Protokoly MTI

Protokoly MTI jsou rodinou klíčových distribučních protokolů vyvinutých T. Matsumotem , Y. Takashitou a H. Imai a pojmenovaných po jejich autorech. Protokoly MTI jsou rozděleny do tří tříd protokolů: MTI/A, MTI/B, MTI/C. [jeden]

Protokol distribuce klíčů řeší problém distribuce tajných šifrovacích klíčů mezi komunikujícími stranami. Sada takových protokolů je rozdělena do následujících tří typů: [2]

výměnné protokoly pro již vygenerované klíče;
společné protokoly generování klíčů (distribuce veřejného klíče);
předklíčové distribuční protokoly.

Protokoly MTI jsou klasifikovány jako protokoly distribuce veřejného klíče.

Protokoly distribuce veřejného klíče jsou založeny na výměně zpráv mezi uživateli, v důsledku čehož každý uživatel vypočítá tajný klíč relace. V tomto případě je výpočet klíče relace před výměnou zpráv nemožný. Proto se tyto protokoly také nazývají [3] protokoly dynamické distribuce klíčů, na rozdíl od statických protokolů, ve kterých jsou klíče známy ještě před samotnou komunikační relací. Navíc vytváření klíčů relace ve veřejných distribučních protokolech vyžaduje, aby uživatelé znali pouze veřejné klíče, tzn. umožňuje dvojici systémových uživatelů vyvinout sdílený tajný klíč bez výměny soukromých klíčů. To vedlo k tomu, že tyto protokoly ihned po svém objevení v roce 1976 upoutaly pozornost mezinárodního společenství.

Historie

Myšlenku vytvoření otevřených distribučních protokolů poprvé navrhli Whitfield Diffie a Martin Hellman na National Computer Conference v červnu 1976. A v listopadu 1976 ve své práci „ New Directions in Cryptography “ navrhli první protokol pro distribuci veřejného klíče [4] , pojmenovaný podle jmen autorů (protokol Diffie-Hellman).

První svého druhu, protokol Diffie-Hellman, byl zranitelný vůči určitým typům útoků, zejména útokům typu man-in-the-middle [2] . K vyřešení tohoto problému bylo nutné poskytnout uživatelům autentizační mechanismus. Takovým mechanismem , který umožnil řešit problém komunikace otevřeným kanálem, se stal asymetrický šifrovací algoritmus RSA [5] publikovaný v srpnu 1977 v rubrice „Mathematical Games“ časopisu Scientific American .

V roce 1984 navrhl Taher El-Gamal vylepšený protokol Diffie-Hellman s možností jednosměrné autentizace, kdy pouze jedna z komunikujících stran může ověřit pravost té druhé [6] . Na rozdíl od RSA nebyl protokol ElGamal patentován, a proto se stal levnější alternativou, protože nebylo třeba platit žádné licenční poplatky. Předpokládá se, že algoritmus je pokryt patentem Diffie-Hellman.

V únoru 1986 představili T. Matsumoto, I. Takashima a H. Imai řešení problému vzájemné autentizace bez použití RSA [7] . V jejich protokolech MTI obsahuje sdílený tajný výraz veřejný i soukromý klíč legálních uživatelů. Toto řešení umožňuje provádět autentizaci současně s výpočtem sdíleného tajného klíče (nelegální uživatel nemůže vypočítat hodnotu tajného klíče).

Protokoly MTI jsou v současnosti součástí normy ISO/IEC 11770-3 [1] .

Popis protokolů MTI [1]

Zvažte proces výměny informací mezi stranami A a B. Níže jsou uvedeny zápisy, které budou použity k popisu činnosti protokolů MTI.

$p$	velké prvočíslo (alespoň 1024 bitů).
$q$	prvočíslo (řádově 160 bitů), které je dělitelem . $p-1$
$G$	podskupina skupiny (obvykle řádu , ale někdy se shoduje s ) $\mathbb {Z} _{p}^{}$ $q$ $\mathbb {Z} _{p}^{}$
$G$	generující prvek podskupiny $G$
$A$ , $b$	soukromé klíče stran A a B
$A$ , $B$	veřejné klíče stran A a B : , . $A=g^{a}\ mod\ p$ $\ B=g^{b}\ mod\ p$
$R_{A}$ , $R_{B}$	náhodná celá čísla, obvykle stejné velikosti jako pořadí skupiny , zvolená stranami A a B , v tomto pořadí $G$
$M_{A}$ , $M_{B}$	zprávy odeslané z A do B a z B do A .
$K$	tajný klíč relace vypočítaný stranami A a B
$(a,b)$	největší společný dělitel čísel a $A$ $b$

