You are on page 1of 8

List of Protocols

1.1
1.2
1.3
1.4
1.5
1.6
2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
2.9
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
3.9
3.10
3.11
3.12
3.13
3.14
3.15
3.16

First protocol attempt in conventional notation . . . . . . . . . . . . . .


A protocol in an unusual class . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Use of a nonce (random challenge) . . . . . . . . . . . . . . . . . . . . . . . . . .
A protocol vulnerable to reflection attack . . . . . . . . . . . . . . . . . . . .
OtwayRees protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A protocol vulnerable to certificate manipulation (MTI protocol)
Example protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A simple authentication protocol . . . . . . . . . . . . . . . . . . . . . . . . . . .
Another simple authentication protocol . . . . . . . . . . . . . . . . . . . . .
STS protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
STS protocol modified to include identifiers . . . . . . . . . . . . . . . . . .
A protocol in which A takes responsibility . . . . . . . . . . . . . . . . . .
A protocol in which A takes credit . . . . . . . . . . . . . . . . . . . . . . . .
Key transport protocol providing forward secrecy . . . . . . . . . . . . .
Server-based protocol providing forward secrecy . . . . . . . . . . . . . .
Bird et al. canonical protocol 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
BellareRogaway MAP1 protocol . . . . . . . . . . . . . . . . . . . . . . . . . . .
Protocol for attacking MAP1 protocol . . . . . . . . . . . . . . . . . . . . . .
ISO/IEC 9798-2 one-pass unilateral authentication protocol . . . .
ISO/IEC 9798-2 two-pass unilateral authentication protocol . . .
ISO/IEC 9798-2 two-pass mutual authentication protocol . . . . . .
ISO/IEC 9798-2 three-pass mutual authentication protocol . . . .
WooLam unilateral authentication protocol . . . . . . . . . . . . . . . . .
Andrew secure RPC protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Revised Andrew protocol of Burrows et al. . . . . . . . . . . . . . . . . . .
JansonTsudik 2PKDP protocol . . . . . . . . . . . . . . . . . . . . . . . . . . .
Boyd two-pass protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ISO/IEC 11770-2 Key Establishment Mechanism 1 . . . . . . . . . . .
ISO/IEC 11770-2 Key Establishment Mechanism 2 . . . . . . . . . . .
ISO/IEC 11770-2 Key Establishment Mechanism 3 . . . . . . . . . . .
ISO/IEC 11770-2 Key Establishment Mechanism 4 . . . . . . . . . . .

3
14
22
26
28
30
34
38
39
44
45
49
49
51
51
75
76
76
77
78
78
78
79
81
82
83
84
84
84
85
85

XVIII List of Protocols

3.17
3.18
3.19
3.20
3.21
3.22
3.23
3.24
3.25
3.26
3.27
3.28
3.29
3.30
3.31
3.32
3.33
3.34
3.35
3.36
3.37
3.38
3.39
3.40
3.41
3.42
3.43
4.1
4.2
4.3
4.4
4.5
4.6
4.7
4.8
4.9
4.10
4.11
4.12
4.13
4.14
4.15
4.16
4.17

ISO/IEC 11770-2 Key Establishment Mechanism 5 . . . . . . . . . . . 85


ISO/IEC 11770-2 Key Establishment Mechanism 6 . . . . . . . . . . . 86
NeedhamSchroeder shared key protocol . . . . . . . . . . . . . . . . . . . . 88
DenningSacco protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
BauerBersonFeiertag protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
OtwayRees protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
OtwayRees protocol modified by Burrows et al. . . . . . . . . . . . . . 90
OtwayRees protocol modified by Abadi and Needham . . . . . . . . 91
Basic Kerberos protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Optional Kerberos message to complete mutual authentication . 92
ISO/IEC 11770-2 Key Establishment Mechanism 10 . . . . . . . . . . 93
ISO/IEC 11770-2 Key Establishment Mechanism 12 . . . . . . . . . . 94
ISO/IEC 11770-2 Key Establishment Mechanism 13 . . . . . . . . . . 94
Wide-mouthed-frog protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Yahalom protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Yahalom protocol modified by Burrows et al. . . . . . . . . . . . . . . . . 96
JansonTsudik 3PKDP protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
JansonTsudik optimised 3PKDP protocol . . . . . . . . . . . . . . . . . . 98
BellareRogaway 3PKD protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
WooLam key transport protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Gongs timestamp-based protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Gongs nonce-based protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Alternative Gongs protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Boyd key agreement protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Gongs hybrid protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Gongs simplified multi-server protocol . . . . . . . . . . . . . . . . . . . . . . 104
ChenGollmannMitchell multi-server protocol . . . . . . . . . . . . . . . 105
ISO/IEC 9798-3 one-pass unilateral authentication . . . . . . . . . . . 110
ISO/IEC 9798-3 two-pass unilateral authentication . . . . . . . . . . . 111
ISO/IEC 9798-3 two-pass mutual authentication . . . . . . . . . . . . . 111
ISO/IEC 9798-3 three-pass mutual authentication . . . . . . . . . . . . 112
Early version of ISO/IEC 9798-3 three-pass mutual
authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
ISO/IEC 9798-3 two-pass parallel authentication . . . . . . . . . . . . . 113
SPLICE/AS protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
ClarkJacob variant of SPLICE/AS . . . . . . . . . . . . . . . . . . . . . . . . 114
Gray variant of SPLICE/AS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
ISO/IEC 11770-3 Key Transport Mechanism 1 . . . . . . . . . . . . . . . 116
ISO/IEC 11770-3 Key Transport Mechanism 2 . . . . . . . . . . . . . . . 117
ISO/IEC 11770-3 Key Transport Mechanism 3 . . . . . . . . . . . . . . . 118
DenningSacco public key protocol . . . . . . . . . . . . . . . . . . . . . . . . . 118
ISO/IEC 11770-3 Key Transport Mechanism 4 . . . . . . . . . . . . . . . 118
ISO/IEC 11770-3 Key Transport Mechanism 5 . . . . . . . . . . . . . . . 119
ISO/IEC 11770-3 Key Transport Mechanism 6 . . . . . . . . . . . . . . . 119
Helsinki protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

