附　錄　F （資料性附錄） 對機制1-8的安全性及效率的比較分析

繼2005年機制1、機制2、機制7和機制8（機制7和機制8當時被標記為機制3和機制4）標準化后，又出現了大量更好的機制，這些機制用戶輸入更少且能夠實現對攻擊者攻破概率的嚴格界限。這些機制中的一部分已經得到了安全性證明，而機制1、機制2、機制7和機制8并沒有得到充分的安全性證明（盡管這些機制并不明確是否存在安全問題）。

尤其是，文獻[19]、[25]、[30]、[1]、[32]、[33]、[6]、[7]、[20]、[21]、[23]和[24]中學者們的相關工作值得我們關注。目前已有大量不同的機制，但它們都可以歸為文獻[24]提出的兩種處理認證數據D的加密函數類型中的一種。兩種加密函數類型在本標準中所應用的新機制如下：（1）機制3和機制5使用摘要函數（短輸出）將D與長隨機密鑰k綁定；（2）機制4和6使用雜湊函數（長輸出或者加密）將D與隨機密鑰k和短隨機比特流R綁定。

為了使本標準的用戶獲得最佳可用技術，第7節中提出了四種新機制（機制3-6）。相比于機制1、機制2、機制7和機制8，機制3-6更好且更高效，并且它們無需改變設備的輸入和輸出接口。

機制3-6已發布，其安全性證明參見文獻[21]、[22]、[23]、[24]、[32]和[33]。

四種新機制的主要特點如下：

——機制3-6減半了機制1-2中人工數據傳遞和對比的數據量。機制1和機制2中，用戶必須從一個設備向另一個設備同時傳遞短密鑰和檢驗值，或者對比設備顯示的輸出值。機制3-6減半人工交互的數據量，即用戶只需要傳遞或者對比短摘要值或短隨機比特流，二者長度與機制1-2中的短密鑰或檢驗值相同。

注1：短隨機密鑰、檢驗值或摘要值的手工傳遞比執行協議的按鍵操作、閱讀1個比特的結果（接受/拒絕）操作或任何其他信息的比較操作等行為更為重要。因此，這些人工交互的后者操作行為在此處和表F.1中不做分析。

——盡管機制3-6只需要減半的人工數據傳遞量，但是其安全性高于機制1-2。文獻[21]和[24]展示了機制1-2由于計算檢驗值時使用短比特位長度的密鑰K，其提供的安全性強度低于理想狀態。相反地，機制3-6中使用的密鑰k能夠通過（高帶寬）共享通信鏈接傳遞。因此，密鑰k可大大延長，例如，附錄D中規定的160比特。這一屬性來源于一般性雜湊函數的密鑰長度理論下界，更進一步地研究請參見文獻[2]、[5]、[27]和[31]。

——文獻[21]和[24]對機制3-6給出安全性證明。盡管機制3-6互不相同，但對于相同的人工數據傳遞量而言，它們提供同等的安全性級別。

——機制7-8提供的安全級別與機制3-6相同，但它們的安全性依賴于短隨機密鑰R這一秘密人工數據的傳遞。不同于機制1-6，機制7-8中的短隨機密鑰應是保密的，即只有設備和用戶知曉。因此，在人工數據傳遞過程中應注意避免隨機密鑰被監聽，例如，通過隱藏相機。如果短隨機密鑰被破壞，入侵者有可能發起中間人攻擊。

表F.1總結了機制1-8中人工數據傳遞間的不同點和安全性。成功的攻擊表明當設備計算的比特串與人工傳遞比特串是同一比特串時協議雖然奏效了，但是敵手已經成功操縱了數據D，所以當數據D通過共享（不安全）通信鏈接交換以便設備獲得不同版本的數據D時，依舊處于被攻破的狀態。

注1：機制1、機制2、機制3、機制5、機制7和機制8中，每一個協議會話使用的檢驗值函數、摘要函數或消息鑒別函數使用的密鑰都是隨機和新生的。因此，依賴于附錄D.2中提到的多信息輸入的單個密鑰再利用的替換攻擊互不相關。更多關于成功攻擊的安全性證明和定義參見文獻[21]和[24]。

為了對比人工數據傳遞的數據量，機制3和機制5使用的摘要值長度，機制4、機制6、機制7和機制8使用的短隨機比特流R的長度，機制1和機制2檢驗函數使用的檢驗值和短密鑰長度都采用b比特位。

以上機制涉及兩種類型的人工交互方式：（1）人工傳遞信息位（例如摘要值和短隨機比特流）；（2）人工對比兩種比特流。表F.1中使用(m,c)來表示人工數據傳遞比特數(m)和對比比特位數值(c)。

表F.1　機制1-8的對比情況

注2：機制1、機制2、機制7和機制8在2005年予以標準化，因此在表F.1中標記為“（舊）”。相反，新加入的機制3-6則標記為“（新）”。

注3：公開數據的人工傳遞表明在機制1-6中傳遞的數據可以被任何人獲知。與此相反，機制7-8則對除了設備和用戶以外的任何人都保密。

注4：在對比機制3-6的計算復雜性（見附錄F.2）時，機制所需的加密函數信息十分重要，因此，我們根據機制所需的加密函數對機制進行分類。

注5：表F.1中，ε相對于2^-^^b^可忽略不計，而“>2^-^^b^”則通過不可忽略的ε值表示攻擊成功的概率大于2^-^^b^。

在這些新加入的機制中，機制3和機制5在計算效率方面優于機制4和機制6，文獻[16]、[21]、[22]和[23]對此方面做出了解釋。機制3和機制5采用短輸出摘要函數（例如16-20比特位）對要鑒別的數據D進行處理，而非機制4和機制6采用長輸出雜湊函數（例如160或更多比特位）對數據D進行處理的方式。在實際中，一般數據D都比較大，例如，它有可能包含圖片或DVD，其長度明顯長于隨機密鑰k，計算數據D的短摘要值顯然要快于長雜湊值。因此，在計算成本方面，機制3和機制5比機制4和機制6高效，特別適用于小設備和輕量級加密應用。因為小設備和輕量級加密應用中，優化計算效率是一個重要的衡量標準。