密碼協(xié)議書稿中文第3章

在協(xié)議分析中，非形式化方法可以幫助設計者查找協(xié)議中的隱含假設，并盡量避開使用隱含假設。由Abadi和Needham謹慎工程原則，在協(xié)議設計中已經(jīng)發(fā)揮出重要作用。將協(xié)議設計看作一個工程問題，借鑒軟件工程的思想，并結合已有的非形式化的協(xié)議設計原則，本書給出了一組協(xié)議工程原則，包括協(xié)議需求分析原則、協(xié)議詳細設計議的發(fā)布已經(jīng)過去了17[1,2]。而事實上，很多隱含假設看似合理但不一定正確，這就導致協(xié)議可能的[2-6]。長期以來，不斷有一些形式化方法被提出來用于分析安全協(xié)議，如BAN邏輯，隨機預使用隱含假設[3,5,6,10,11]。Abadi和Needham在文獻[3]所謹慎工程原則，已經(jīng)在協(xié)議設一種模型下應用，以及如何避免一些算法的特定環(huán)境下的不恰當使用等問題。計估一旦出現(xiàn)與該隱含假設不符的情況而對協(xié)議安全性產(chǎn)生的影響。研究協(xié)議中存在的各種缺議，用議助的能威 P1:每條消息應該清楚表達它的含義，對消息的解釋應該僅依賴于它的內(nèi)容。即每條消息這些條件一般是用非形式化語言給出的各種信任假設，但在使用這些信任假設時一定要謹慎。P3:如果主體的 得到了廣泛的證明。如果遵從這條原則，能夠避免大量的針對協(xié)議的。P5:當主體在一個已加密的數(shù)據(jù)上簽名時，不能推斷該主體知道消息的內(nèi)容。但是，如果P6:要清楚所假定新鮮值的特性。能夠保證臨時順序的新鮮值可能無法保證關聯(lián)性，關聯(lián) P8:如果時間戳通過絕對時間作參考來保證新鮮性，那么不同機器上的本地時鐘之間的差 P9:密鑰可能最近被使用過，比如用來加密了一個新鮮性因子，但卻可能是一個舊的密鑰，P10:如果編碼被用來描述消息的含義，那么應該知道正在使用哪種編碼。在編碼依賴于協(xié)P11:協(xié)議設計者應該清楚這個協(xié)議依賴于哪些信任關系，以及為什么這些依賴關系是必要的。信任關系能被接受的原因應該是清楚的，盡管這些原因可以通過判斷、策略而不是邏輯得到。由于協(xié)議消息構成的微妙，在設計協(xié)議時仍然容易犯錯。盡管文獻[5]給出的一些述一些雖然僅有幾條消息，但實際上卻十分復雜的構建協(xié)議的過程[6]。這些原則首先幫助設計人員思考什么是協(xié)議的安全需求，要應對的模型是什注協(xié)議具體設計階段可能出現(xiàn)的消息內(nèi)容省略或者缺失導致的錯誤，這也是文獻[3]關注的 含的含義是明確了密鑰的參與者的，以及該密鑰的即時性和唯一性。御不可區(qū)分選擇明文，但它或許不能應對不可區(qū)分選擇密文（IND-CCA），或者法不恰當?shù)氖褂梅绞?，從而導致協(xié)議的完全失敗。例3.1通常情況下，明文中含有一些先驗信息或比特間有一定的關聯(lián)，采本上的算樣。例3.2從RSA基本公鑰算法生成的密文中，若想獲取1比特的明文信息就同獲取整個明OAE（Optimal原則P例3.5ElGamal加密實現(xiàn)了把明文消息均勻地分布到整個消息空間中。但是，當一條明文消 是群Z*的生成元，p是隨機選取的素數(shù)Pn例3.6Shamir、Rivest和Adleman提出了一個公平協(xié)議用于SRA智力游戲[13]，在協(xié)議中使用了一種陷門單向函數(shù)，這實際上是RSA的變形。但是，該游戲中建議的變RSA加密不能掩蓋明文的二次剩余特性這個先驗信息。在游戲中選擇一張明文牌在模N的二次剩余組QRn中，另一張不在QRn中，這樣者就會在游戲中占有優(yōu)勢，無法保證的牌都必須從QR中選擇，以提高SRA智力游戲的公平性[13]。