1 A provably secure secret handshake with dynamic controlled matching Alessandro Sorniotti, Refik Molva Computers and Security, Volume 29, Issue 5, July 2010, pp

2 Outline  Introduction  Preliminaries  The scheme – SecureMatching  The scheme – Secret Handshake  Security analysis  Conclusion

3 Introduction  Secret Handshake 2003, proposed by Balfang et al. 2 個使用者同時確認彼此是否為同單位的成員 Certification authority  有能力證明與驗證使用者身份。  發行 property credential 與 matching reference ，讓使用 者能夠證明自己與驗證對方。  環境： untraceable and anonymous

4 Introduction  Matchmaking 1985, presented by Baldwin and Gramlich. 解決 HS 的問題，但不同的地方是  使用者可以與其他單位的人進行通訊 與 HS 主要的不同點  Matchmaking user 可以設定自己的 credential 與 matching reference

5 Introduction  本文提出 Secret handshake scheme with dynamic controlled matching  使用者向 CA 要求發行 credential 與 reference ，而有能 力證明與驗證。

6 Outline  Introduction  Preliminaries  The scheme – SecureMatching  The scheme – Secret Handshake  Security analysis  Conclusion

7 Preliminaries  U: a set of users  P: a set of properties  (G 1, +) and (G 2, *): two groups of order q for some large prime q.  e: G 1 × G 1 → G 2 is a bilinear map Bilinear: P, Q ∈ G 1 and a, b ∈ Z q *, e(aP, bQ) = e(P, Q) ab Non-degenerate: e(P, P)≠1 is a generator of G 2. Computable: an efficient algorithm exists to compute e(P, Q) for all P, Q ∈ G 1.  H: P → G 1 is a one-way hash function.

8 Outline  Introduction  Preliminaries  The scheme – SecureMatching  The scheme – Secret Handshake  Security analysis  Conclusion

9 SecureMatching  Prover-verifier protocol 證明者必須說服驗證者我是該單位的成員。 Prover: 利用 credential 來說服 verifier Verifier: 利用 reference 來驗證 prover

10 SecureMatching  Setup: P ∈ R G 1 : a random generator of G 1. r, s, t, v ∈ R Z q * : random values. R = rP, S = sP, T = tP, V = vrP System public parameters = {q, P, R, S, T, V, e, G 1, G 2, H} System secret parameters = {r, s, t, v}

11 SecureMatching  Join User u ∈ U Secret value x u ∈ R Z q * X u = xus -1 rP

12 SecureMatching  Certify 當 CA 接收到使用者 u 的要求才開始執行 使用者 u 隸屬於單位 p ∈ P CA 先確認 (u, p) 是否合法，確認無誤，發行 credential cred p = vH(p) 給使用者 u 使用者 u 驗證 : e(cred p, R) = e(H(p), V) 驗證式成立，接受憑證；否則，放棄憑證。

13 SecureMatching  Grant 當 CA 接收到使用者 u 的要求才開始執行 使用者 u 想與單位 p ∈ P 進行通訊 CA 先確認 p 是否為 u 的允許通訊單位 確認無誤，發行 matching reference match u,p = t -1 r(cred p + x u P) 給使用者 u 使用者 u 驗證 : e(match u,p, T) = e(H(p), V)e(X u, S) 驗證式成立，接受 reference ；否則，放棄 reference 。

14 SecureMatching  Matching A: prover ， A 有 cred pA 來證明隸屬於單位 p A B: verifier ， B 拿 match B, pB 來驗證 Protocol  1. B→A: B 產生 n ∈ R Z q *, 送 N 1 = nP, N 2 = nR 給 A  2. A→B: A 檢查 e(N 1, P) = e(N 2, R) 確認正確， A 產生 r 1, r 2 ∈ R Z q *, 送 disguisedCred pA = 給 B

15 SecureMatching  Matching Protocol  3. B 檢查 如果 K = 1 ，代表 B 確定 A 是單位 p A 的人 (i.e. p A 跟 p B 是相同單位 )

16 Outline  Introduction  Preliminaries  The scheme – SecureMatching  The scheme – Secret Handshake  Security analysis  Conclusion

17 Secret Handshake  如何從 SM 到 SHS Session key 的交換 在 SM 協定中，雙方成立後， key 才有效

18 Secret Handshake  Secret Handshake Alice Bob cred p1 XAXA XAXA cred p2 match B,p1 XBXB XBXB r1Ar1A r1Ar1A match A,p2 nAnA nAnA r3Ar3A r3Ar3A r2Ar2A r2Ar2A r1Br1B r1Br1B nBnB nBnB r3Br3B r3Br3B r2Br2B r2Br2B n A P, n A R n B P, n B R r 1B (cred p2 + r 3B P) r 2B (n A R), r 1B r 2B S, r 1B r 2B T r 1A (cred p1 + r 3A P) r 2A (n B R), r 1A r 2A S, r 1A r 2A T

19 Secret Handshake  Secret Handshake Alice 與 Bob 檢查方程式 K Alice 算出 K A = e(P, P) r 1B r 2B r 3B r Bob 算出 K B = e(P, P) r 1A r 2A r 3A r K’ = (K A ) r 1A r 2A r 3A K’’ = (K B ) r 1B r 2B r 3B 如果 K’ = K’’ ，則雙方成功交換 session key

20 Outline  Introduction  Preliminaries  The scheme – SecureMatching  The scheme – Secret Handshake  Security analysis  Conclusion

21 Security analysis  Attack types Linking  攻擊者有能力得知相同兩人進行不同次的協定  Untraceability Knowing  惡意 verifier 不用正確的 reference ，即可驗證 prover 的單位  Detector resistance Forging  惡意 prover 不用正確的 credential ，即可說服 verifier  Impersonation resistance

22 Security analysis  Security of SecureMatching and secret handshake Untraceability Detector resistance Impersonation resistance  BDDH assumption 給定 (P, aP, bP, cP, xP) ，決定 x = abc

23 Security analysis  Untraceability 給攻擊者 2 份 disguised credential ，攻擊者有能力 證明這 2 份是相同單位的 credential  Detector resistance 攻擊者不用正確的 reference ，成功的與合法 prover 進行協定  Impersonation resistance 攻擊者偽造出一份假的 credential ，有能力說服 合法 verifier

24 Outline  Introduction  Preliminaries  The scheme – SecureMatching  The scheme – Secret Handshake  Security analysis  Conclusion

25 Conclusion  利用 SecureMatching 來達成 secret handshake  User 的 loading