×
桥本圭太郎;胜本、水池;克里斯·奎亚特科夫斯基;托马斯·普雷斯特

信号握手(X3DH)的高效通用构造:量子后、状态泄漏安全和可否认。 (英语) Zbl 1487.94120号

J.密码学 35,第3号,第17号论文,78页(2022年).
概述:Signal协议是一种安全的即时消息协议,它为WhatsApp、Skype、Facebook Messenger等众多应用程序的安全奠定了基础。Signal协议由两个子协议组成,即X3DH协议和双棘轮协议,后者最近受到了广泛关注。例如,J.阿尔文等【Lect.Notes Compute.Sci.11476,129–158(2019年;Zbl 1470.94101号)]提供了一个具体的安全模型,以及一个基于简单构建块的通用构造,这些构建块可以从通用假设(包括后量子假设)中实例化。相反,据我们所知,专注于X3DH协议的工作似乎有限。在这项工作中,我们将X3DH协议转换为一种特定类型的认证密钥交换(AKE)协议,我们称之为信令一致的AKE协议,并在AKE协议的大量先前工作的基础上正式定义了其安全模型。然后,我们基于标准密码原语(如密钥封装机制(KEM)和签名方案)提供了第一个高效的信令一致AKE协议的通用构造。具体来说,这导致了基于既定假设的X3DH协议的首次量子后安全替换。与X3DH协议类似,我们的信令一致AKE协议提供了强大(或更强)的安全性,即使长期机密和特定会话机密的所有非平凡组合都受到破坏,交换的密钥仍然是安全的。此外,我们的协议具有弱可否认性,我们进一步展示了如何使用环签名和/或非交互式零知识证明系统来逐步加强它。最后,我们为我们的(弱可否认)协议提供了一个完整的通用C实现。我们将其与NIST量子后标准化过程中的几个第三轮候选(决赛选手和候补选手)进行实例化,并比较由此产生的带宽和计算性能。我们的实现是公开的。

MSC公司:

94A60型 密码学
94A62型 身份验证、数字签名和秘密共享
81页94 量子密码术(量子理论方面)

关键词:

安全即时消息协议;信号协议

引文:

兹比尔1470.94101

软件:

CSI-菲什;曲线25519;github;NAXOS公司;HMQV公司
PDF格式BibTeX公司 XML格式引用
\textit{K.Hashimoto}等人,J.Cryptology 35,No.3,论文编号17,78 p.(2022;Zbl 1487.94120)
全文: 内政部

参考文献:

