MTI-protokollat

MTI-protokollat ovat T. Matsumoton , Y. Takashitan ja H. Imain kehittämiä keskeisiä jakeluprotokollia, jotka on nimetty kirjoittajiensa mukaan. MTI-protokollat on jaettu kolmeen protokollaluokkaan: MTI/A, MTI/B, MTI/C. [yksi]

Avainten jakeluprotokolla ratkaisee salaisten salausavainten jakamisen kommunikoivien osapuolten välillä. Tällaisten protokollien joukko on jaettu seuraaviin kolmeen tyyppiin: [2]

vaihtaa protokollia jo luoduille avaimille;
yhteiset avainten luontiprotokollat (julkisen avaimen jakelu);
esiavainten jakeluprotokollat.

MTI-protokollat luokitellaan julkisen avaimen jakeluprotokolliksi.

Julkisen avaimen jakeluprotokollat perustuvat käyttäjien väliseen viestien vaihtoon, jonka tuloksena jokainen käyttäjä laskee salaisen istuntoavaimen. Tässä tapauksessa istuntoavaimen laskeminen ennen viestien vaihtoa on mahdotonta. Siksi näitä protokollia kutsutaan myös [3] dynaamiksi avainten jakeluprotokolliksi, toisin kuin staattisissa protokollissa, joissa avaimet tunnetaan jo ennen itse viestintäistuntoa. Lisäksi istuntoavainten luominen julkisissa jakeluprotokollissa edellyttää käyttäjien tuntevan vain julkiset avaimet, ts. antaa järjestelmän käyttäjäparille mahdollisuuden kehittää jaetun salaisen avaimen vaihtamatta yksityisiä avaimia. Tämä johti siihen, että tällaiset pöytäkirjat herättivät kansainvälisen yhteisön huomion heti vuonna 1976 ilmestymisensä jälkeen.

Historia

Whitfield Diffie ja Martin Hellman ehdottivat ensimmäisen kerran ajatusta avoimen avaimen jakeluprotokollien rakentamisesta kansallisessa tietokonekonferenssissa kesäkuussa 1976. Ja marraskuussa 1976 työssään " New Directions in Cryptography " he ehdottivat ensimmäistä protokollaa julkisen avaimen jakelulle [4] , joka on nimetty tekijöiden nimien mukaan (Diffie-Hellman-protokolla).

Ensimmäinen laatuaan, Diffie-Hellman-protokolla, oli alttiina tietyntyyppisille hyökkäyksille, erityisesti man-in-the-middle -hyökkäyksille [2] . Tämän ongelman ratkaisemiseksi oli tarpeen tarjota käyttäjille todennusmekanismi. Elokuussa 1977 Scientific American -lehden "Mathematical Games" -sarakkeessa julkaistusta RSA :n epäsymmetrisestä salausalgoritmista [5] tuli sellainen mekanismi , joka mahdollisti viestintäongelman ratkaisemisen avoimen kanavan kautta.

Vuonna 1984 Taher El-Gamal ehdotti parannettua Diffie-Hellman-protokollaa , jossa on mahdollisuus yksisuuntaiseen todentamiseen, jolloin vain toinen kommunikoivista osapuolista voi varmistaa toisen aitouden [6] . Toisin kuin RSA , ElGamal- protokollaa ei patentoitu, joten siitä tuli halvempi vaihtoehto, koska lisenssimaksuja ei ollut maksettava. Algoritmin uskotaan kuuluvan Diffie-Hellmanin patenttiin.

Helmikuussa 1986 T. Matsumoto, I. Takashima ja H. Imai esittelivät ratkaisun keskinäisen autentikoinnin ongelmaan ilman RSA :ta [7] . Heidän MTI-protokollissaan jaettu salainen lauseke sisältää sekä laillisten käyttäjien julkiset että yksityiset avaimet. Tämä ratkaisu mahdollistaa todennuksen suorittamisen samanaikaisesti jaetun salaisen avaimen laskennan kanssa (laiton käyttäjä ei voi laskea salaisen avaimen arvoa).

MTI-protokollat sisältyvät tällä hetkellä ISO/IEC 11770-3 [1] -standardiin .