n化，從而要獲得有關明文的任何信息將變得與解決問題一樣復雜。3應用，那么協(xié)議就可能無法提供與協(xié)議設計所匹配的安全性保證。對應用環(huán)境的分析與隨機算法。然而，隨機性在某些應用場合下可能，例如ElGamal加密和簽名中，其隨機例3.7在ElGamal簽名機制中，如果重復使用同一個中間密鑰lm1m2mod(p1)(m1m2modp-1)，計算得到簽名者的私鑰k-1≡(m1ls1r(modp-1)。這表明，這個中間密鑰pp4者模型及者能力分析原原則4：明確協(xié)議的者模型及者能力的定義無的安全性只能基于者模型；IND-CPA安全性基于選擇明文的者模型；IND-CCA2的安全性基于自適應選擇密文模型。在某種者模型下安全的協(xié)議在其它例3.8基于計算合數(shù)模平方根的性，Rabin提出了一種公鑰體制。在完全或無的安全性之下，如果存在一個可以Rabin簽名的算法，那么該算法等同于分解簽名體制中所N用的合數(shù)模。然而，在IND-CPA模型中，者選取任意的sZ*(N=p×q)，并將m=NmodN)發(fā)給簽名者，要求他返回消息m的Rabin簽名。簽名者的應答s'是m的四個平方根中的任意一個，如果s’≠s(modN)，那么者就可以分解簽名體制中所用的合數(shù)模。在道如何才能抵御可能的。的大多數(shù)，都是在改變對者能力的假設后才被發(fā)現(xiàn)[4,10,13,24]。信信有完全的控制能力，除了在沒有密鑰時不能直接一個目標密文，者可原則5.協(xié)議設計者應該根據(jù)應用場合的不同，使用正確、且更為適合的服務，以避免要多個算法組合在一起使用。對于一個給定的安全目標，究竟哪一種算法是最有效率的，于所當前的明文分組，而且依賴于所有以前的數(shù)據(jù)分組。直觀上看，CBC模式似乎可以提供數(shù)據(jù)完整性保護，但事實上不論從什么角度分析，CBC加密都沒有真正提供數(shù)據(jù)完整性SSL、IPSEC、WTLSCBC模例3.11RSA加密是一種應用廣泛的算法。由于部分明文已知在實際應用中很常見，RSA進行加密時要避免使用過小的加密指數(shù)。如果使emN1/ec=me(modN)e次方根，很快可以得到m。在一臺個人計算機上進行格基約化（lattice-basedattack），可以在不到1秒的時間恢復原則6如果主體的對于理解消息至關重要的，那么不僅應該在消息中明確包含該主體的標識，而且還應該認證該主體在通信中的真實性。個協(xié)議運行中通信伙伴A是真實的上。即，如果主體A被主體B證明是真實參與了通信，就意味著B掌握了一些足以證明A確實參與了這個協(xié)議的運行。通信開始時，主體只信任由主體自己生成的新鮮性標識符（TVP，包括一次隨機數(shù)，的原因。象文獻[28]中針對協(xié)議A、協(xié)議B、協(xié)議C的實例，[29]中針對協(xié)議D的相識的主體A向主體B證明自己的。3.1Woo-Lam 式建立；NB是B選擇的一次隨機數(shù)?；貜蜎]有發(fā)生關聯(lián)，如圖3.2看到的，者I能夠冒充A進行通信：3.1針對Woo-Lam認證協(xié)議的A和B是兩個合法的協(xié)議參與主體，S是服務器，I是擁有合份 者；NB和都是一次隨機數(shù);KASKBSKIS分別是A、B、I與S共享的長期密鑰;NBKNBKIS得到的結果。KASKISKBS)AS（IS，BS）NBBA、B間會話所生成的一次隨機數(shù)，而N’BBI、B間會話所生成的一次隨機數(shù)。在消息2和消息2’中，B分別向A和B之間的會話發(fā)出NB，向I和B之間的會話發(fā) 都用NB的密文NB響應K在收到消息3之后，BNBKISKK定是A使用長期密鑰KAS響應了NB，S才會返回消息NB KMessage S→B:A,NBK

