Perché ECMVQ è stato rimosso dalla suite B dell'NSA?

5

Ho trovato due menzioni su Wikipedia che Elliptic Curve Menezes-Qu-Vanstone (ECMVQ) è stata rilasciata da NSA's Suite B tuttavia sembrano implicare motivi diversi. Una menzione è preceduta da un discorso su come alcuni algoritmi di curva ellittica sono coperti da brevetti che suggeriscono che questo è il motivo per cui è stato abbandonato, tuttavia il altra menzione è preceduta da un discorso sulle debolezze in MQV che mi suggerisce che questo è il motivo per cui potrebbe essere stato abbandonato. Alcuni brevi termini su Google non possono rivelare altre fonti per la loro caduta o perché sia successo.

Quindi è noto perché ECMQV è stato eliminato dalla Suite B?

    
posta Peanut 03.07.2013 - 15:33
fonte

1 risposta

7

Per statuto e per tradizione, la NSA opera in modo nascosto. Quindi, le ragioni esatte del perché la NSA ha fatto qualcosa o no non possono essere rigorosamente conosciute. Tuttavia, si può fare qualche congettura.

Una prima cosa da notare è che la suite B è pensata per l'interoperabilità: è un elenco volutamente piccolo di algoritmi e funzionalità con lo scopo ufficiale di essere implementate ovunque . Ad esempio, per le curve ellittiche, elencano solo due curve specifiche tra le 15 descritte in FIPS 186-3 . Quindi possiamo presumere che la NSA includesse solo algoritmi che erano già stati implementati in vari sistemi e librerie, o che presentavano buone possibilità di essere implementati nel prossimo futuro. Nessuno usa MQV e nessuno intende utilizzare MQV nel prossimo futuro ...

Ora perché nessuno usa MQV in pratica è un'altra domanda, e la risposta si riduce ai soliti tre: brevetti, inutilità e debolezze. La parte "inutilità" merita una spiegazione: MQV è uno scambio di chiavi autenticato nel tentativo di combinare lo scambio di chiavi con un'autenticazione reciproca di entrambe le parti coinvolte. Questo è pulito, ma non si adatta bene ai framework di comunicazione esistenti, in particolare SSL . In SSL, il client e il server sono ruoli distinti; il cliente ottiene la certezza di conoscere la chiave pubblica del server corretta attraverso il certificato del server, ma l'autenticazione del client , quando applicata, è separata dallo scambio di chiavi (il client calcola una firma con il suo chiave privata e l'algoritmo per quella firma non deve essere correlato a quello utilizzato per lo scambio di chiavi).

Un altro punto di vista sull'argomento è che se un presunto client SSL ha un certificato con una chiave pubblica MQV (supponendo che l'uso di MQV con SSL sia stato formalizzato e implementato), allora il client può usare quel certificato solo per autenticarsi con i server SSL chi usa MQV e capita di avere una coppia di chiavi MQV che usa la stessa curva ellittica. Questo è piuttosto restrittivo e contrasta con la solita situazione in cui il client ha un certificato di firma generico che può essere utilizzato in molti altri contesti.

È interessante notare che l'uso della crittografia a curve ellittiche in SSL / TLS è definito in RFC 4492 , pubblicato nel 2006, dopo un lunga sequenza di bozze. La prima bozza , del 1998, include suite di crittografia basate su MQV. Ma la seconda bozza , nel 2001, no. Nella prima bozza, MQV è stato utilizzato proprio come fosse Diffie-Hellman, quindi senza alcun reale vantaggio in termini di sicurezza. In quel contesto, MQV era solo un modo più complesso di fare DH e, come tale, è stato rimosso del tutto. I presunti benefici di MQV rispetto a DH (anche supponendo che i benefici siano reali, ovvero ciò che nega a Krawczyk ) sono fatti nulla dalla struttura dello scambio di chiavi SSL / TLS. Allora perché preoccuparsi? La DH è leggermente più veloce e ha un cielo meno nuvoloso per quanto riguarda i brevetti.

Riepilogo: Anche senza tener conto delle debolezze rivelate nel 2005 (pochi mesi dopo pubblicazione della suite NSA B), i vantaggi di sicurezza di MQV rispetto a DH sono buono solo in contesti specifici che raramente si incontrano nella pratica, specialmente se notiamo che la suite B riguarda l'interoperabilità, cioè per definizione non sullo scenario chiuso proprietario. Corrispondentemente, nessuno fa MQV (o quando lo fanno, non mirano all'interoperabilità). Nei contesti in cui si applica la nozione di "suite B", MQV tende a non avere alcun vantaggio su un Diffie-Hellman più semplice (e più veloce). Questo da solo giustifica che la NSA non includa MQV nella loro "suite B".

    
risposta data 03.07.2013 - 16:49
fonte

Leggi altre domande sui tag