这是一系列博客文章中最新的一篇，该文章列举了“每个博士生在做密码学时应该知道的52件事”:一系列问题的汇编是为了让博士生们在第一年结束时知道些什么。

在两方之间建密钥共享是一件密码学中古老的问题。就算只考虑定义也比标准加密困难的多。尽管古典的Diffie-Hellman协议在1976年思路解决了这个问题，但是它没有认证机制。就是说密钥能和任何人协商。这会导致中间人攻击。

为了阻止这样或者其它的攻击，我们需要一个安全定义。当定义一个密钥交换的安全性有两种主要的方法。一个是基于符号模型的，一个是基于计算模型的。在经典的论文BAN logic之后，符号模型在90年代开始流行，形式化的技术被用于分析和建模。符号模型擅长定义攻击，但是很难定义所有种类攻击的底层逻辑，因此该模型中的分析不能提供很好的安全性保证，但是可以半自动使用定理证明。

在他们开创性的1993年论文中，Bellare和Rogaway在一个计算模型中为经过身份验证的密钥交换创建了一个基于博弈的安全定义，类似于用于加密的IND-CPA(选择明文攻击下的不可区分性)和IND-CCA(选择密文攻击下的不可区分性)定义。在这个模型中，密码原语并不是不可破解的，而是通过计算对手在安全游戏中的“优势”来量化其成功概率。我们希望包含的对手的主要特征是所有的通信都在对手的控制之下：它们可以读取、修改、延迟和重播消息。它们还可以与其他方同时运行协议的任意数量的实例。安全博弈背后的直觉是，对手让一方接受约定密钥的唯一方法是从真正的协议运行中转发诚实的消息，在这种情况下，他们不可能学到任何新东西。

转载链接:https://www.cnblogs.com/zhuowangy2k/p/12245586.html