Message S→B:I,K由于主體B期待收到的 3.1所示的消息A,NB 后

K

KA通信的真實性，原因是B不 K于B是對一個自己不能識別的密文NB 進行加密所以B無法區(qū)分消息K

{A,NB}KK5ANBKK

。圖3.3給出一個針對Woo-Lam協(xié)議修正版的Clark-Jacob[8]BMessage S→B:{A,B,NB

再次修改的Woo-Lam協(xié)議能抵抗圖.3.3的Clark-Jacob，圖3.3所示的最后一KMessage K由于主體B期待收到的是3.2所示的消息{A,B,NB}K，所以當收到消息{A,后，這個就能被檢測到。不幸的是，這個修正版本仍然存在缺陷，因為A通信的真實性還是不能認證，我們給出下面的，見圖3.4：圖3.4針對再次改進的Woo-Lam協(xié)議(抗Clark-Jacob版)

A希望和B建立接為I)。在收到消息2’后，者I轉發(fā)這個NB，也作為I和A之間會話的。在消息3中，A返回了這個一次隨機數(shù)NB給IKAS加密；在收到消息3I冒充 K NB?；诎珹,B,NB的B相信A的，盡管主體A和B的在這個協(xié)議中被明顯地提及了，A的通信真實性的缺失仍然會A的通信真實性的缺失，協(xié)議中必須有一條可以被確定為由A生成的消息，它應該不僅僅是為這個協(xié)議生成的，而且應該恰好是為本次協(xié)議運行而生成的，以此向B提供證明A的的依據(jù)。例如將消息3改變?yōu)锽NBK，消息4改為A,{BNB}K這一點。在這個修正版中，B在收到消息5后，相信一定是S生成了消息ABNB，因為KNB是新鮮的，所以B相信S通信的真實性。通過消息4，B知道一定是S了消息BNBNB，所以，必然是A生成了消息BNB，且ANBK

K圖 Abadi和Needham給出的Woo‐Lam協(xié)議簡化得到認證，因此針對這個協(xié)議簡化版依然存在類似圖3.4的。的幫助下建立一個共享的會話密鑰kAB。3.6A和B是運行對密鑰管理協(xié)議的傳感器節(jié)點。是第j個密鑰頒發(fā)中心DistributionCenter）。IDA、IDB分別是節(jié)點A和B的標識。NA是一次隨機數(shù)，TA是一個 為B的會話成的票據(jù)，它等于 ，L表示密鑰kAB的生命周期， 感器節(jié)點A和B分別與共享的長期密鑰。 期密鑰，在協(xié)議運行前通過非學或者帶外方式建立。NA是A選擇的一次隨機數(shù)TA是A生成的時間戳。kAB是由 消息1中，A向密鑰分發(fā)中心自己的，通信對方傳感器節(jié)點B的，并選擇了一次隨機數(shù)NA。， 生成， 會話密鑰kAB、一次隨機數(shù)NA，以及kAB的生命周期。在消息3中，A向傳感器節(jié)點BA的，轉發(fā)ticketB，并通過使用kAB加密明 在收到消息4后，A通過 BKDCj或者AA相信只有B可以通過然而，在協(xié)議運行結束后，仍然沒有來證明A參與通信的真實性。利用A參與通信的真實性的缺失，我們可以構造下面的（圖3.7）：圖3.7針對傳感器網(wǎng)絡環(huán)境下的對密鑰管理協(xié)議的TI是一個時間戳，IDI是者節(jié)點I的標識，KI,KDC是節(jié)點I與KDC（KDCj除了圖3.6中的協(xié)議前提之外，這里者I也是一個合法的傳感器節(jié)點，標識IDI選擇了一次隨機數(shù)NI。 括新的會話密鑰kAB，一次隨機數(shù)NIkAB的生命周期L。在收到消息2后，IKIKDC從消息kABIDBNILKkAB，并記錄票據(jù)kAB,NI K文IDB,TI來說明A已經(jīng)知道kAB。k IDB,TA kk k卻是和者I共享這個密鑰kAB。3.8Otway-ReesA和B都是通信參與主體，S是一個的可信第。M、NA、NB都是隨機數(shù)且M鑰。KASKBS都是密鑰。