List of Protocols

4.18
4.19
4.20
4.21
4.22
4.23
4.24
4.25
4.26
4.27
4.28
4.29
4.30
4.31
4.32
5.1
5.2
5.3
5.4
5.5
5.6
5.7
5.8
5.9
5.10
5.11
5.12
5.13
5.14
5.15
5.16
5.17
5.18
5.19
5.20
5.21
5.22
5.23
5.24
5.25
5.26
5.27
5.28
5.29
5.30

XIX

Blake-WilsonMenezes provably secure key transport protocol . . 121


NeedhamSchroeder public key protocol . . . . . . . . . . . . . . . . . . . . . 121
Lowes variant of NeedhamSchroeder public key protocol . . . . . 122
X.509 one-pass authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
X.509 two-pass authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
X.509 three-pass authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Simplified TLS key transport protocol . . . . . . . . . . . . . . . . . . . . . . 125
Simplified TLS key agreement protocol . . . . . . . . . . . . . . . . . . . . . . 126
Basic MSR protocol of Beller, Chang and Yacobi . . . . . . . . . . . . . 127
Improved IMSR protocol of Carlsen . . . . . . . . . . . . . . . . . . . . . . . . . 128
BellerYacobi protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Improved BellerYacobi protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Carlsens improved BellerChangYacobi MSR + DH protocol . 131
Simplified TMN protocol (KDP2) . . . . . . . . . . . . . . . . . . . . . . . . . . 132
AKA protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
DiffieHellman key agreement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
AgnewMullinVanstone protocol . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Original NybergRueppel protocol . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Revised NybergRueppel protocol . . . . . . . . . . . . . . . . . . . . . . . . . . 146
LimLee protocol using static DiffieHellman . . . . . . . . . . . . . . . . 147
MTI A(0) protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
MTI A(k) protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Modified MTI B(0) protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
KEA protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Unified Model key agreement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
MQV protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
AtenieseSteinerTsudik key agreement . . . . . . . . . . . . . . . . . . . . . 161
JustVaudenaySongKim protocol . . . . . . . . . . . . . . . . . . . . . . . . . 162
Generic addition of key confirmation to basic DH protocols . . . . 164
STS protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Modified STS protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
STS protocol using MACs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Oakley aggressive mode protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Alternative Oakley protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Oakley conservative protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
SKEME protocol basic mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
IKE main protocol using digital signatures . . . . . . . . . . . . . . . . . . 176
Arazis key agreement protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
LimLee Schnorr-based protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
LimLee Schnorr-based variant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
HiroseYoshida key agreement protocol . . . . . . . . . . . . . . . . . . . . . 181
Okamotos identity-based protocol . . . . . . . . . . . . . . . . . . . . . . . . . . 184
OkamotoTanaka identity-based protocol . . . . . . . . . . . . . . . . . . . . 186
G
unthers key agreement protocol . . . . . . . . . . . . . . . . . . . . . . . . . . 187
G
unthers extended key agreement protocol . . . . . . . . . . . . . . . . . . 188

XX

List of Protocols

5.31
5.32
5.33
5.34
5.35
5.36
5.37
5.38
6.1
6.2
6.3
6.4
6.5
6.6
6.7
6.8
6.9
6.10
6.11
6.12
6.13
6.14
6.15
6.16
6.17
6.18
6.19
6.20
6.21
7.1
7.2
7.3
7.4
7.5
7.6
7.7
7.8
7.9
7.10
7.11
7.12
7.13
7.14
7.15
7.16