[1] D.Aharonov,O.Regev,NP-cap coNP中的格问题,第45届FOCS(IEEE计算机社会出版社,2004),第362-371页
[2] J.Alawatugoda,D.Stebila,C.Boyd,《密钥交换的事后泄漏建模》,S.Moriai,T.Jaeger,K.Sakurai,编辑,ASIACCS 14(ACM出版社,2014),第207-216页·Zbl 1337.94017号
[3] J.Alwen,S.Coretti,Y.Dodis,《双棘轮:信号协议的安全概念、证明和模块化》,载Y.Ishai,V.Rijmen,编辑,EUROCRYPT 2019,第一部分,LNCS第11476卷(施普林格,海德堡,2019),第129-158页·Zbl 1470.94101号
[4] C.Bader,D.Hofheinz,T.Jager,E.Kiltz,Y.Li,《加密认证密钥交换》,Y.Dodis,J.B.Nielsen编辑,TCC 2015,第一部分,LNCS第9014卷(斯普林格,海德堡,2015),第629-658页·Zbl 1359.94571号
[5] M.Bellare,《NMAC和HMAC的新证明:无抗碰撞的安全性》,C.Dwork,CRYPTO编辑,2006年,LNCS第4117卷(斯普林格,海德堡,2006年),第602-619页·Zbl 1161.68437号
[6] Bellare,M.,《NMAC和HMAC的新证明:无防撞安全性》,J.Cryptol。,2844-878(2015年)·Zbl 1332.94056号 ·文件编号:10.1007/s00145-014-9185-x
[7] M.Bellare,A.Desai,D.Pointcheval,P.Rogaway,公开密钥加密方案安全性概念之间的关系,收录于H.Krawczyk,编辑,CRYPTO’98,LNCS第1462卷(Springer,Heidelberg,1998),第26-45页·2014年9月31日Zbl
[8] M.Bellare,A.Palacio,《走向无随机预言的纯文本软件公钥加密》,P.J.Lee,编辑,ASIACRYPT 2004,LNCS第3329卷(Springer,Heidelberg,2004),第48-62页·Zbl 1094.94506号
[9] M.Bellare,P.Rogaway,《实体认证和密钥分发》,D.R.Stinson主编,《93年密码》,LNCS第773卷(Springer,Heidelberg,1994),第232-249页·Zbl 0870.94019号
[10] M.Bellare,P.Rogaway,《最佳非对称加密》,载于A.D.Santis,编辑,EUROCRYPT’94,LNCS第950卷(Springer,Heidelberg,1995),第92-111页·Zbl 0881.94010号
[11] M.Bellare、A.C.Singh、J.Jaeger、M.Nyayapati、I.Stepanovs,《棘轮加密和密钥交换:消息传递的安全性》,J.Katz、H.Shacham编辑,《密码》2017,第三部分,LNCS第10403卷(施普林格,海德堡,2017),第619-650页·Zbl 1418.94032号
[12] D.J.Bernstein,Curve25519:新的Diffie-Hellman速度记录,载于M.Yung,Y.Dodis,A.Kiayias,T.Malkin,PKC 2006编辑,LNCS第3958卷(Springer,Heidelberg,2006),第207-228页·Zbl 1151.94480号
[13] W.Beullens、S.Katsumata、F.Pintore、Calamari和Falafl:等基因和晶格的对数(可链接)环签名,收录于S.Moriai、H.Wang主编,《2020年亚洲循环》第二部分,LNCS第12492卷(斯普林格,海德堡,2020年),第464-492页·Zbl 1511.94170号
[14] W.Beullens,T.Kleinjung,F.Vercauteren,《CSI-FiSh:通过类群计算实现基于等基因的高效签名》,载于S.D.Galbraith,S.Moriai,编辑,《2019年亚洲学报》,第一部分,LNCS第11921卷(斯普林格,海德堡,2019),第227-247页·Zbl 1456.94050号
[15] S.Blake-Wilson,D.Johnson,A.Menezes,《密钥协议及其安全性分析》,载于M.Darnell主编,第六届IMA国际密码与编码会议,LNCS第1355卷(Springer,Heidelberg,1997),第30-45页·Zbl 0904.94008号
[16] S.Blake-Wilson,A.Menezes,《站对站(STS)协议的未知密钥共享攻击》,H.Imai,Y.Zheng编辑,PKC’99,LNCS第1560卷(Springer,Heidelberg,1999),第154-170页·Zbl 0929.68056号