KAS(KBS)是A和S（B和S）之間的長期共享密鑰，在協(xié)議運行前通過非學或者在收到了消息2SKASKBS分別從加密包NAMABK和NBMABK中NA、NB。S通過檢測M來測試消息NBMABK是否由B為這次特定協(xié)議的運M與NAMABKS可以認定B確實參與了這個協(xié)議運行，且 給A，以及K送NB,kAB 給BK K 發(fā)送給

K

K。當NA,kABK

K K3.9Otway‐Rees協(xié)議的 然而A并沒有參與協(xié)議的運行。B不會注意到任何反常，如果沒有進一步的通信B可以忽略化版本中，M被認為是冗余的也被省略掉。這種簡化或許會使得協(xié)議不安全。通信的真實性都得不到證明。由于A參與通信的真實性缺失，對于Abadi-Needham簡化版本的Otway-Rees密鑰建立協(xié)議存在一種（類似于圖3.9中所顯示的）。鑰，然而B卻并沒有參與協(xié)議的運行。注意，通過冒充主體B，者I可以向的可信第S發(fā)起一個服務的請求。k3.11Otway-Ree在收到了消息5后，B從M中恢復了M并因此確認AkAB。由于B相信Mk7如果一個新鮮性標識符對于一條消息來說是必要的，那么驗證該新鮮性標識符的新.在收到消息2后，由于只有B可 消息A,NA并獲得NA，且只有A可 NANB，因此A相信BNANB與A、BK以及NA是否與A、B相關聯(lián)。所以，者I可以通過NA的使用來迷惑通信方發(fā)起一起加一下幫助B確認這些性質(zhì) 。例如，將協(xié)議的消息2改變?yōu)锽,NA,NB，就可以K除協(xié)議相應的[33]此時，在協(xié)議運行的第二步，BNANB都和與B有關的一個協(xié)議運行相關聯(lián)。在也相信NA是新鮮的，且與A、B相關連。例3.17圖3.13是Needham-Schroder共享密鑰協(xié)議，在可信第服務器S的幫助下，可以為.A和B是通信主體。S是一個可信第。NA、NB均為一次隨機數(shù)；kAB是借助

