研讨会,第445-459页。IEEE计算机学会出版社(2013)。doi:10.1109/SP.2013.37 [19] K.Bhargavan,C.Fournet,M.Kohlweiss,A.Pironti,P.-Y.Strub,S.Z.Béguelin,证明TLS握手是安全的(事实上)。J.A.Garay,R.Gennaro,编辑,《2014年密码》,第二部分,LNCS第8617卷,第235-255页。斯普林格,海德堡(2014)。doi:10.1007/978-3-662-44381-1_14·兹比尔1334.94060 [20] K.Bhargavan,C.Fournet,M.Kohlweiss,miTLS:针对真实世界的攻击验证协议实现。IEEE安全与隐私,14(6),18-25(2016)doi:10.1109/MSP.2016.123 [21] C.Brzuska、M.Fischlin、N.P.Smart、B.Warinschi、S.C.Williams。少即是多:用于密钥交换的放松但可组合的安全概念。《国际信息安全杂志》,12(4),267-297(2013)doi:10.1007/s10207-013-0192-y [22] C.Brzuska,M.Fischlin,B.Warinschi,S.C.Williams,《Bellare-Rogaway密钥交换协议的可组合性》,载于Y.Chen,G.Danezis,V.Shmatikov,编辑,ACM CCS 2011,第51-62页。ACM出版社(2011)。doi:10.1145/2046707.2046716 [23] C.Boyd,B.Hale,《安全通道和终端:TLS的最后一句话》。在T.Lange,O.Dunkelman,编辑,LATINCRYPT 2017,LNCS第11368卷,第44-65页。施普林格,海德堡(2017)。doi:10.1007/978-3-030-25283-03·Zbl 1454.94053号 [24] C.Badertscher、C.Matt、U.Maurer、P.Rogaway、B.Tackmann,《增强安全通道和TLS 1.3记录层的目标》。M.H.Au,A.Miyaji,编辑,ProvSec 2015,LNCS第9451卷,第85-104页。斯普林格,海德堡(2015)。doi:10.1007/978-3-319-26059-45·Zbl 1388.94032号 [25] M.Bellare,P.Rogaway,实体身份验证和密钥分发。D.R.Stinson,编辑,《93年密码》,LNCS第773卷,第232-249页。斯普林格,海德堡(1994)。doi:10.1007/3-540-48329-221·Zbl 0870.94019号 [26] C.Brzuska,《密钥交换的基础》。德国达姆施塔特科技大学博士论文(2013年)。http://tuprints.ulb.tu-darmstadt.de/3414/ [27] M.Bellare和B.Tackmann。认证加密的多用户安全:TLS 1.3中的AES-GCM,M.Robshaw,J.Katz,编辑,CRYPTO 2016,第一部分,LNCS第9814卷,第247-276页。斯普林格,海德堡(2016)。doi:10.1007/978-3-662-53018-4_10·Zbl 1378.94023号 [28] K.Cohn-Gordon,C.Cremers,K.Gjösteen,H.Jacobsen,T.Jager,具有最佳紧密性的高效密钥交换协议,收录于A.Boldyreva,D.Micciancio,编辑,《密码2019》,第三部分,LNCS第11694卷,第767-797页。斯普林格,海德堡(2019)。doi:10.1007/978-3-030-26954-825·Zbl 1509.94077号 [29] C.Cremers、M.Horvat、J.Hoyland、S.Scott、T.van der Merwe,《TLS 1.3的综合符号分析》。B.M.Thurasingham,D.Evans,T.Malkin,D.Xu,ACM CCS 2017编辑,第1773-1788页。ACM出版社(2017)。数字对象标识代码:10.1145/3133956.3134063 [30] R.Canetti、S.Halevi、J.Katz,《前向安全公钥加密方案》,收录于E.Biham,编辑,EUROCRYPT 2003,LNCS第2656卷,第255-271页。斯普林格,海德堡(2003)。doi:10.1007/3-540-39200-9_16·兹比尔1037.68532 [31] C.Cremers、M.Horvat、S.Scott、T.van der Merwe,TLS 1.3:0-RTT的自动分析和验证,恢复和延迟认证,2016年IEEE安全与隐私研讨会,第470-485页。IEEE计算机学会出版社(2016)。doi:10.1109/SP.2016.35 [32] S.Chen、S.Jero、M.Jagielski、A.Boldyreva、C.Nita-Rotaru,《安全通信通道建立:TLS 1.3(通过TCP快速开放)vs.QUIC》,收录于K.Sako、S.Schneider、P.Y.A.Ryan,编辑,《2019年欧洲战略与信息系统》,第一部分,LNCS第11735卷,第404-426页。