[17] X.Bonnetain,A.Schrotenloher,《CSIDH的量子安全分析》,A.Canteaut,Y.Ishai,编辑,EUROCRYPT 2020,第二部分,LNCS第12106卷(施普林格,海德堡,2020),第493-522页·Zbl 1492.81039号
[18] Z.Brakerski,Y.T.Kalai,标准模型中高效签名、环签名和基于身份加密的框架。Cryptology ePrint Archive,报告2010/086(2010)。https://eprint.iacr.org/2010/086
[19] J.Brendel,R.Fiedler,F.Gunther,C.Janson,D.Stebila,量子后异步可否认密钥交换和信号握手。加密电子打印档案,报告2021/769(2021)
[20] J.Brendel、M.Fischlin、F.Gunther、C.Janson、D.Stebila,《信号X3DH握手的后量子安全》,收录于O.Dunkelman、M.J.Jacobson,Jr.、C.O'Flynn,编辑,《密码学中的选定领域》(Springer,Cham,2020),第404-430页·Zbl 1485.94065号
[21] R.Canetti,H.Krawczyk,《密钥交换协议分析及其在构建安全通道中的应用》,B.Pfitzmann,编辑,EUROCRYPT 2001,LNCS第2045卷(Springer,Heidelberg,2001),第453-474页·Zbl 0981.94032号
[22] R.Canetti,H.Krawczyk,IKE基于签名的密钥交换协议的安全分析,M.Yung,编辑,CRYPTO 2002,LNCS第2442卷(Springer,Heidelberg,2002),第143-161页。https://eprint.iacr.org/2002/120/ ·Zbl 1026.94524号
[23] D.Cash,E.Kiltz,V.Shoup,孪生Diffie-Hellman问题和应用,收录于N.P.Smart,编辑,EUROCRYPT 2008,LNCS第4965卷(Springer,Heidelberg,2008),第127-145页·Zbl 1149.94307号
[24] K.Cohn-Gordon,C.Cremers,B.Dowling,L.Garratt,D.Stebila,信号传递协议的正式安全分析,IEEE欧洲安全与隐私研讨会(EuroS&P)(2017),第451-466页·Zbl 1453.94133号
[25] 科恩-戈登,K。;Cremers,C。;道林,B。;加拉特,L。;Stebila,D.,《信号消息协议的形式安全分析》,J.Cryptol。,33, 4, 1914-1983 (2020) ·Zbl 1453.94133号 ·doi:10.1007/s00145-020-09360-1
[26] K.Cohn-Gordon,C.Cremers,K.Gjösteen,H.Jacobsen,T.Jager,《具有最佳紧密性的高效密钥交换协议》,载于A.Boldyreva,D.Micciancio编辑,《密码2019》第三部分,LNCS第11694卷(斯普林格,海德堡,2019),第767-797页·Zbl 1509.94077号
[27] C.Cremers,《检查密钥交换协议的基于不可区分性的安全模型:CK、CK-HMQV和eCK的案例》,收录于B.S.N.Cheung、L.C.K.Hui、R.S.Sandhu、D.S.Wong,ASIACCS 11编辑(ACM出版社,2011年),第80-91页
[28] C.J.F.Cremers,Session-state disclose is stronger than ephemeral key disclose:attaking the NAXOS authenticated key exchange protocol,载于M.Abdalla,D.Pointcheval,P.-A.Fouque,D.Vergnaud,ACNS 09编辑,LNCS第5536卷(斯普林格,海德堡,2009),第20-33页
[29] C.J.F.Cremers,M.Feltz,《超越eCK:演员妥协和短暂密钥泄露下的完美前向保密》,载于S.Foresti,M.Yung,F.Martinelli,编辑,ESORICS 2012,LNCS第7459卷(斯普林格,海德堡,2012),第734-751页·Zbl 1351.94038号
[30] B.de Kock,K.Gjösteen,M.Veroni,《具有最佳紧度的实用基于同系的密钥交换》,载于O.Dunkelman,M.J.Jacobson,Jr.,C.O'Flynn,编辑,《密码学中的选定领域》(Springer,Cham,2020),第451-479页·Zbl 1485.94079号
[31] C.de Saint Guilhem,M.Fischlin,B.Warinschi,《密钥交换中的认证:定义、关系和组成》,L.Jia,R.Küsters编辑,CSF 2020计算机安全基础研讨会(IEEE计算机社会出版社,2020),第288-303页
