由於本論文所探討的金鑰協同協定是運用在動態會議的環境上,即成員可隨 時動態地加入或離開會議,而綜合所看過的文獻資料[8][15]指出,基於安全性的 考量,一個動態會議金鑰協定必須滿足幾個重要條件,因此,在本小節中,先對 本論文所提出的方法做驗證,證明此協定符合該安全條件,其次再將本論文所提 的方法與 Huang & Chang 的方法做比較,說明是否真正解決了之前所分析出的問 題。
4.1.1 動態會議金鑰協定條件驗證
以下幾點是一個動態會議金鑰協定所應俱有的安全條件,且各個條件之間並 非相互獨立,而是互有關聯的,例如前推與後推安全性同時也必需包含群組金鑰 的安全。
群組金鑰安全 (Group Key Secrecy)
保證對於一個消極型攻擊者而言,其想求出會議成員所產生的群組金鑰,為 計算上之不可能。
金鑰獨立性 (Key Independence)
保證對於一個消極型攻擊者而言,若知道任何一部份的群組金鑰資訊,其仍 無法由此推出群組金鑰的其它部份資訊。
前推安全性 (Forward Security)
保證對於一個已知舊有群組金鑰的消極型攻擊者而言,其無法利用此資訊計 算或推出未來的群組金鑰。
後推安全性 (Backward Security)
保證對於一個已知現有群組金鑰的消極型攻擊者而言,其無法利用此資訊計 算或推出過去的群組金鑰。
在動態會議金鑰協定條件驗證中:
(1).關於群組金鑰安全方面,本論文所提的方法採用密碼
P
對成員的貢獻值 及隨機產生的nonce值做加密,且唯有合法的成員才知道密碼P
,對於一個非法 的使用者而言,雖然可以取得合法成員所送之封包,但由於其不知道密碼P
,加上受制於 的影響,仍無法解出其中所含成員的貢獻值,也就無法計算出最
後的群組金鑰。
nonce
(2).關於金鑰獨立性方面,本論文所提的方法中群組金鑰是由所有成員的貢 獻值經由 XOR 運算後所產生的結果,沒有一個成員可以僅靠部份成員的貢獻值 便計算出會議金鑰。
(3).關於前推安全性與後推安全性方面,必需同時檢視成員加入及離開時所 採用的演算法,由前幾章的介紹可以了解到本論文所提的方法是建立在 Huang 與 Chang 方法中的架構之上,且沒有變更其成員架構,因此可以採用 Huang 與 Chang 所提的成員加入及離開演算法[8],來處理會環境中成員加入及離開的動 作,以達到前推安全性與後推安全性。
4.1.2 與 Huang & Chang 的方法比較
此小節主要是針對本論文在 3.1 節中所分析的問題做檢驗,檢驗本論文所提 的方法是否克服了該問題;同樣地,在一個 Ad Hoc 無線網路的環境下,配合本 論文所提的方法做 Key Agreement 時,假設一個安全攻擊者有能力擷取到此協定 過程的所有封包,則其可以擷取到的封包資料列於表 4-1 如下:
表 4-1. 執行本論文所提的方法時,攻擊者可收集到的所有封包
p
ID nonce nonce
E
pt <= (n-1)/2 ; c > (n-1)/2 互身份認證(mutual authentication)的機制,且 nonce值是每次送出資 料之前所產生的隨機數,每次傳送時皆會不同,當攻擊者利用其所舉例說明:
nonce4 nonce4
P
,只能將 、9 避免密碼猜測攻擊 (Password Guessing Attack)
在本論文所提的方法中,攻撃者所能竊取到的封包資料除了 為
及隨機值 nonce皆為攻擊者所不知,因此攻擊者無法利用明文攻擊 或密文攻擊來求得密碼
P
。9 改善執行效率上的問題
關於本論文在 3-1 節所述的執行效率上的問題,將在下一小節做詳 細的分析。