施普林格,海德堡(2019)。doi:10.1007/978-3-030-29959-0_20·Zbl 1469.94090号 [33] R.Canetti,H.Krawczyk,《密钥交换协议分析及其在构建安全信道中的应用》。在B.Pfitzmann,编辑,EUROCRYPT 2001,LNCS第2045卷,第453-474页。斯普林格,海德堡(2001)。doi:10.1007/3-5440-44987-6_28·Zbl 0981.94032号 [34] R.Canetti,H.Krawczyk,《IKE基于签名的密钥交换协议的安全性分析》,M.Yung主编,CRYPTO 2002,LNCS第2442卷,第143-161页。斯普林格,海德堡(2002)。http://eprint.iacr.org/2002/120/。doi:10.1007/3-540-45708-9_10·Zbl 1026.94524号 [35] Codenomicon公司。心跳虫。http://hearthleed.com网站 (2014) [36] E.Crockett,C.Paquin,D.Stebila,TLS和SSH中的量子后和混合密钥交换与认证原型,NIST 2019年第二届量子后密码标准化会议(2019年) [37] T.Dierks,C,Allen,《TLS协议1.0版》。RFC 2246(拟议标准)(1999年)。由RFC 4346废除,由RFC 3546、5746、6176、7465、7507、7919更新。https://www.rfc-editor.org/rfc/rfc2246.txt,doi:10.17487/RFC2246 [38] B.Dowling,M.Fischlin,F.Günther,D.Stebila,TLS 1.3握手协议候选的密码分析,收录于I.Ray,N.Li,C.Kruegel,编辑,ACM CCS 2015,第1197-1210页。ACM出版社(2015)。doi:10.1145/2810103.2813653 [39] B.Dowling,M.Fischlin,F.Gunther,D.Stebila,《TLS 1.3草案-10完整和预共享密钥握手协议的密码分析》。Cryptology ePrint Archive,报告2016/081(2016)。http://eprint.iacr.org/2016/081 [40] A.Deligna-Lavaud、C.Fournet、M.Kohlweiss、J.Protzenko、A.Rastogi、N.Swamy、S.Zanella-Béguelin、K.Bhargavan、J.Pan、J.K.Zinzindohoue,《实施和证明TLS 1.3记录层》,2017年IEEE安全与隐私研讨会,第463-482页。IEEE计算机学会出版社(2017)。doi:10.1109/SP.2017.58 [41] A.Deligna-Lavaud、C.Fournet、B.Parno、J.Protzenko、T.Ramananandro、J.Bosamiya、J.Lallemand、I.Rakotonirina、Y.Zhou,IETF QUIC记录层的安全模型和完全验证的实现。《加密电子打印档案》,《2020年/114号报告》(2020年)。https://eprint.iacr.org/2020/114 [42] C.D.de Saint Guilhem、M.Fischlin、B.Warinschi,《密钥交换中的认证:定义、关系和组成》。Cryptology ePrint档案,报告2019/1203(2019)。https://eprint.iacr.org/2019/203 [43] H.Davis,F.Gunther。《SIGMA和TLS 1.3密钥交换协议的更严格证明》,第19届应用密码学和网络安全国际会议,ACNS 20212021。出现。作为加密电子打印档案提供,报告2020/1029。https://eprint.iacr.org/2020/1029网址 [44] N.Drucker、S.Gueron,《自拍:对PSK的TLS 1.3的思考》。《密码学杂志》(2021)。出现。《2019/347年加密电子打印档案》。https://eprint.iacr.org/2019/347。 [45] D.Diemert,T.Jager,关于TLS 1.3的严格安全性:现实世界部署的理论上合理的密码参数。《密码学杂志》(2021)。出现。作为加密电子打印档案提供,报告2020/726。https://eprint.iacr.org/2020/726 ·Zbl 1470.94082号 [46] D.Derler,T.Jager,D.Slamanig,C.Striecks,Bloom过滤器加密和高效前向保密0-RTT密钥交换应用。J.B.Nielsen,V.Rijmen,编辑,《2018年欧洲密码》,第三部分,LNCS第10822卷,第425-455页。斯普林格,海德堡(2018)。doi:10.1007/978-3319-78372-7_14·Zbl 1415.94423号 [47] B.Dowling,互联网协议的可证明安全性。澳大利亚布里斯班昆士兰科技大学博士论文(2017年)。http://eprints.qut.edu.au/108960/ [48] T.Dierks,E.Rescorla,传输层安全(TLS)协议1.1版。