[32] M.Di Raimondo,R.Gennaro,H.Krawczyk,《拒绝认证和密钥交换》,载于A.Juels,R.N.Wright,S.De Capitani Di Vimercati,编辑,ACM CCS 2006(ACM出版社,2006),第400-409页
[33] Diffie,W。;Van Oorschot,PC公司;Wiener,MJ,认证和认证密钥交换,Des。密码。,2, 2, 107-125 (1992) ·doi:10.1007/BF00124891
[34] S.Dobson,S.D.Galbraith,与SIDH达成后量子信号密钥协议。Cryptology ePrint档案,报告2021/1187(2021)。https://ia.cr/2021/1187
[35] Y.Dodis,J.Katz,A.Smith,S.Walfish,《可组合性和在线拒绝认证》,收录于O.Reingold,编辑,TCC 2009,LNCS第5444卷(Springer,Heidelberg,2009),第146-162页·Zbl 1213.94155号
[36] F.B.Durak,S.Vaudenay,具有线性复杂性的双向异步棘轮密钥协议,载于N.Attrapadung,T.Yagi,IWSEC 19编辑,LNCS第11689卷(Springer,Heidelberg,2019),第343-362页
[37] M.F.Esgin,R.Steinfeld,J.K.Liu,D.Liu,《基于格的零知识证明:缩短和加快构造和应用的新技术》,载于A.Boldyreva,D.Micciancio,编辑,《密码2019》,第一部分,LNCS第11692卷(斯普林格,海德堡,2019),第115-146页·Zbl 1456.94075号
[38] M.F.Esgin,R.Steinfeld,A.Sakzad,J.K.Liu,D.Liu,《基于短格的单选证明及其在环签名中的应用》,R.H.Deng,V.Gauthier-UmañA,M.Ochoa,M.Yung,编辑,ACNS 19,LNCS第11464卷(Springer,Heidelberg,2019),第67-88页·Zbl 1458.94299号
[39] M.F.Esgin,R.K.Zhao,R.Steinfeld,J.K.Liu,D.Liu,MatRiCT:高效、可扩展和后量子区块链保密交易协议,载于L.Cavallaro,J.Kinder,X.Wang,J.Katz,编辑,ACM CCS 2019(ACM出版社,2019),第567-584页
[40] M.Fischlin,《使用在线提取器进行高效的非交互知识证明》,收录于V.Shoup,CRYPTO编辑,2005年,LNCS第3621卷(斯普林格,海德堡,2005年),第152-168页·Zbl 1145.94467号
[41] P.-A.Fouque,D.Pointcheval,S.Zimmer,HMAC是一种随机抽取器,并应用于TLS,载于M.Abe,V.Gligor,ASIACCS 08编辑(ACM出版社,2008年),第21-32页
[42] E.S.V.Freire,D.Hofheinz,E.Kiltz,K.G.Paterson,非交互式密钥交换,收录于K.Kurosawa,G.Hanaoka,PKC 2013编辑,LNCS第7778卷(斯普林格,海德堡,2013),第254-271页·Zbl 1314.94069号
[43] A.Fujioka、K.Suzuki、K.Xagawa和K.Yoneyama,来自因子、代码和格的强安全认证密钥交换,收录于M.Fischlin、J.Buchmann和M.Manulis,PKC 2012编辑,LNCS第7293卷(施普林格,海德堡,2012),第467-484页·兹比尔1300.94106
[44] A.Fujioka,K.Suzuki,K.Xagawa,K.Yoneyama,从单向安全密钥封装机制进行实用和量子后认证密钥交换,收录于K.Chen,Q.Xie,W.Qiu,N.Li,W.-G.Tzeng,编辑,ASIACCS 13(ACM出版社,2013年),第83-94页
[45] K.Gjösteen,T.Jager,《实用且安全的数字签名和认证密钥交换》,H.Shacham,A.Boldyreva,编辑,《2018年密码体制》,第二部分,LNCS Springer第10992卷,海德堡,2018年),第95-125页·Zbl 1436.94104号
[46] S.Guo,P.Kamath,A.Rosen,K.Sotiraki,基于(环)LWE的非交互式密钥交换的效率限制,载于A.Kiayas,M.Kohlweiss,P.Wallden,V.Zikas,编辑,PKC 2020,第一部分,LNCS第12110卷(斯普林格,海德堡,2020),第374-395页·Zbl 1479.94183号
[47] K.Hashimoto,S.Katsumata,K.Kwiatkowski,T.Prest,《信号握手(X3DH)的高效通用构造:量子后、状态泄漏安全和可否认》,J.Garay主编,PKC 2021,第二部分,LNCS第12711卷(斯普林格,海德堡,2021),第410-440页·Zbl 1514.94096号
