Protokoły GKA są zaprojektowane tak, aby zapewnić kilka właściwości dla klucza sesyjnego generowanego do użytku przez uczestników, takich jak prywatność klucza, potwierdzenie klucza, wkład klucza, odporność na ataki podszywania się i doskonałe utajnienie przekazywania [6]. Formalna analiza bezpieczeństwa ustala pierwsze cztery właściwości protokołów, a taki dowód jest niezbędny do akceptacji protokołów do użytku przez grupy. Jednak doskonałe utajnienie przekazywania jest właściwością skomplikowaną obliczeniowo do osiągnięcia w protokole, a zatem kilka protokołów proponowanych w literaturze nie spełnia tego warunku lub raczej spełnia podobne właściwości w mniejszym stopniu. Autorzy tego rozdziału proponują miernik bezpieczeństwa, DPFS, do analizowania i porównywania poufności przekazywania oferowanej przez różne protokoły uwierzytelniania klucza grupowego. Ponieważ metryka jest oparta na prawdopodobieństwie utraty poufności różnych komponentów protokołu, obliczenie tej metryki może służyć jako miara zaufania, na podstawie której przyszli i istniejący członkowie mogą podejmować decyzje o dołączeniu do grupy i uczestnictwie w niej. Ponieważ zrozumienie tajemnicy przekazywanej dalej ma kluczowe znaczenie dla prześledzenia pozostałej części tego rozdziału, koncepcje opisano poniżej.
Doskonała poufność przekazywania informacji
Uczestnicy protokołu GKA (czyli członkowie grupy) posiadają tajemnice długoterminowe i krótkoterminowe. Sekrety krótkoterminowe obowiązują tylko na sesję protokołu, podczas gdy sekrety długoterminowe obowiązują przez kilka sesji, a nawet przez okres istnienia uczestnika w Internecie. Te długoterminowe tajemnice (np. Klucze prywatne uczestników, funkcje skrótu, podpisy lub jakikolwiek inny klucz ważny podczas wielu sesji z różnymi uczestnikami), jak również tajemnice krótkoterminowe, stanowią część wkładu uczestników w obliczanie klucz sesji. Ponieważ długoterminowe sekrety są ważne w różnych sesjach, istnieje większe prawdopodobieństwo, że zostaną ujawnione w długim okresie czasu. Ponadto członek grupy może migrować do innej grupy, co skutkuje kompromisem (tj. Wiedzą osoby spoza grupy) kluczy długoterminowych. Kwestią niepokojącą członków grupy byłoby to, czy ujawnienie kluczy długoterminowych może prowadzić do ujawnienia starych krótkoterminowych sekretów lub kluczy, ponieważ ujawnienie takich sekretów wraz z powtórkami przechowywanych starych wiadomości ujawniłoby wszystkie stare wiadomości. w niezaszyfrowanej formie. Na to pytanie odpowiada właściwość określana jako poufność przekazywania protokołów GKA, która jest zdefiniowana w następujący sposób: „Mówi się, że protokół ma doskonałą poufność przekazywania, jeśli ujawnienie kluczy długoterminowych nie narusza kluczy z poprzednich sesji”. Definicja doskonałej tajemnicy przekazywania dotyczy kompromitacji kluczy długoterminowych. Ale klucze krótkoterminowe można również odzyskać ze sprzętu w dowolnym późniejszym momencie, o ile nie zostaną one wyraźnie usunięte. Dlatego istnieje możliwość, że penetrator, intruz lub osoba postronna zdobędzie te efemeryczne sekrety. Ataki, które mogą ujawnić efemeryczne sekrety, oprócz długoterminowych kluczy uczestników, nazywane są silnymi uszkodzeniami w terminologii analizy bezpieczeństwa. Protokoły GKA, które nie naruszają klucza sesji, nawet w przypadku ujawnienia efemerycznych sekretów, zapewniają silną, doskonałą poufność przekazywania [8]. W tym rozdziale do analizy protokołów GKA uważa się, że intruzi mogą być wysoce skorumpowani, a zatem nie ma rozróżnienia między tajemnicami krótkoterminowymi i długoterminowymi, dlatego też oba są określane jako tajemnice. Doskonałe utajnienie przekazywania wymaga utajnienia wcześniej ustanowionego klucza sesji, nawet jeśli wszystkie długoterminowe sekrety zostały ujawnione. Nie wszystkie protokoły były w stanie zapewnić doskonałą poufność przekazywania. Gdy protokoły są projektowane w celu optymalizacji innych parametrów, takich jak czas obliczeń i liczba rund, musi zostać naruszona idealna poufność przekazywania. Aby zacytować przykład, Boyd i Nieto zaproponowali protokół klucza konferencji , który został zoptymalizowany pod kątem wielu rund, ale nie zapewnia pełnej poufności przekazywania. Słabsza forma doskonałej poufności przekazywania nazywana jest częściową poufnością przekazywania i jest wyjaśniona w następujący sposób : „Protokół zapewnia częściowe utajnienie przekazywania, jeśli kompromitacja kluczy długoterminowych jednego lub większej liczby określonych podmiotów nie narusza poprzednie przebiegi protokołów z udziałem tych zleceniodawców. ”
