Cryptography Reference
In-Depth Information
■
m
= halbe Bit-Länge von
p
(bei einer Schlüssellänge von 1.024 Bit hat
m
also
den Wert 512).
d
= 2
m
+ (
g
t
mod 2
m
)
■
e
= 2
m
+ (
g
u
mod 2
m
)
■
Alice berechnet nun
k
=(
g
b
·
g
xe
)
a+d·x
mod (
p
). Bob berechnet
k
=(
g
a
·
g
yd
)
b+ey
(mod
p
).
k
hat in beiden Fällen denselben Wert. Mallory kann diesen Wert aus
g
a
,
g
b
,
g
x
und
g
y
nicht berechnen, ohne einen diskreten Logarithmus zu lösen (was wir als
unmöglich annehmen können). Alice und Bob können also
k
als geheimen
Schlüssel verwenden. Neben der Two-Pass-Variante gibt es auch eine
One-Pass-
und eine
Three-Pass-Variante
. Die Varianten sind nach der Anzahl der übermit-
telten Nachrichten benannt. One-Pass ist vor allem für E-Mails gedacht, Three-
Pass sieht die zusätzliche Nutzung einer kryptografischen Hashfunktion vor.
Bewertung von MQV
MQV mag Ihnen auf den ersten Blick etwas kompliziert vorkommen. In der Tat
könnte man die Sicherheitsziele des Verfahrens auch erreichen, wenn Alice und
Bob das Diffie-Hellmann-Verfahren doppelt verwenden und dabei die Berech-
nungen mit den dauerhaften und den temporären Schlüsseln voneinander tren-
nen. Dies wäre zwar übersichtlicher, dafür aber weniger performant. Der große
Vorteil von MQV liegt nämlich darin, dass für Alice bzw. Bob jeweils nur eine
Berechnung notwendig ist, um den Schlüssel
k
zu ermitteln. Diese Berechnung ist
nur um 25 Prozent aufwendiger als beim gewöhnlichen Diffie-Hellman (die 25
Prozent kommen durch die halbe Bit-Länge zustande). Würden Alice und Bob
dagegen ihre temporären und dauerhaften Schlüssel jeweils separat einsetzen,
dann läge der Zusatzaufwand bei 100 Prozent.
Nach Angaben seiner Erfinder verhindert MQV nicht nur Known-Key-Atta-
cken, sondern erfüllt zusätzlich einige weitere subtile Sicherheitsziele, die in die-
sem Buch nicht näher beschrieben werden. Durch diese Sicherheit bei hoher Per-
formanz ist MQV zu einem recht populären Verfahren geworden. Es ist
beispielsweise in P1363 und in mehreren US-Standards standardisiert. Einige
Varianten sind patentiert.
HMQV
In Abschnitt 20.2 werde ich die Problematik ansprechen, dass ein gutes Krypto-
Protokoll oft schwieriger zu entwickeln ist als ein gutes Krypto-Verfahren. MQV
ist ein typisches Beispiel dafür. Obwohl MQV in zahlreichen Standards enthalten
ist und häufig eingesetzt wird, ist es durchaus umstritten. Der Grund dafür sind
die zahlreichen unterschiedlichen Sicherheitsziele, die das Verfahren erfüllen soll
(oder muss). 2005 veröffentlichte der Kryptograf Hugo Krawczyk eine Arbeit, in
der er MQV mit einem von ihm entwickelten Protokoll-Analyseverfahren unter-
suchte. Er kam zu dem Schluss, dass MQV einige der angestrebten Sicherheits-