MTI-protokollien kuvaus [1]

Harkitse osapuolten A ja B välistä tiedonvaihtoprosessia . Alla on merkinnät, joita käytetään kuvaamaan MTI-protokollien toimintaa.

$s$	suuri alkuluku (vähintään 1024 bittiä).
$q$	alkuluku (160 bitin suuruusluokkaa), joka on luvun jakaja . $p-1$
$G$	ryhmän alaryhmä (yleensä järjestyksessä , mutta joskus samaan aikaan kanssa ) $\mathbb {Z} _{p}^{}$ $q$ $\mathbb {Z} _{p}^{}$
$g$	alaryhmän luova elementti $G$
$a$ , $b$	osapuolten A ja B yksityiset avaimet
$A$ , $B$	osapuolten A ja B julkiset avaimet : , . $A=g^{a}\ mod\ p$ $\ B=g^{b}\ mod\ p$
$R_{A}$ , $R_{B}$	satunnaiset kokonaisluvut, jotka ovat yleensä samaa suuruusluokkaa kuin ryhmän järjestys ja jotka osapuolet A ja B valitsevat vastaavasti $G$
$M_{A}$ , $M_{B}$	viestit, jotka lähetetään A :sta B :lle ja B :stä A : lle.
$K$	osapuolten A ja B laskema salainen istuntoavain
${\näyttötyyli (a,b)}$	lukujen suurin yhteinen jakaja ja $a$ $b$

Kaikki tulevaisuuden laskelmat tehdään ryhmässä . $\mathbb {Z} _{p}^{*}$

MTI/A(0) [8]

Työalgoritmi

Party valitsee satunnaisen numeron ja lähettää viestin $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=g^{R_{A}}{\bmod {p}}$
Party valitsee satunnaisen numeron ja lähettää viestin $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $A$ $M_{B}=g^{R_{B}}{\bmod {p}}$
Osapuoli laskee istuntoavaimen: $A$ $K=B^{R_{A}}M_{B}^{a}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}$
Osapuoli laskee istuntoavaimen: $B$ $K=A^{R_{B}}M_{A}^{b}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}$

Laskelmia suoritettu

A\colon K=B^{R_{A}}M_{B}^{a}{\bmod {p}}=(g^{b})^{R_{A}}(g^{ R_{B)))^{a}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}

B\colon K=A^{R_{B}}M_{A}^{b}{\bmod {p}}=(g^{a})^{R_{B}}(g^{ R_{A)))^{b}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}

MTI/B(0)

Työalgoritmi

Party valitsee satunnaisen numeron ja lähettää viestin $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=B^{R_{A}}$
Party valitsee satunnaisen numeron ja lähettää viestin $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $A$ $M_{B}=A^{R_{B}}$
Osapuoli laskee istuntoavaimen: $A$ $K=M_{B}^{{a}^{-1}}g^{R_{A}}{\bmod {p}}=g^{R_{A}+R_{B}}{ \bmod{p}}$
Osapuoli laskee istuntoavaimen: $B$ $K=M_{A}^{{b}^{-1}}g^{R_{B}}{\bmod {p}}=g^{R_{A}+R_{B}}{ \bmod{p}}$

Laskelmia suoritettu

K=M_{B}^{a^{-1}}g^{R_{A}}=(A^{R_{B}})^{a^{-1}}g^{R_ {A}}=(g^{{a}{R_{B}}})^{a^{-1}}g^{R_{A}}=g^{R_{A}+R_{B} }{\bmod {p}}

K=M_{A}^{b^{-1}}g^{R_{B}}=(B^{R_{A}})^{b^{-1}}g^{R_ {B}}=(g^{{b}{R_{A}}})^{b^{-1}}g^{R_{B}}=g^{R_{A}+R_{B} }{\bmod {p}}

MTI/C(0) [8]

Työalgoritmi

Party valitsee satunnaisluvun ja lähettää B:lle viestin $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $M_{A}=B^{R_{A}}$
Party valitsee satunnaisluvun ja lähettää viestin A $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $M_{B}=A^{R_{B}}$
Osapuoli laskee istuntoavaimen: $A$ $K=M_{B}^{a^{-1}R_{A}}{\bmod {p}}=g^{R_{A}R_{B}}{\bmod {p}}$
Osapuoli laskee istuntoavaimen: $B$ $K=M_{A}^{b^{-1}R_{B}}{\bmod {p}}=g^{R_{A}R_{B}}{\bmod {p}}$

