Протоколы выработки сеансовых ключей

Если каждый абонент помещает в сертифицированный справочник свою " заготовку" для выработки общих секретных ключей, как это было описано в предыдущем пункте, то секретный ключ, который может быть выработан двумя данными абонентами, определен однозначно. Но это означает, что в случае утери или компрометации секретного ключа оба абонента должны заменить свои заготовки в справочнике, что весьма неудобно, так как затрагивает их общие секретные ключи с любыми другими абонентами. Решение этой проблемы видится в использовании протоколов выработки сеансовых ключей. В таком протоколе абоненты записывают в справочник свои открытые ключи, которые используются для выработки сеансовых ключей. При этом утеря или компрометация сеансового ключа не должна компрометировать открытые ключи или требовать их замены.

Предположим, что противнику известны, кроме транскрипции диалога законных участников в текущем сеансе выполнения протокола выработки сеансовых ключей, транскрипция диалога этих участников и соответствующий общий секретный ключ в некотором прошлом сеансе. В этом случае он может провести атаку, названную в работе Якоби атакой с известным ключом (knownkeyattack). Атаку с использованием только транскрипции диалога законных участников в текущем сеансе мы назовем атакой с известным шифртекстом. В приведен пример протокола типа Диффи -- Хеллмана, (гипотетически) стойкого против атаки с известным шифртекстом, но нестойкого против атаки с известным ключом (в случае пассивного противника). Существование таких протоколов названо в этой статье " парадоксом распределения ключей".

В той же работе предлагается модификация протокола типа Диффи -- Хеллмана по составному модулю, стойкость которой против атаки с известным ключом даже в случае активного противника такая же, как и стойкость исходного протокола против атаки с известным шифртекстом в случае пассивного противника. Пусть и -- различные простые числа, -- модуль исходного протокола, а -- его база. Считается, что и секретны (они могут быть выбраны центром доверия и храниться им в секрете), а и общедоступны. Предполагается также, что участники A и B имеют секретные ключи и соответственно и открытые ключи и соответственно. Модифицированный протокол заключается в следующем:

1. A выбирает , вычисляет и посылает его B, сохраняя в секрете.

2. B выбирает , вычисляет и посылает его A, сохраняя в секрете.

3. A вычисляет .

4. B вычисляет .

Очевидно, что

и

Поэтому является искомым общим секретным ключом.

Доказательство стойкости против атаки с известным ключом для этого протокола использует тот факт, что противник, не знающий секретных ключей, может сам генерировать информацию, имеющую то же самое распределение, что и возможные транскрипции диалога участников и соответствующие общие секретные ключи.