Saeednias variant of G
unthers key agreement protocol . . . . . . . 189
Giraults identity-based protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
YacobiShmuely protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Park key agreement protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
ASPeCT protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
JakobssonPointcheval protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
WongChan protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
SKEME protocol without forward secrecy . . . . . . . . . . . . . . . . . . . 197
IngemarssonTangWong generalised DiffieHellman . . . . . . . . . . 206
SteinerTsudikWaidner GDH.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
SteinerTsudikWaidner GDH.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
SteinerTsudikWaidner GDH.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
SteerStrawczynskiDiffieWiener generalised DiffieHellman . . 210
Perrigs generalised DiffieHellman . . . . . . . . . . . . . . . . . . . . . . . . . 212
Four-principal basic Octopus protocol . . . . . . . . . . . . . . . . . . . . . . . 213
BurmesterDesmedt generalised DiffieHellman with broadcasts 214
BurmesterDesmedt pairwise generalised DiffieHellman . . . . . . . 216
AtenieseSteinerTsudik A-GDH.2 . . . . . . . . . . . . . . . . . . . . . . . . . 222
Protocol 6.10 when m = 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
AtenieseSteinerTsudik SA-GDH.2 . . . . . . . . . . . . . . . . . . . . . . . . 224
KoyamaOhta type 1 identity-based conference key agreement . 227
SaeedniaSafavi-Naini identity-based conference key agreement . 230
Tzeng and Tzengs conference key agreement . . . . . . . . . . . . . . . . 233
Boyds conference key agreement . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
BurmesterDesmedt star protocol . . . . . . . . . . . . . . . . . . . . . . . . . . 236
HiroseYoshida conference key transport protocol . . . . . . . . . . . . 236
MayerYung conference key transport protocol . . . . . . . . . . . . . . . 238
ChiouChens key broadcasting . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Key broadcasting using secret sharing . . . . . . . . . . . . . . . . . . . . . . . 244
DiffieHellman-based EKE protocol . . . . . . . . . . . . . . . . . . . . . . . . . 250
PAK protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
PPK protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
PAK-R protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
SPEKE protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
KatzOstrovskyYung protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
Augmented DiffieHellman-based EKE protocol . . . . . . . . . . . . . . 261
PAK-Y protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
B-SPEKE protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
SRP protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264
AMP protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
GLNS secret public key protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Simplified GLNS secret public key protocol . . . . . . . . . . . . . . . . . . 269
Optimal GLNS secret public key protocol . . . . . . . . . . . . . . . . . . . 271
Steiner, Tsudik and Waidner three-party EKE . . . . . . . . . . . . . . . 271
SNAPI protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

List of Protocols

7.17
7.18
7.19
7.20
7.21
7.22
7.23

XXI

GLNS compact protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277


Optimal GLNS nonce-based protocol . . . . . . . . . . . . . . . . . . . . . . . . 278
KwonSong basic protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
HaleviKrawczyk password-based protocol . . . . . . . . . . . . . . . . . . . 280
YenLiu protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
LeeSohnYangWon protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
AndersonLomas protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

List of Attacks

1.1
1.2
1.3
2.1
2.2
2.3
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
3.9
3.10
3.11
4.1
4.2
4.3
4.4
4.5
4.6
5.1
5.2
5.3
5.4
5.5
5.6
5.7
5.8

Reflection attack on Protocol 1.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . 26


Typing attack on OtwayRees protocol . . . . . . . . . . . . . . . . . . . . . . 29
Certificate manipulation attack on MTI protocol . . . . . . . . . . . . . 30
Attack on Protocol 2.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
An attack on Protocol 2.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Lowes attack on Protocol 2.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
An oracle attack on Protocol 3.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Chosen protocol attack on MAP1 . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Abadis attack on Protocol 3.8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
ClarkJacob attack on Andrew protocol . . . . . . . . . . . . . . . . . . . . . 81
Lowes attack on revised Andrew protocol . . . . . . . . . . . . . . . . . . . 82
Attack on OtwayRees protocol without plaintext checking . . . . 89
Attack on OtwayRees protocol modified by Burrows et al. . . . 90
Attack on Wide-mouthed-frog protocol . . . . . . . . . . . . . . . . . . . . . . 95
Syversons attack on modified Yahalom protocol . . . . . . . . . . . . . . 97
Alternative Syversons attack on modified Yahalom protocol . . . 97
Insider attack on Protocol 3.41 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Canadian attack on Protocol 4.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Attack of ClarkJacob on SPLICE/AS protocol . . . . . . . . . . . . . . 114
Attack on Helsinki protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Lowes attack on NeedhamSchroeder public key protocol . . . . . 122
Attack on BellerYacobi protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Abadis attack on AKA protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Attack on basic DiffieHellman . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Small subgroup attack on MTI C(1) protocol . . . . . . . . . . . . . . . . 150
Unknown key-share attack on MTI B(0) protocol . . . . . . . . . . . . . 150
LimLee attack on MTI A(0) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
JustVaudenay impersonation attack on MTI A(0) protocol . . . 153
Key compromise impersonation on MTI C(0) . . . . . . . . . . . . . . . . 155
Unknown key-share attack on generic protocol . . . . . . . . . . . . . . . 156
Kaliskis unknown key-share attack on MQV protocol . . . . . . . . . 160

XXIV List of Attacks

5.9

Key compromise impersonation on JustVaudenaySongKim


protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
5.10 Attack on Park key agreement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
7.1 Ding and Horsters attack on Protocol 7.15 . . . . . . . . . . . . . . . . . . 272
7.2 LinSunHwang attack on Protocol 7.15 . . . . . . . . . . . . . . . . . . . . 272
7.3 Attack on Protocol 7.21 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

You might also like