Laskelmia suoritettu

K=M_{B}^{a^{-1}R_{A}}=(A^{R_{B}})^{a^{-1}R_{A}}=(g^ {aR_{B}})^{a^{-1}R_{A}}=g^{R_{A}R_{B}}

K=M_{A}^{b^{-1}R_{B}}=(B^{R_{A}})^{b^{-1}R_{B}}=(g^ {bR_{A}})^{b^{-1}R_{B}}=g^{R_{A}R_{B}}

MTI/A(k)

Työalgoritmi

Party valitsee satunnaisluvun ja lähettää B:lle viestin $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $M_{A}=g^{a^{k}R_{A))$
Party valitsee satunnaisluvun ja lähettää viestin A $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $M_{B}=g^{b^{k}R_{B}}$
Osapuoli laskee istuntoavaimen: $A$ $K=B^{a^{k}R_{A}}M_{B}^{a}=g^{ba^{k}R_{A}+ab^{k}R_{B}}$
Osapuoli laskee istuntoavaimen: $B$ $K=A^{b^{k}R_{B}}M_{A}^{b}=g^{ab^{k}R_{B}+ba^{k}R_{A}}$

Laskelmia suoritettu

A\colon K=B^{a^{k}R_{A}}M_{B}^{a}=(g^{b})^{a^{k}R_{A}}( g^{b^{k}R_{B}})^{a}=g^{ab^{k}R_{B}+ba^{k}R_{A}}

B\colon K=A^{b^{k}R_{B}}M_{A}^{b}=(g^{a})^{b^{k}R_{B}}( g^{a^{k}R_{A}})^{b}=g^{ab^{k}R_{B}+ba^{k}R_{A}}

MTI/B(k)

Työalgoritmi

Party valitsee satunnaisen numeron ja lähettää viestin $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=B^{a^{k}R_{A}}$
Party valitsee satunnaisen numeron ja lähettää viestin $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $A$ $M_{B}=A^{b^{k}R_{B))$
Osapuoli laskee istuntoavaimen: $A$ $K=M_{B}^{a^{-1}}g^{a^{k}R_{A}}=g^{a^{k}R_{A}+b^{k} R_{B}}$
Osapuoli laskee istuntoavaimen: $B$ $K=M_{A}^{b^{-1}}g^{b^{k}R_{B}}=g^{a^{k}R_{A}+b^{k} R_{B}}$

Laskelmia suoritettu

K=M_{B}^{a^{-1}}g^{a^{k}R_{A}}=(A^{b^{k}R_{B}})^{a ^{-1}}g^{a^{k}R_{A}}=(g^{ab^{k}R_{B}})^{a^{-1}}g^{a^{ k}R_{A}}=g^{a^{k}R_{A}+b^{k}R_{B}}

K=M_{A}^{b^{-1}}g^{b^{k}R_{B}}=(B^{a^{k}R_{A}})^{b ^{-1}}g^{b^{k}R_{B}}=(g^{ba^{k}R_{A}})^{b^{-1}}g^{b^{ k}R_{B}}=g^{a^{k}R_{A}+b^{k}R_{B}}

MTI/C(k)

Työalgoritmi

Party valitsee satunnaisen numeron ja lähettää viestin $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=B^{a^{k}R_{A}}$
Party valitsee satunnaisen numeron ja lähettää viestin $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $A$ $M_{B}=A^{b^{k}R_{B))$
Osapuoli laskee istuntoavaimen: $A$ $K=M_{B}^{a^{-1}a^{k}R_{A}}=g^{a^{k}R_{A}b^{k}R_{B}}$
Osapuoli laskee istuntoavaimen: $B$ $K=M_{A}^{b^{-1}b^{k}R_{B}}=g^{a^{k}R_{A}b^{k}R_{B}}$