[48] K.Hövelmanns,E.Kiltz,S.Schäge,D.Unruh,量子随机预言模型中的通用认证密钥交换,载于A.Kiayas,M.Kohlweiss,P.Wallden,V.Zikas,编辑,PKC 2020,第二部分,LNCS第12111卷(斯普林格,海德堡,2020),第389-422页·Zbl 1481.94144号
[49] T.Jager,E.Kiltz,D.Riepel,S.Schäge,《加密认证密钥交换》,重访,A.Canteaut,F.-X.Standaert,编辑,《欧洲密码2021》第一部分,LNCS第12696卷(施普林格,海德堡,2021),第117-146页·Zbl 1479.94325号
[50] D.Jost,U.Maurer,M.Mularczyk,《高效棘轮:安全消息传递的最佳保证》,Y.Ishai,V.Rijmen,编辑,《2019年欧洲密码》第一部分,LNCS第11476卷(施普林格,海德堡,2019),第159-188页·Zbl 1470.94103号
[51] D.Jost、U.Maurer、M.Mularczyk,《棘轮的统一和可组合性》,载于D.Hofheinz、A.Rosen编辑,TCC 2019,第二部分,LNCS第11892卷(施普林格,海德堡,2019),第180-210页·Zbl 1455.94167号
[52] T.Kawashima,K.Takashima,Y.Aikawa,T.Takagi,CSIDH上随机自约性的有效认证密钥交换,D.Hong,ICISC 20编辑,LNCS第12593卷(Springer,Heidelberg,2020),第58-84页·Zbl 07497440号
[53] H.Krawczyk,HMQV:一种高性能安全Diffie-Hellman协议,收录于V.Shoup,编辑,CRYPTO 2005,LNCS第3621卷(Springer,Heidelberg,2005),第546-566页·Zbl 1145.94445号
[54] K.Kurosawa,J.Furukawa,来自CPA-secure KEM的二通密钥交换协议,J.Benaloh,编辑,CT-RSA 2014,LNCS第8366卷(Springer,Heidelberg,2014),第385-401页·兹比尔1337.94046
[55] K.Kwiatkowski,信号握手(X3DH)的高效通用构造:量子后,状态泄漏安全,可否认。概念验证实施(2020年)。https://github.com/post-quantum-cryptography/post-quantum state-leakage-secure-ake
[56] K.Kwiatkowski,PQ加密目录(2020年)。https://github.com/kriskwiatkowski/pqc
[57] LibTomCrypt。https://github.com/libtom/libtomcrypt网站
[58] B.A.LaMacchia,K.Lauter,A.Mityagin,《认证密钥交换的更强安全性》,W.Susilo,J.K.Liu,Y.Mu编辑,ProvSec 2007,LNCS第4784卷(Springer,Heidelberg,2007),第1-16页·Zbl 1138.94381号
[59] Y.Li,S.Schäge,无匹配攻击和稳健合作定义:为安全协议定义琐碎攻击并非微不足道,见B.M.Thuraisingham,D.Evans,T.Malkin,D.Xu,编辑,ACM CCS 2017(ACM出版社,2017),第1343-1360页
[60] X.Lu,M.H.Au,Z.Z.Zhang,《猛禽:一种实用的基于格的(可链接的)环签名》,收录于R.H.Deng,V.Gauthier-Umaña,M.Ochoa,M.Yung,编辑,ACNS 19,LNCS第11464卷(Springer,Heidelberg,2019),第110-130页·Zbl 1458.94306号
[61] V.Lyubashevsky、L.Ducas、E.Kiltz、T.Lepoint、P.Schwabe、G.Seiler、D.Stehlé、S.Bai、CRYSTALS-DILITHIUM。技术报告,国家标准与技术研究所(2020年)。可在获取https://csrc.nist.gov/projects/post-quantum-cryptography/round-3-提交
[62] M.Marlinspike和T.Perrin,《双棘轮算法》(2016)。https://signal.org/docs/specifications/双棘轮/
[63] M.Marlinspike,T.Perrin,《X3DH密钥协议》(2016)。https://signal.org/docs/specifications/x3dh/
[64] S.Myers,M.Sergi,A.shelat,基于明文意识的非延展性CCA1加密方案的黑盒构建,收录于I.Visconti,R.D.Prisco,编辑,SCN 12,LNCS第7485卷(Springer,Heidelberg,2012),第149-165页·Zbl 1310.94162号