RFC 4346(拟议标准),2006年4月。由RFC 5246废除,由RFC 4366、4680、4681、5746、6176、7465、7507、7919更新。https://www.rfc-editor.org/rfc/rfc4346.txt。doi:10.17487/RFC4346 [49] T.Dierks,E.Rescorla,传输层安全(TLS)协议1.2版。RFC 5246(拟议标准),2008年8月。由RFC 5746、5878、6176、7465、7507、7568、7627、7685、7905、7919更新。https://www.rfc-editor.org/rfc/rfc5246.txt,doi:10.17487/RFC5246 [50] B.Dowling,D.Stebila,TLS协议中的建模密码套件和版本协商,E.Foo,D.Stebila,编辑,ACISP 15,LNCS第9144卷,第270-288页。斯普林格,海德堡(2015)。doi:10.1007/978-3-319-19962-7_16·Zbl 1368.94096号 [51] T.Duong(多昂)。野兽。http://vnhacker.blogspot.com.au/2011/09/beast.html (2011) [52] M.Fischlin,F.Günther,《多阶段密钥交换和谷歌QUIC协议的案例》,载于G.-J.Ahn,M.Yung,N.Li,编辑,ACM CCS 2014,第1193-1204页。ACM出版社(2014)。数字对象标识代码:10.1145/2660267.2660308 [53] M.Fischlin,F.Günther,《零往返时间重播攻击:TLS 1.3握手候选者案例》,2017年IEEE欧洲安全与隐私研讨会,2017年欧洲标准普尔,第60-75页,法国巴黎(2017)。美国电气工程师协会 [54] M.Fischlin,F.Günther,G.A.Marson,K.G.Paterson,《数据是一条流:基于流的渠道的安全》,收录于R.Gennaro,M.J.B.Robshaw,编辑,《密码》2015,第二部分,LNCS第9216卷,第545-564页。斯普林格,海德堡(2015)。doi:10.1007/978-3-662-48000-7_27·Zbl 1369.94535号 [55] M.Fischlin,F.Gunther,B.Schmidt,B.Warinschi,《密钥交换中的密钥确认:TLS 1.3的正式处理和影响》,2016年IEEE安全与隐私研讨会,第452-469页。IEEE计算机学会出版社(2016)。doi:10.1109/SP.2016.34 [56] S.Gajek,用于分析基于浏览器的安全协议的通用可组合框架,见J.Baek,F.Bao,K.Chen,X.Lai,编辑,ProvSec 2008,LNCS第5324卷,第283-297页。斯普林格,海德堡(2008)·Zbl 1204.68025号 [57] F.Günther,B.Hale,T.Jager,S.Lauer,0-RTT密钥交换与完全远期保密,收录于J.-S.Coron,J.B.Nielsen,编辑,《2017年欧洲密码》,第三部分,LNCS第10212卷,第519-548页。施普林格,海德堡(2017)。数字对象标识代码:10.1007/978-3-319-56617-7_18·Zbl 1390.94838号 [58] F.Giesen、F.Kohlar、D.Stebila,《关于TLS重新谈判的安全性》,载于A.-R.Sadeghi、V.D.Gligor、M.Yung,编辑,ACM CCS 2013,第387-398页。ACM出版社(2013)。doi:10.1145/2508859.2516694 [59] M.D.Green,I.Miers,《可刺穿加密的前向安全异步消息传递》,2015年IEEE安全与隐私研讨会,第305-320页。IEEE计算机学会出版社(2015)。doi:10.1109/SP.2015.26 [60] F.Günther,S.Mazaheri,《多密钥通道的正式处理》,J.Katz,H.Shacham,编辑,《密码》2017,第三部分,LNCS第10403卷,第587-618页。施普林格,海德堡(2017)。数字对象标识代码:10.1007/978-3-319-63697-9_20·Zbl 1418.94048号 [61] F.Günther,密钥交换和安全信道协议的高级安全方面建模。德国达姆施塔特科技大学博士论文(2018年)。http://tuprints.ulb.tu-darmstadt.de/7162/ [62] B.Hale,T.Jager,S.Lauer,J.Schwenk,0-RTT密钥交换的简单安全定义和构造,收录于D.Gollmann,A.Miyaji,H.Kikuchi,编辑,ACNS 17,LNCS第10355卷,第20-38页。施普林格,海德堡(2017)。doi:10.1007/978-3-319-61204-12·Zbl 1520.94057号 [63] J.Jonsson,B.S.Kaliski Jr.,《论TLS中RSA加密的安全性》,Moti Yung主编,《密码》2002年,LNCS第2442卷,第127-142页。