Laskelmia suoritettu

K=M_{B}^{a^{-1}a^{k}R_{A}}=(A^{b^{k}R_{B}})^{a^{-1 }a^{k}R_{A}}=(g^{ab^{k}R_{B}})^{a^{-1}a^{k}R_{A}}=g^{a ^{k}R_{A}b^{k}R_{B}}

K=M_{A}^{b^{-1}b^{k}R_{B}}=(B^{a^{k}R_{A}})^{b^{-1 }b^{k}R_{B}}=(g^{ba^{k}R_{A}})^{b^{-1}b^{k}R_{B}}=g^{a ^{k}R_{A}b^{k}R_{B}}

MTI-protokollien analyysi [3]

MTI-protokollataulukko

pöytäkirja	$m_{A}$	$m_{B}$	$K_{A}$	$K_{B}$	$K_{AB}$
MTI/A(0)	$g^{r_{A))$	$g^{r_{B))$	$y_{B}^{r_{A}}m_{B}^{x_{A}}$	$y_{A}^{r_{B}}m_{A}^{x_{B}}$	$g^{x_{A}r_{B}+x_{B}r_{A))$
MTI/B(0)	$y_{B}^{r_{A))$	$y_{A}^{r_{B))$	$m_{B}^{x_{A}^{-1}}g^{r_{A}}$	$m_{A}^{x_{B}^{-1}}g^{r_{B}}$	$g^{r_{A}+r_{B))$
MTI/C(0)	$y_{B}^{r_{A))$	$y_{A}^{r_{B))$	$m_{B}^{x_{A}^{-1}r_{A))$	$m_{A}^{x_{B}^{-1}r_{B))$	$g^{r_{A}r_{B))$
MTI/A(k)	$g^{x_{A}^{k}r_{A}}$	$g^{x_{B}^{k}r_{B))$	$y_{B}^{x_{A}^{k}r_{A}}m_{B}^{x_{A}}$	$y_{A}^{x_{B}^{k}r_{B}}m_{A}^{x_{B}}$	$g^{x_{A}x_{B}^{k}r_{B}+x_{B}x_{A}^{k}r_{A))$
MTI/B(k)	$y_{B}^{x_{A}^{k}r_{A))$	$y_{A}^{x_{B}^{k}r_{B))$	$m_{B}^{x_{A}^{-1}}g^{x_{A}^{k}r_{A}}$	$m_{A}^{x_{B}^{-1}}g^{x_{B}^{k}r_{B}}$	$g^{x_{A}^{k}r_{A}+x_{B}^{k}r_{B))$
MTI/C(k)	$y_{B}^{x_{A}^{k}r_{A))$	$y_{A}^{x_{B}^{k}r_{B))$	$m_{B}^{x_{A}^{-1}x_{A}^{k}r_{A))$	$m_{A}^{x_{B}^{-1}x_{B}^{k}r_{B))$	$g^{x_{A}^{k}r_{A}x_{B}^{k}r_{B}}$

MTI/A- ja MTI/B-protokollat vaativat jokaisen käyttäjän laskemaan kolme eksponenttia, kun taas MTI/C-protokollat vaativat vain kahden eksponentin laskemisen. MTI/C(1)-protokollalla on myös se lisäetu, että ja käänteisiä ei tarvitse laskea . Toisaalta nämä arvot eivät muutu koko viestintäistunnon aikana ja siksi ne voidaan laskea etukäteen. $x_{A}$ $x_B$
Kaikki MTI-protokollien osapuolet suorittavat samanlaisia toimintoja, eikä protokollien toiminta riipu siitä, missä järjestyksessä viestit lähetetään puolelta toiselle.
MTI/B- ja MTI/C-protokollat edellyttävät muiden osapuolten julkisten avainten tuntemista, mikä saattaa vaatia lisäviestintä (jos julkisen avaimen tiedot eivät mahdu verkon kautta lähetettyihin viesteihin). MTI/A-protokollat eivät vaadi julkisten avainten tuntemista, mikä välttää ylimääräiset lähetykset ja aikaviiveet.
Kaikki kolme protokollaluokkaa tarjoavat molemminpuolisen implisiittisen avaimen todennuksen, mutta eivät avaimen vahvistusta tai entiteetin todennusta.