[65] C.Paquin,D.Stebila,G.Tamvada,《TLS中的后量子加密基准》,J.Ding,J.-P.Tillich,编辑,《后量子加密-第十一届国际会议》,PQCrypto 2020(斯普林格,海德堡,2020),第72-91页·Zbl 1513.81034号
[66] R.Pass,《关于公共参考字符串和随机预言模型中的可否认性》,D.Boneh主编,CRYPTO 2003,LNCS第2729卷(Springer,Heidelberg,2003),第316-337页·Zbl 1122.94394号
[67] C.Peikert,《他为CSIDH提供C-sieves》,载于A.Canteaut,Y.Ishai,编辑,《欧洲密码2020》,第二部分,LNCS第12106卷(斯普林格,海德堡,2020),第463-492页·Zbl 1492.81043号
[68] T.Perrin,《XEdDSA和VXEdDSA签名方案》(2016年)。https://signal.org/docs/specifications/xeddsa/
[69] B.Poettering,P.Rösler,《迈向双向棘轮密钥交换》,H.Shacham,A.Boldyreva编辑,CRYPTO 2018,第一部分,LNCS第10991卷(Springer,Heidelberg,2018),第3-32页·1420.94090兹罗提
[70] D.Pointcheval,O.Sanders,前向安全非交互式密钥交换,M.Abdalla,R.D.Prisco,编辑,SCN 14,LNCS第8642卷(Springer,Heidelberg,2014),第21-39页·Zbl 1309.94151号
[71] T.Prest、P.-A.Fouque、J.Hoffstein、P.Kirchner、V.Lyubashevsky、T.Pornin、T.Ricosset、G.Seiler、W.Whyte、Z.Zhang、FALCON。技术报告,国家标准与技术研究所(2020年)。可在https://csrc.nist.gov/projects/post-quantum-cryptography/round-3-提交
[72] 信号协议:技术文件。https://signal.org/docs网站/
[73] N.Unger,I.Goldberg,安全消息的可否认密钥交换,I.Ray,N.Li,C.Kruegel,编辑,ACM CCS 2015(ACM出版社,2015),第1211-1223页
[74] Unger,N。;Goldberg,I.,《改进安全消息的强可否认认证密钥交换》,PoPET,2018,1,21-66(2018)
[75] N.Vatandas,R.Gennaro,B.Ithurburn,H.Krawczyk,《关于信号协议的密码可否认性》,载于M.Conti,J.Zhou,E.Casalicchio,A.Spognardi,编辑,ACNS 20,第二部分,LNCS第12147卷(斯普林格,海德堡,2020),第188-209页·Zbl 07314391号
[76] H.Xue,M.H.Au,R.Yang,B.Liang,H.Jiang,量子随机预言模型中的紧凑认证密钥交换。《加密电子打印档案》,《2020年/1282年报告》(2020年)。https://eprint.iacr.org/2020/1282
[77] H.Xue,X.Lu,B.Li,B.Leang,J.He,通过双密钥封装机制理解和构建AKE,收录于T.Peyrin,S.Galbraith,编辑,2018年亚洲期刊,第二部分,LNCS第11273卷(斯普林格,海德堡,2018),第158-189页·Zbl 1446.94162号
[78] Z.Yang,《为已认证的密钥交换建模同时相互认证》,载于J.L.Danger、M.Debbabi、J.-Y.Marion、J.Garcia Alfaro、N.Zincir Heywood,编辑,《安全基础与实践》(Springer,Cham,2014),第46-62页
[79] Z.Yang,Y.Chen,S.Luo,《理想格中具有强安全性的双消息密钥交换》,N.P.Smart主编,CT-RSA 2018,LNCS第10808卷(Springer,Heidelberg,2018),第98-115页·Zbl 1507.94058号
[80] A.C.-C.Yao,Y.Zhao,Deniable internet key exchange,载于J.Zhou,M.Yung,编辑,ACNS 10,LNCS第6123卷(Springer,Heidelberg,2010),第329-348页·Zbl 1350.94056号
[81] T.H.Yuen,M.F.Esgin,J.K.Liu,M.H.Au,Z.Ding,DualRing:带有效实例化的环签名的一般构造,收录于T.Malkin,C.Peikert,编辑,《密码体制2021》,第一部分,LNCS第12825卷(斯普林格,海德堡,2021),第251-281页·Zbl 1485.94125号
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。