斯普林格,海德堡(2002)。doi:10.1007/3-540-45708-99·Zbl 1026.94530号 [64] T.Jager,F.Kohlar,S.Schäge,J.Schwenk,《关于标准模型中TLS-DHE的安全性》,R.Safavi-Naini,R.Canetti,编辑,《2012年密码》,LNCS第7417卷,第273-293页。施普林格,海德堡(2012)。doi:10.1007/978-3642-32009-5_17·兹比尔1296.94121 [65] S.Josefsson,基于PRF的TLS通道绑定。https://tools.ietf.org/html/draft-josefsson-sasl-tls-cb-03 (2015) [66] T.Jager,J.Schwenk,J.Somorovsky,《关于TLS 1.3和QUIC针对PKCS#1 v1.5加密弱点的安全性》,载于I.Ray,N.Li,C.Kruegel,ACM CCS 2015编辑,第1185-1196页。ACM出版社(2015)。doi:10.145/2810103.28133657 [67] H.Krawczyk、M.Bellare、R.Canetti、HMAC:消息身份验证的键控隐藏。RFC 2104(资料性)(1997年)。由RFC 6151更新。https://www.rfc-editor.org/rfc/rfc2104.txt,doi:10.17487/RFC2104 [68] H.Krawczyk,P.Eronen,基于HMAC的提取和扩展密钥派生函数(HKDF)。RFC 5869(信息)(2010年)。https://www.rfc-editor.org/rfc/rfc5869.txt,doi:10.17487/RFC5869 [69] M.Kohlweiss,U.Maurer,C.Onete,B.Tackmann,D.Venturi,(De-)constructing TLS 1.3,收录于A.Biryukov,V.Goyal,编辑,INDOCRYPT 2015,LNCS第9462卷,第85-102页。斯普林格,海德堡(2015)。doi:10.1007/978-3-319-26617-65·Zbl 1367.94319号 [70] H.Krawczyk,K.G.Paterson,H.Wee,《TLS协议的安全性:系统分析》。R.Canetti,J.A.Garay,编辑,《2013年密码》,第一部分,LNCS第8042卷,第429-448页。斯普林格,海德堡(2013)。doi:10.1007/978-3-642-40041-4_24·Zbl 1310.94158号 [71] H.Krawczyk,保护通信的加密和身份验证顺序(或:SSL有多安全?)。J.Kilian,编辑,《2001年密码》,LNCS第2139卷,第310-331页。斯普林格,海德堡(2001)。doi:10.1007/3-540-44647-8_19·Zbl 1002.94529号 [72] H.Krawczyk,SIGMA:认证Diffie-Hellman的“SIGn-and-MAc”方法及其在IKE协议中的使用,载于D.Boneh,编辑,CRYPTO 2003,LNCS第2729卷,第400-425页。斯普林格,海德堡(2003)。数字对象标识代码:10.1007/978-3-540-45146-4_24·Zbl 1122.94382号 [73] H.Krawczyk,《密码学提取和密钥推导:HKDF方案》,T.Rabin,编辑,CRYPTO 2010,LNCS第6223卷,第631-648页。施普林格,海德堡(2010)。doi:10.1007/978-3-642-14623-7_34·兹比尔1283.94072 [74] H.Krawczyk,[IETF TLS邮件列表]回复:呼吁达成共识:删除基于DHE的0-RTT。https://mailarchive.ietf.org/arch/msg/tls/xmnvrKEQkEbD-u8HTeQkyitmclY (2016) [75] H.Krawczyk,用于密钥交换的单边到相互身份验证编译器(TLS 1.3中的客户端身份验证应用程序)。E.R.Weipple、S.Katzenbeisser、C.Kruegel、A.C.Myers、S.Halevi,编辑,ACM CCS 2016,第1438-1450页。ACM出版社(2016)。doi:10.1145/2976749.2978325 [76] F.Kohlar、S.Schäge和J.Schwenk,关于标准模型中TLS-DH和TLS-RSA的安全性。Cryptology ePrint档案,报告2013/367(2013)。http://eprint.iacr.org/2013/367 ·Zbl 1296.94121号 [77] H.Krawczyk,H.Wee,《OPTLS协议和TLS 1.3》,2016年IEEE欧洲安全与隐私研讨会,第81-96页。IEEE(2016)。doi:10.1109/EuroSP.2016.18 [78] R.Lychev,S.Jero,A.Boldyreva,C.Nita Rotaru,QUIC有多安全和快速?可证明的安全和性能分析,2015年IEEE安全与隐私研讨会,第214-231页。