Avainten jakeluprotokollien vertailu

pöytäkirja	Avaimen todennus	Lähteen todennus	Avaimen vahvistus	Viestien määrä
Diffie-Hellman-protokolla	puuttuu	puuttuu	puuttuu	2
ElGamal-protokolla	yksipuolinen	puuttuu	puuttuu	yksi
MTI/A	molemminpuolinen implisiittinen	puuttuu	puuttuu	2
MTI/B,C	molemminpuolinen implisiittinen	puuttuu	puuttuu	2
STS	molemminpuolista selkeää	molemminpuolinen	puuttuu	3

Hyökkäykset MTI-protokollia vastaan

MTI-protokollat vastustavat passiivisia hyökkäyksiä, mutta ovat alttiina aktiivisille hyökkäyksille [3] . Alla on esimerkkejä aktiivisista hyökkäyksistä MTI-protokollia vastaan.

Pieni alaryhmähyökkäys MTI/C-protokollia vastaan [1]

MTI/C-protokollaluokkaan sovelletaan Small Subgroup Attack -hyökkäystä, jos ryhmä vastaa ryhmää , kuten alkuperäisessä protokollassa odotettiin. Oletetaan, että kryptanalyytikko tietää luvun tekijöiden jakamisen alkutekijöiksi. Antaa olla pienin alkutekijä laajennus numero . Merkitään . Hyökkäys koostuu kaikkien viestien nostamisesta valtaan , joka muuntaa lähetetyt elementit ryhmän pieneksi alaryhmäksi . $G$ $Z_{p}^{*}$ $E$ $p-1$ $s$ $p-1$ $w=(p-1)/s$ $w$ $G'$ $G$

Todellakin, ja vaihtaa viestejä muodossa . Elementin nostaminen potenssiksi antaa järjestyksen aliryhmän generoivan elementin . Lisäksi tämä järjestys on yhtä suuri joko milloin ja vastaavasti tai kun se sisältää luvun alkutekijöiksi hajotuksessaan , ts. . Kaikissa muissa tapauksissa alaryhmän järjestys on yhtä suuri kuin . $A$ $B$ ${\displaystyle g^{r))$ ${\displaystyle g^{r))$ $w$ ${\displaystyle g^{wr))$ $G'$ ${\frac {p-1}{(wr,p-1)))$ $yksi$ $s = 1$ $w=p-1$ $r$ $s$ ${\näyttötyyli (r,s)=s}$ $G'$ $s$

MTI/C(0)-protokollan hyökkäysprosessi kuvataan alla. Kryptanalyytikko on osapuolten välillä ja ( mies-in-the-middle ). $E$ $A$ $B$

Party valitsee satunnaisen numeron ja lähettää viestin $A$ $r_{A}\in _{R}Z_{q}^{*}$ $B$ $m_{A}=y_{B}^{r_{A))$
Kryptanalyytikko sieppaa lähettämän viestin ja lähettää viestin $E$ $A$ $B$ ${\displaystyle m_{A}^{w}=y_{B}^{r_{A}w))$
Party valitsee satunnaisen numeron ja lähettää viestin $B$ $r_{B}\in _{R}Z_{q}^{*}$ $A$ $m_{B}=y_{A}^{r_{B}}$
Kryptanalyytikko sieppaa lähettämän viestin ja lähettää viestin $E$ $B$ $A$ ${\displaystyle m_{B}^{w}=y_{A}^{r_{B}w))$
Osapuoli laskee istuntoavaimen: $A$ $K_{AB}=m_{B}^{x_{A}^{-1}r_{A}}=g^{r_{A}r_{B}w}$
Osapuoli laskee istuntoavaimen: $B$ $K_{AB}=m_{A}^{x_{B}^{-1}r_{B}}=g^{r_{A}r_{B}w}$

Vastaanotettu salainen istuntoavain , kuten vastaanotetut viestit, on osa ryhmän pientä alaryhmää . Siksi kryptanalyytikko voi löytää avaimen tyhjentävällä haulla, tarkistamalla aliryhmän elementit avaimina :n ja välisessä tiedonsiirrossa . Tässä tapauksessa mitä pienempi kerroin , sitä nopeammin hyökkäys menee ohi. $K_{AB}$ $G'$ $G$ $E$ $K_{AB}$ $G'$ $A$ $B$ $s$

