X3DH密钥协商协议官方手册(中文版)

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

The X3DH Key Agreement Protocol X3DH密钥协商协议

原作者:Moxie Marlinspike

原编辑:Trevor Perrin

中文版翻译:pior

原文版本:Revision 1, 2016-11-04

中文译本:V0.1, 2020-04-27

目录

1 简介 (3)

2 预备知识 (3)

2.1 X3DH参数 (3)

2.2 密码符号 (3)

2.3 角色 (4)

2.4 密钥 (4)

3 X3DH协议 (5)

3.1 概述 (5)

3.2 发布密钥 (5)

3.3 发送初始消息 (6)

3.4 接收初始消息 (8)

4 安全要素 (8)

4.1 身份认证 (8)

4.2 协议重放 (9)

4.3 重放与密钥重用 (9)

4.4 可否认性 (9)

4.5 签名 (10)

4.6 密钥泄露 (10)

4.7 服务器信任 (11)

4.8 身份绑定 (11)

5 知识产权 (11)

6 致谢 (11)

7 参考 (12)

1简介

本文描述了“X3DH”(也称为“扩展的三重Diffie-Hellman”)密钥协商协议。X3DH协议基于公私钥认证,在通信两方之间建立共享密钥。X3DH协议提供了转发保密性和加密可否认性。X3DH协议是为异步通信而设计的,若“Bob”离线,用户“Alice”也可使用“Bob”已向服务器发布的一些信息向其发送加密数据,并为将来的通信建立共享密钥。

2预备知识

2.1X3DH参数

使用X3DH协议的应用程序必须确定几个参数,见表1:

表 1 X3DH参数表

名称定义

椭圆曲线类型 25519 or X448

散列函数 一个256位或512位的散列函数(例如:SHA-256、SHA-512)

信息 标识应用程序的ASCII字符串

例如,应用程序可以选择椭圆曲线X25519、散列函数SHA-512和信息“MyProtocol”,应用程序还必须定义一个编码函数encode(PK),以便将

X25519或X448的公钥PK编码为字符串。建议的编码函数由一些表示椭圆曲线类型的单字节常量组成,然后是u坐标的小尾数编码[1]。

2.2密码符号

本文在描述X3DH协议时,将使用以下符号:

●X||Y,表示字符串X和Y的连接。

●DH(PK1,PK2),表示由椭圆曲线Diffie-Hellman函数输出的密钥,参

数PK1和PK2表示两个不同密钥对的公钥。椭圆曲线Diffie-Hellman

函数可选X25519或X448函数,具体取决于椭圆曲线参数。

●Sig(PK,M),表示用公钥PK对应的私钥对消息M进行签名,如XEdDSA

数字签名机制,可用公钥PK进行签名验证。XEdDSA的签名和验证功能

参见[2]。

●KDF(KM),表示由HKDF算法生成的32字节输出,HKDF算法要求的输

入有:

-HKDF 输入密钥材料 = F||KM,其中:

KM:是包含密钥材料的输入字符串

如果椭圆曲线参数是X25519,F是包含32个0xFF字节的字符串;

如果椭圆曲线参数是X448,F是包含57个0xFF字节的字符串。

F用于使用XEdDSA进行加密域分离[2]。

-HKDF salt=长度等于散列函数输出长度的零填充字符串。

-HKDF info=来自X3DH参数中的信息。

2.3角色

X3DH协议涉及三方:Alice、Bob和Server。

●Alice(发送方):希望加密的向Bob(接收方)发送一些初始数据,并

建立可用于双向通信的共享密钥。

●Bob(接收方):希望允许像Alice这样的各个发送方与他建立共享密

钥并发送加密数据。然而,当Alice试图这样做时,Bob可能会离线。

为了实现这一点,可能过某个服务器建立联系。

●Server(服务器):可以存储从Alice到Bob的消息,Bob稍后可以检

索这些消息。服务器还允许Bob发布一些数据,服务器将向Alice这

样的各个发送方提供这些数据。第4.7节讨论了服务器的信任问题。

在某些系统中,服务器角色可能被划分为多个实体,但为了简单起见,我们假设一个服务器为Alice和Bob提供上述功能。

2.4密钥

X3DH协议需要使用以下的密钥:

表 2 密钥表

名称定义

IK-A Alice的身份认证密钥(identity key)

EK-A Alice的临时密钥(ephemeral key)

IK-B Bob的身份认证密钥(identity key)

SPK-B Bob的已签名预共享密钥(signed prekey)

OPK-B Bob的一次性预共享密钥(one-time prekey)

所有公钥都有相应的私钥,但为了简化描述,我们将重点关注公钥。

X3DH协议中使用的公钥必须全部采用同样的格式,根据曲线参数[1]指定。

每一方都有一个长期身份认证公钥(Alice为IK-A,Bob为IK-B)。

Bob有一个已签名预共享密钥SPK-B,Bob将定期更新它。

Bob还有一组(多个)一次性预共享密钥OPK-B,每个都在一个X3DH协议中使用。

译注:预共享密钥,是指它们本质上是Bob与Alice开始协议运行之前发布到服务器的公钥。

在每次协议交互,Alice都会生成一个新的临时密钥对,公钥为EK-A。

完成的协议交互后,Alice和Bob将共享一个32字节的密钥SK。这个密钥可以在后面的进行业务通信的X3DH后协议中使用,但要遵循第4章中的安全考虑。

3X3DH协议

3.1概述

X3DH协议过程主要有三个阶段组成:

1.Bob将他的预共享密钥发布到服务器。

2.Alice从服务器获取Bob对应的“预共享密钥包”,并使用它向Bob发

送一条初始消息。

3.Bob接收并处理Alice的初始消息。

以下各节将解释这些阶段。

3.2发布密钥

Bob向服务器发布一组椭圆曲线公钥,其中包含:

相关文档
最新文档