送至AkABKBS加密后送至B處。后，

KkAB, 給BKK

在收到消息3后，BKBS從kABAkAB，并且BkAB與A和BKBkAB的通信方生成了消息NB1，但是B仍然不能認證主體Ak圖.3.14針對Needham-Schroeder共享密鑰協(xié)議的 K K K新的會話密鑰kAB。與他通信的是者I）存在并真實參與了通信。同時，B還相信A（事實上，是者I）也知道會話密鑰kAB。此時，B認為自己是在與A進行通信，然而事實上A對此一無所知。在消息3中，盡管A的名字被明確地來了，但沒有任何能說明通信者是A。A的主體活現(xiàn)性的缺失，以kB3能夠在當前協(xié)議中被重放。正確使用標識和新鮮性標識符的認證將付出代價。例3.18讓我們回顧示例3.15中的Otway-Rees協(xié)議。在這個協(xié)議中，NANB都與這個協(xié)議在擊者I就能夠NA的使用。對于NB，它的情況也和NA相似。圖3.15看到的是一個圖3.15Otway-Rees在收到消息2后，S使用KAS和KBS從密文NA, 和NB, 分別恢復出NA和NBKK 送至K將NB,kAB 送至BK 的新鮮性并從中恢復出kAB。如果NBK消息4中的A,B可以作為A驗證B的存在性 kk在收到消息4ANA檢測消息4kABNA正確，則AkAB是新鮮的并與A、B相關聯(lián)。同時，當A接收到AB后，A知道一定是B使kkBNB，所以B相信S的活現(xiàn)性。同時，由于ANA，所以A也相信S的活現(xiàn)性。至此，A認為B的存在8性和關聯(lián)性認證，可以通過使用恰當?shù)臄?shù)據(jù)完整性保護服務達到[3,13,32]。例3.42文獻[34]提出一種針對Otway-Rees協(xié)議的變型的。(3.3)種。除了圖3.8中的協(xié)議符號之外，者I是一個的合法參與者，它首先和B一起運 是一個使用過的一K個連接（使用與之前記錄的MIBK中相同的M）。由于B沒有對應的長期共享密鑰KIS，密文NIMIBK不能被B 在收到消息2’后，SKISKBS分別從密文NIMIBK和NBKNI和NB。S通過檢測M去辨認B(3.3)中MABK沒有受到數(shù)據(jù)完整性的保護，因此NBK和M,I,BK并不能保證B的存在性。KK只是與I完成了這個通信過程。這個揭示了一個事實：主體的活現(xiàn)性，新鮮性標識符的新鮮性和關聯(lián)性，不能在消息沒有數(shù)據(jù)完整性保障的情況下得到保證。原則9通過逐步細化方式來設計協(xié)議，可以幫助設計者正確地表達協(xié)議{m}k表示使用密鑰k對消息m加密，而[m]k表示使用密鑰k對消息m的單向變換。[m]k提供的1)在實踐中，對于應用非對稱體制的情況，[m]k可以通過消息簽名實現(xiàn)；在應用對稱1)[m]k和{m}k。因為[m]k可以提供數(shù)據(jù)完整性和數(shù)據(jù)源認證，而沒有這些性質(zhì)的算法將沒有能力保證協(xié)議的安全性。所以，如果協(xié)議中的算法是單向變換，例3.20我們回顧一下例1.2提到的Needham-Schroeder公鑰協(xié)議[1]，針對協(xié)議存在的缺陷[4]，步驟1：考慮步驟2 原則7、原則8NANB應該被認證，且對于它們，應該提供數(shù)據(jù)完整性保護，因此消息2步驟3 消息3的發(fā)送者的確是A），且ANB使用B的公鑰加密后送給B，并希望B可以從這個K1N提供數(shù)據(jù)完整性，因此消息3 細化改進后的Needham-schroeder0-*現(xiàn)在，我們有了改進的Needham-Schroeder0-*公鑰協(xié)議，如圖圖3.16改進的Needham-Schroeder0-*圖.3.18針對改進的Needham-Schroeder0-*公鑰協(xié)議的無 和K分別是B的私鑰和公鑰，K1和K是I的私鑰和公鑰。I(A)代表者I冒充通信主體A 私鑰K1對A,N簽名，以提供數(shù)據(jù)完整性保護。之后，A使用者I的公鑰 KA,NA加密，從而NA對除I以外的所有人是的KIIKAKKKANA,NBK加密，以保證NB對除A以外的所有人 的 下了消息2’N,N，但由于沒有A的私鑰K1，不能恢復N，因此 BK 因為A認為是在和I通信，所以是使用IKI而不是BKB從NBK中恢復得I從NBK中恢復出NBK，并使用B的公鑰KB加密NBK，且將之送至B圖3.19改進的Needham-Schroeder1-*圖.3.20針對改進的Needham-Schroeder1-*公鑰協(xié)議的無與Needham-Schroeder0-*公鑰協(xié)議相同。與Needham-Schroeder0-*公鑰協(xié)議相同。 A給I。A的簽名可以為A,NAK在收到消息1'后，B認為是A與B之間的會話，所以使用B的私鑰K1嘗試N， A KABKK遞給A AB 另外，我們注意到，對細化改進后的Needham-Schroeder1-*公鑰協(xié)議，I甚至無法直接發(fā)起服務，因為I沒有其他通信主體的私鑰，所以沒有辦法其他主體來完成消3.4協(xié)議工程的安全性證明原幫助協(xié)議設計者明確協(xié)議所能達到的安全強度，并找到協(xié)議的缺陷。形式化分析，尤其例3.21BAN邏輯中關于協(xié)議的初始假設通常來自于設計者的經(jīng)驗，缺乏形式化的定義。考沒有找到并不意味著不存在。此外，有研究者觀察到了BAN邏輯提供了一個與下文無關的協(xié)議形式化過程[13],例如假設一個可信第Sk例3.22由于絕大多數(shù)的形式化方法都有時間資源和空間資源的限制，所以協(xié)議的形式化分模型，但是給出一個準確的者行為模型是的[35]。，如果不得以用簡化的者模型，那將意味著刻畫的確，甚至可能是錯誤的。例3.23基于計算的安全性方法可以定義安全的概念，因此我們可以明確什么是所期望的安中，哈希函數(shù)只能近似地模仿隨機機的行為[32]。