Hyökkäys alaryhmää vastaan voidaan estää valitsemalla ryhmän alkujärjestyksen alaryhmä . Koska vaikka pituus on noin 160 bittiä, niin tyhjentävä haku osoittautuu liian vaikeaksi tehtäväksi kryptanalyytikolle . On myös tarpeen tarkistaa, että viesteissä vastaanotetut elementit ovat ryhmässä eivätkä ole yhtä suuria kuin yksi. $G$ $Z_{p}^{*}$ $q$ $q$ $E$ $G$

Hyökkäys tuntemattomalla jaetulla avaimella [1] [3] [9]

Tuntemattoman julkisen avaimen hyökkäys edellyttää kryptanalyytikon hankkivan pitkäaikaisen julkisen avaimen varmenteen , joka on linkitetty osapuolen julkiseen avaimeen kaavan avulla . Tämä tarkoittaa, että se ei tiedä julkista avainta vastaavaa salaista avainta . $E$ $y_{E}$ $A$ $\colon y_{E}=y_{A}^{x_{E}}=g^{x_{A}x_{E}}$ $E$ ${\displaystyle x_{A}x_{E))$ $y_{E}$

Hyökkäys tuntemattomalla jaetulla avaimella suoritetaan suorittamalla seuraava toimintosarja.

Party valitsee satunnaisen numeron ja lähettää viestin $A$ $r_{A}\in _{R}Z_{q}^{*}$ $B$ $m_{A}=y_{B}^{r_{A))$
Kryptanalyytikko välittää viestin kohteesta toiseen muuttumattomana. $E$ $y_{B}^{r_{A))$ $A$ $B$
Party valitsee satunnaisen numeron ja lähettää viestin $B$ $r_{B}\in _{R}Z_{q}^{*}$ $E$ $y_{E}^{r_{B))$
Kryptanalyytikko vastaanottaa viestin ja lähettää viestin $E$ $B$ $A$ $y_{E}^{r_{B}x_{E}^{-1))$
Osapuoli laskee istuntoavaimen: $A$ $K_{AB}=(y_{E}^{r_{B}x_{E}^{-1)))^{x_{A}^{-1}}g^{r_{A}} =g^{r_{A}+r_{B}}$
Osapuoli laskee istuntoavaimen: $B$ $K_{AB}=(y_{B}^{r_{A)))^{{x_{B}}^{-1}}g^{r_{A}}=g^{r_{A }+r_{B}}$

Osapuolten laskemat salaiset avaimet ovat samat ja yhtä suuret kuin . Samalla se katsoo, että se jakaa sen kanssa , mutta se katsoo jakavansa avaimen kanssa . $A$ $B$ $g^{r_{A}+r_{B))$ $A$ $B$ $B$ $E$

Vaikka osapuoli ei pysty laskemaan salaista istunnon avainta ilman lisätietoa, se johtaa kuitenkin virheelliseen mielipiteeseen. $E$ $K_{AB}$ $E$ $B$

Tämän hyökkäyksen välttämiseksi on tarpeen vaatia varmenneviranomaisia varmistamaan, että jollekin julkiselle avaimelle varmennetta pyytävät osapuolet tietävät vastaavan yksityisen avaimen . $y_{E}$ $x_{E}$

Muistiinpanot

↑ 1 2 3 4 5 Boyd, Mathuria, 2003 , s. 147-155.
↑ 1 2 Alferov, Zubov, Kuzmin et ai., 2002 , s. 378, 387–396.
↑ 1 2 3 4 Menezes, Oorschot, Vanstone, 1996, 515-519 .
↑ Diffie, Hellman, 1976 .
↑ Gardner, 1977 .
↑ Elgamal, 1985 .
↑ Matsumoto, Takashima, Imai, 1986 .
↑ 1 2 Ratna Dutta, Rana Barua. Yleiskatsaus keskeisiin sopimuspöytäkirjoihin . - S. 9-10 .
↑ Cheremushkin A.V. Kryptografiset protokollat: perusominaisuudet ja haavoittuvuudet // Applied Discrete Mathematics: Application. - 2009. - Nro 2 . - S. 115-150 . Arkistoitu alkuperäisestä 3. marraskuuta 2013.