IEEE计算机学会出版社(2015)。doi:10.1109/SP.2015.21 [79] B.A.LaMacchia,K.Lauter,A.Mityagin,《认证密钥交换的更强安全性》,收录于W.Susilo,J.K.Liu,Y.Mu,编辑,ProvSec 2007,LNCS第4784卷,第1-16页。斯普林格,海德堡(2007)·兹比尔1138.94381 [80] A.Luykx,K.G.Paterson。TLS中认证加密使用的限制(2017年)。网址:http://www.isg.rhul.ac.uk/kp/TLS-AEbounds.pdf [81] Y.Li,S.Schäge,Z.Yang,F.Kohlar,J.Schwenk,《关于TLS预共享密钥密码套件的安全性》,摘自H.Krawczyk,PKC编辑,2014年,LNCS第8383卷,第669-684页。斯普林格,海德堡(2014)。doi:10.1007/978-3-642-54631-0_38·Zbl 1335.94065号 [82] X.Li,J.Xu,Z.Zhang,D.Feng,H.Hu,TLS 1.3候选人的多重握手安全性,2016年IEEE安全与隐私研讨会,第486-505页。IEEE计算机学会出版社(2016)。doi:10.1109/SP.2016.36 [83] C.MacCárthaigh,[IETF TLS邮件列表]TLS1.3 0-RTT的安全审查。https://mailarchive.ietf.org/arch/msg/tls/mHxi-O3du9OQHkc6CBWBpc_KBpA (2017) [84] B.Möller,T.Duong,K.Kotowicz,《这只小狗咬人:利用SSL 3.0回退》。https://www.openssl.org/bodo/ssl-poodle.pdf(2014) [85] G.A.Marson,B.Poettering,双向通道的安全概念。IACR事务处理。赛姆。加密。,2017(1):405-426 (2017). doi:10.13154/tosc.v2017.21.405-426 [86] P.Morrissey,N.P.Smart,B.Warinschi,TLS握手协议的模块化安全分析,J.Pieprzyk,编辑,ASIACRYPT 2008,LNCS第5350卷,第55-73页。施普林格,海德堡(2008)。doi:10.1007/978-3-540-89255-7_5·Zbl 1206.94082号 [87] K.G.Paterson,T.Ristenpart,T.Shrimpton,标签大小确实重要:TLS记录协议的攻击和证明,收录于D.H.Lee,X.Wang,编辑,ASIACRYPT 2011,LNCS第7073卷,第372-389页。斯普林格,海德堡(2011)。doi:10.1007/978-3-642-25385-0_20·Zbl 1227.94060号 [88] C.Patton,T.Shrimpton,《部分指定通道:无省略的TLS 1.3记录层》,D.Lie,M.Mannan,M.Backes,X.Wang,编辑,ACM CCS 2018,第1415-1428页。ACM出版社(2018)。doi:10.1145/3243734.3243789 [89] K.G.Paterson,T.van der Merwe,《TLS的反应式和主动式标准化》,载于L.Chen,D.A.McGrew,C.J.Mitchell,《安全标准化研究:第三届国际会议》(SSR 2016)编辑,计算机科学讲稿第10074卷,第160-186页,美国马里兰州盖瑟斯堡,2016年12月5-6日。施普林格·Zbl 1351.94001号 [90] E.Rescorla,传输层安全(TLS)协议1.3版。RFC 8446(建议标准)(2018)。https://www.rfc-editor.org/rfc/rfc8446.txt,doi:10.17487/RFC8446 [91] P.Rogaway,《形式化人类无知》,P.Q.Nguyen主编,《密码学进展-VIETCRYPT 06》,LNCS第4341卷,第211-228页。斯普林格,海德堡(2006)·Zbl 1295.94138号 [92] E.Rescorla,H.Tschofenig,N.Modadugu,数据报传输层安全(DTLS)协议1.3版-draft-ietf-tls-dtls13-33。https://tools.ietf.org/html/draft-ietf-tls-dtls13-33 (2019) [93] P.Schwabe,D.Stebila,T.Wiggers,《无握手签名的后量子TLS》,J.Ligatti,X.Ou,J.Katz,G.Vigna编辑,ACM CCS 20,第1461-1480页。ACM出版社(2020)。数字对象标识代码:10.1145/3372297.3423350 [94] M.Thomson,S.Turner,使用TLS保护QUIC-draft-ietf-QUIC-TLS-29。https://tools.ietf.org/html/draft-ietf-quic-tls-29 (2020) 此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。