因此，為了對于體制作嚴格的安的行為仍然是十分的。者可以通過離線的口令字典來猜測口令，可以重放一條記錄確描述者的知識也是的。NeedhamRM,SchroederMD(1978)UsingEncryptionforAuthenticationinLargeNetworkofComputers.CommunicationoftheACM21(12):993–999LoweG(1995)AnAttackontheNeedham-SchroederPublicKeyAuthenticationInformationProcessingLetters56(3):131–AbadiM,NeedhamR(1996)PrudentEngineeringPracticeforCryptographicIEEETransactionsonSoftwareEngineering22(1):6–DenningDE,SaccoGM(1981)TimestampsinKeyDistributionProtocols.CommunicationoftheACM24(8):533–536BoydC(1990)HiddenAssumptionsinCryptographicProtocols.IEEProceedingsPartComputersandDigitalTechniques137(6):433–ClarkJandJacobJ(1997)ASurveyofAuthenticationProtocol ture:Version.Accessed9BurrowsM,AbadiM,NeedhamR(1990)ALogicofAuthentication.ACMTransactionsonComputerSystems8(1):18–36LoweG(1999)TowardsaCompletenessResultforModelCheckingofSecurityJournalofComputerSecurity7(2–3):89–BellareM,RogawayP(1993)EntityAuthenticationandKeyDistribution.In:CRYPTO’93Proceedingsofthe13thAnnualInternationalCryptologyConferenceonAdvancesinCryptology,SantaBarbara,22–26Aug1993.LectureNotesinComputerScience,vol773.Springer-Verlag,pp232–Canetti1R,MeadowsC,SyversonP(2002)EnvironmentalRequirementsforAuthenticationProtocols.In:ISSS’02Proceedingsofthe2002Mext-NSFJSPSInternationalConferenceonSoftwareSecurity:TheoriesandSystems,Tokyo,8–10Nov2002AbadiM(1998)TwoFacetsofAuthentication.In:Proceedingsofthe11thIEEEComputerSecurityFoundationsWorkshop,Rockport,9–11June1998MenezesA,vanOorschotP,VanstoneS(1996)HandbookofAppliedCryptography.Press,NewMaoW(2004)ModernCryptography:TheoryandPractice.PrenticeHall,NewGoldwasserS,MicaliS(1984)ProbabilisticEncryption.JournalofComputerandSystemSciences28(2):270–299BellareM,RogawayP(1994)OptimalAsymmetricEncryption.In:EUROCRYPT’94ProceedingsoftheInternationalConferenceontheTheoryandApplicationsofCryptographicTechniques:AdvancesinCryptology,Perugia,9–12May1994.LectureNotesinComputerScience,vol950.Springer-Verlag,pp92–111ShoupV(2001)OAEPReconsidered.In:CRYPTO’01Proceedingsofthe21stAnnualInternationalCryptologyConferenceonAdvancesinCryptology,SantaBarbara,19–23Aug2001.LectureNotesinComputerScience,vol2139,pp239–259,SpringerFujisakiE,OkamotoT,PointchevalD,SternJ(2001)RSA-OAEPisSecureUndertheRSAAssumption.In:CRYPTO’01Proceedingsofthe21stAnnualInternationalCryptologyConferenceonAdvancesinCryptology,SantaBarbara,19–23Aug2001.LectureNotesinComputerScience,vol2139,pp260–274,SpringerCramerR,ShoupV(1998)APracticalPublicKeyCryptosystemProvablySecureAgainstChosenCiphertextAttack.In:CRYPTO’98Proceedingsofthe18thAnnualInternationalCryptologyConferenceonAdvancesinCryptology,SantaBarbara,23–27Aug1998.LectureNotesinComputerScience,Vol1462.Springer-Verlag,pp13–ElGamalT(1985)APubli–KeyCryptosystemandSignatureSchemeBasedonDiscreteLogarithms.IEEETransactionsonInformationTheory31(4):469–472FouquePA,Howgrave-GrahamN,MartinetG,PoupardG(2003)TheInsecurityofEsigninPracticalImplementations.In:ASIACRYPT’03Proceedingsof9thInternationalConferenceontheTheoryandApplicationofCryptologyandInformationSecurity,Taipei,30Nov–4Dec2003.LectureNotesinComputerScience,vol2894,pp492–506,SpringerDolevD,YaoAC(1983)OntheSecurityofPublicKeyProtocols.IEEETransactionsonInformationTheory29(2):198–208CanettiR,KrawczykH,NielsenJB(2003)RelaxingChosen-CiphertextSecurity.In:CRYPTO’93Proceedingsofthe13thAnnualInternationalCryptologyConferenceonAdvancesinCryptology,SantaBarbara,22–26Aug1993.LectureNotesinComputerScience,vol2729,pp565–582,SpringerHerzogJ,LiskovM,MicaliS(2003)intextAwarenessviaKeyRegistration.In:CRYPTO’93Proceedingsofthe13thAnnualInternationalCryptologyConferenceonAdvancesinCryptology,SantaBarbara,22–26Aug1993.LectureNotesinComputerScience,vol2729,pp548–564,SpringerKatzJ,OstrovskyR,YungM(2001)EfficientPassword-AuthenticatedKeyExchangeUsingHuman-MemorablePasswords.In:EUROCRYPT’01ProceedingsoftheInternationalConferenceontheTheoryandApplicationofCryptographicTechniques:AdvancesinCryptology,Innsbruck,6–10May2001.LectureNotesinComputerScience,vol2045,pp475–494,SpringerVaudenayS(2002)ecurityFlawsInducedbyCBCPadding–ApplicationtoSSL,IPSEC,WTLS.In:EUROCRYPT’02ProceedingsoftheInternationalConferenceontheTheoryandApplicationsofCryptographicTechniques:AdvancesinCryptology,Amsterdam,28Apr–2May,2002.LectureNotesinComputerScience,vol2332,pp534–546,SpringerGPG.TheGNUprivacyguard..Accessed9JulyNguyenPQ(2004)CanWeTrustCryptographicSoftwareCryptographicFlawsinGNUPrivacyGuardv1.2.3.In:EUROCRYPT’04ProceedingsoftheInternationalConferenceontheTheoryandApplicationsofCryptographicTechniques:AdvancesinCryptology,Interlaken,2–6May2004.LectureNotesinComputerScience,vol3027,pp555–570, JC,ShmatikovV,SternU(1998)FiniteState ysisofSSL3.0.In:Proceedingsofthe7thUSENIXSecuritySymposium,SanAntonio,26–29Jan1998FreierAO,KarltonP,KocherPC(1996)TheSSLProtocolVersion.Accessed9JulyWooTYC,LamSS(1992)AuthenticationforDistributedSystems.Computer25(1):39–CarmanDW,KruusPS,MattBJ(2000)ConstraintsandApproachesforDistributedSensorNetworkSecurity.NAILabsTechnicalReport#00–010,1Sept2000OtwayD,ReesO(1987)EfficientandTimelyMutualAuthentication.OperatingSystemsReview21(1):8–10LoweG(1996)BreakingandFixingtheNeedham-SchroederPublic-keyProtocolU