Kirjallisuus

Diffie W. , Hellman M.E. Uusia suuntauksia kryptografiassa // IEEE Trans . inf. Teoria / F. Kschischang - IEEE , 1976. - Voi. 22, Iss. 6. - P. 644-654. — ISSN 0018-9448 ; 1557-9654 - doi:10.1109/TIT.1976.1055638
Gardner M. Uudenlainen salaus, jonka rikkoutuminen kestäisi miljoonia vuosia // Sci . amer. - NYC : NPG , 1977. - Voi. 237, Iss. 2. - s. 120-124. — ISSN 0036-8733 ; 1946-7087 - doi:10.1038/SCIENTIFICAMERICAN0877-120
Elgamal T. Julkisen avaimen salausjärjestelmä ja diskreeteihin logaritmiin perustuva allekirjoitusjärjestelmä, julkisen avaimen salausjärjestelmä ja diskreeteihin logaritmeihin perustuva allekirjoitusjärjestelmä // IEEE Trans . inf. Teoria / F. Kschischang - IEEE , 1985. - Voi. 31, Iss. 4. - P. 469-472. — ISSN 0018-9448 ; 1557-9654 - doi:10.1109/TIT.1985.1057074 ; doi:10.1007/3-540-39568-7_2
Matsumoto T. , Takashima Y. , Imai H. On Seeking Smart Public-key Distribution Systems (englanti) // Transactions of Institute of Electronics and Communication Engineers of Japan. Osa E - Elsevier BV , 1986. - Voi. 69, Iss. 2. - s. 99-106. — ISSN 0387-236X
Boyd C. , Mathuria A. 5.3 MTI-protokollat // Protocols for Authentication and Key Establishment (englanniksi) - Springer Science + Business Media , 2003. - P. 147-155. — 321 s. - ( Tietoturva ja kryptografia ) - ISBN 978-3-540-43107-7 - ISSN 1619-7100 ; 2197-845X - doi:10.1007/978-3-662-09527-0
Cheremushkin A. V. Kryptografiset protokollat: perusominaisuudet ja haavoittuvuudet // Applied Discrete Mathematics : Application. - 2009. - Nro 2 . - S. 115-150 . Arkistoitu alkuperäisestä 3. marraskuuta 2013.
Alferov A. P. , Zubov A. Yu. , Kuzmin A. S. , Cheremushkin A. V. Luku 15. Avainten jakeluprotokollat // Fundamentals of Cryptography : Textbook - 2nd ed., Rev. ja ylimääräistä - M .: Helios ARV , 2002. - S. 378, 387-396. — ISBN 978-5-85438-137-6
Ratna Dutta, Rana Barua. Yleiskatsaus keskeisiin sopimuspöytäkirjoihin . - S. 9-10 . (linkki ei saatavilla)
Sebastien Kunz-Jacques, David Pointcheval. Tietoja MTI/C0:n ja MQV:n turvallisuudesta . – 2006.
Menezes A. J. , Oorschot P. v. , Vanstone S. A. 12.6.1 Diffie-Hellman ja siihen liittyvät keskeiset sopimusprotokollat // Handbook of Applied Cryptography (englanti) - CRC Press , 1996. - 816 s. — ( Diskreetti matematiikka ja sen sovellukset ) — ISBN 978-0-8493-8523-0

MTI-protokollat

Historia

MTI-protokollien kuvaus [1]

MTI/A(0) [8]

MTI/B(0)

MTI/C(0) [8]

MTI/A(k)

MTI/B(k)

MTI/C(k)

MTI-protokollien analyysi [3]

Hyökkäykset MTI-protokollia vastaan

Pieni alaryhmähyökkäys MTI/C-protokollia vastaan ​​[1]

Hyökkäys tuntemattomalla jaetulla avaimella [1] [3] [9]

Muistiinpanot

Kirjallisuus

Pieni alaryhmähyökkäys MTI/C-protokollia vastaan [1]