第四章 安全性分析
第二節 針對一般攻擊法的安全性討論
接下來我們將會針對在第二章所介紹過的攻擊方式來討論,為什麼這 樣的攻擊方式對我們的PS 協定無法產生效果,最後並加上兩個特殊情況 的討論,也就是當客戶的秘密資訊洩漏,以及當服務者的秘密資訊洩漏時 所可能產生的問題。
一、 竊聽攻擊法:單純的竊聽攻擊法所得到的訊息有ρ,σ,µ,r1,r2, r3,v1,v2,c,w3,其中ρ,σ,v1,v2,r1,r2,r3,w3,不包含通 行碼π的資訊,而要從µ得到通行碼π的資訊等於由公開金鑰z去計算 通行碼π,也就是說要破解ElGamal加密機制,也就是說,如果我 們能解離散對數,那麼就可以破解ElGamal加密系統,但是根據DH 假設,要解離散對數問題在計算上來講是很困難的。而如果要從 得到通行碼π的資訊,則必須先計算出 1,若要由 得到 的資訊,
同樣的要能破解ElGamal加密機制,而若要由c得到 的資訊,則必 須對 解一個離散對數的問題,同樣地根據離散對數假 設,要解一個離散對數的問題在計算上來講是很困難的,因此我 們說可以抵擋竊聽攻擊法。
w
1k v
2k
1k
13 2 1
3 2 1k
, g
k, g
kg
32
-二、 重送攻擊法:由於每次Client在做身份認證時,都會選擇不同的t1
值,如果直接使用ρ,及r3來重送確認Server的身份時,在Server回 送σ,r1,r2,要確認Client的身份時,由於攻擊者不知道正確的α 與π的值,所以無法回送利用ElGamal加密的正確δ,因此在認證 Client身份時就會失敗。
三、 字典攻擊法:對於即時的字典攻擊法,在 Server 確認 Client 端身 份時,Client 必須計算出 ρ,但是要計算出 ρ 必須同時有 π 和 α 的 資訊,所以即時的字典攻擊法無法成功,同樣地,對於離線的字 典攻擊法也無法成功,攻擊者必須能解離散對數問題才能得到通 行碼π 的資訊。
四、 Denny-Sacco 攻擊法:在這個攻擊法中,我們假設攻擊者取得了之 前曾經產生過的數位簽章,並利用這個簽章來猜測出通行碼,然 而這個攻擊法在我們的協定中是不可能的,因為我們產生的數位 簽章是知識簽章,也就是零知識非互動式的證明系統,因此想藉 由我們的數位簽章來猜測出通行碼是不可能的。
五、 中間人攻擊法:如果攻擊者位於客戶與服務者之間,企圖同時扮 演兩個角色是不可能的,因為我們的PS 認證過程是利用公開金鑰 來做認證,攻擊者沒有相對的私密金鑰,因此無法同時偽裝客戶 與服務者。
六、 小型子群限制:在我們的協定中所選取的 p 是一個安全的質數,
也就是說除了基數為 2 和基數為 q 的兩個子群外,不會有其他的 子群,因此只要檢查協定中的值避免落在較小的子群就可以抵擋 小子群限制的攻擊方式。
七、 行動裝置所擁有的秘密資訊α洩漏:若α洩漏,則可以利用公開的 值計算出
g
1π⋅ g
3βmod p
,k mod
2q
,g
1k1, g
3k3mod p
的值,接著我們33
-能利用 乘以 算出 如果要