Doskonałe utajnienie przekazywania uwzględnia utajnienie wcześniej ustanowionego klucza sesji, gdy wszystkie długoterminowe sekrety zostały naruszone, podczas gdy częściowe utajnienie przekazywania uwzględnia utajnienie ustanowionego klucza sesji, gdy niektóre długoterminowe sekrety zostały ujawnione. W związku z tym doskonałe utajnienie przekazywania można postrzegać jako szczególny przypadek częściowego utajnienia przekazywania. Intuicyjnie, spośród protokołów, które spełniają częściowe utajnienie przekazywania, te, które pozwalają na złamanie większej liczby sekretów bez narażania klucza sesji, byłyby silniejsze niż te, które pozwalają na złamanie mniejszej liczby sekretów. Formalna miara do porównywania protokołów w oparciu o ich częściową poufność przekazywania, to znaczy ich poziom tolerancji na kompromitację kluczy długoterminowych, pomogłaby w wyborze protokołu i ewolucji wartości zaufania dla grup, które używają tego protokołu. W dalszej części tego rozdziału zaproponowano formalne ramy oceny różnych protokołów GKA spełniających częściową poufność przekazywania. Struktura obejmuje metrykę do porównania częściowego utajnienia przekazywania protokołów i algorytm obliczania metryki. Propozycja jest dalej zilustrowana w dwóch zbiorach protokołów. Pierwsza kolekcja składa się z protokołów GKA, które używają prymitywu kryptograficznego Diffiego – Hellmana (DH). Doskonałe utajnienie przekazywania jest uważane za atrybut protokołów kryptograficznych opartych na DH, ponieważ klucze efemeryczne są odrzucane po obliczeniu klucza sesji. Ale przy silnym zepsuciu protokoły, które w przeciwnym razie spełniają doskonałą tajemnicę przekazywania, spełniają tylko częściową poufność przekazywania, ponieważ zakłada się, że efemeryczne klucze krótkoterminowe mogły zostać zapisane i / lub wyciekły.
Protokoły oparte na DH mają różne mocne strony w odniesieniu do częściowej tajemnicy przekazywania, w warunkach silnego zepsucia i w zależności od ich projektu. Nasza analiza pomaga ocenić te protokoły i może być wykorzystana przez projektantów protokołów do uzyskania wglądu w to, czy projekty protokołów spełniają wymagane poziomy częściowej poufności przekazywania. Drugi zbiór w zestawie testowym składa się z protokołów GKA, które używają różnych prymitywów kryptograficznych, co ilustruje, że proponowana technika analizy jest niezależna od prymitywów kryptograficznych używanych przez protokoły. W tym miejscu przeanalizujmy przykład aplikacji opartej na grupach, aby zrozumieć wymóg zachowania poufności przekazu. Członkowie grupy mogą chcieć przechowywać poufne dane w zdalnej lokalizacji, takiej jak chmura, szyfrując je kluczem znanym tylko im. Ten klucz zostałby wygenerowany przez protokół GKA. Wybór protokołu GKA z doskonałą poufnością przekazywania lub najsilniejszą częściową poufnością przekazywania zminimalizowałby ryzyko złamania klucza sesji i wynikającą z tego utratę poufności przechowywanych danych w przypadku ujawnienia niektórych sekretów. W literaturze zaproponowano kilka modeli analizy doskonałego utajnienia przekazywania], ale modele oceny i pomiaru częściowej poufności przekazywania nie zostały jeszcze sformułowane. W tym rozdziale model przestrzeni pasm dla protokołów został rozszerzony w celu sformułowania ram oceny częściowej poufności przekazywania. Ponieważ przestrzenie pasm tworzą kręgosłup proponowanej struktury, zostaną opisane w dalszej części.