Veškeré budoucí výpočty jsou prováděny ve skupině . $\mathbb {Z} _{p}^{*}$

MTI/A(0) [8]

Pracovní algoritmus

Strana vybere náhodné číslo a odešle zprávu $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=g^{R_{A}}{\bmod {p}}$
Strana vybere náhodné číslo a odešle zprávu $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $A$ $M_{B}=g^{R_{B}}{\bmod {p}}$
Strana vypočítá klíč relace: $A$ $K=B^{R_{A}}M_{B}^{a}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}$
Strana vypočítá klíč relace: $B$ $K=A^{R_{B}}M_{A}^{b}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}$

Provedené výpočty

A\colon K=B^{R_{A}}M_{B}^{a}{\bmod {p}}=(g^{b})^{R_{A}}(g^{ R_{B)))^{a}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}

B\colon K=A^{R_{B}}M_{A}^{b}{\bmod {p}}=(g^{a})^{R_{B}}(g^{ R_{A)))^{b}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}

MTI/B(0)

Pracovní algoritmus

Strana vybere náhodné číslo a odešle zprávu $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=B^{R_{A}}$
Strana vybere náhodné číslo a odešle zprávu $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $A$ $M_{B}=A^{R_{B}}$
Strana vypočítá klíč relace: $A$ $K=M_{B}^{{a}^{-1}}g^{R_{A}}{\bmod {p}}=g^{R_{A}+R_{B}}{ \bmod{p}}$
Strana vypočítá klíč relace: $B$ $K=M_{A}^{{b}^{-1}}g^{R_{B}}{\bmod {p}}=g^{R_{A}+R_{B}}{ \bmod{p}}$

Provedené výpočty

K=M_{B}^{a^{-1}}g^{R_{A}}=(A^{R_{B}})^{a^{-1}}g^{R_ {A}}=(g^{{a}{R_{B}}})^{a^{-1}}g^{R_{A}}=g^{R_{A}+R_{B} }{\bmod {p}}

K=M_{A}^{b^{-1}}g^{R_{B}}=(B^{R_{A}})^{b^{-1}}g^{R_ {B}}=(g^{{b}{R_{A}}})^{b^{-1}}g^{R_{B}}=g^{R_{A}+R_{B} }{\bmod {p}}

MTI/C(0) [8]

Pracovní algoritmus

Strana vybere náhodné číslo a pošle B zprávu $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $M_{A}=B^{R_{A}}$
Strana vybere náhodné číslo a odešle zprávu A $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $M_{B}=A^{R_{B}}$
Strana vypočítá klíč relace: $A$ $K=M_{B}^{a^{-1}R_{A}}{\bmod {p}}=g^{R_{A}R_{B}}{\bmod {p}}$
Strana vypočítá klíč relace: $B$ $K=M_{A}^{b^{-1}R_{B}}{\bmod {p}}=g^{R_{A}R_{B}}{\bmod {p}}$

Provedené výpočty

K=M_{B}^{a^{-1}R_{A}}=(A^{R_{B}})^{a^{-1}R_{A}}=(g^ {aR_{B}})^{a^{-1}R_{A}}=g^{R_{A}R_{B}}

K=M_{A}^{b^{-1}R_{B}}=(B^{R_{A}})^{b^{-1}R_{B}}=(g^ {bR_{A}})^{b^{-1}R_{B}}=g^{R_{A}R_{B}}

MTI/A(k)

Pracovní algoritmus

Strana vybere náhodné číslo a pošle B zprávu $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $M_{A}=g^{a^{k}R_{A}}$
Strana vybere náhodné číslo a odešle zprávu A $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $M_{B}=g^{b^{k}R_{B}}$
Strana vypočítá klíč relace: $A$ $K=B^{a^{k}R_{A}}M_{B}^{a}=g^{ba^{k}R_{A}+ab^{k}R_{B}}$
Strana vypočítá klíč relace: $B$ $K=A^{b^{k}R_{B}}M_{A}^{b}=g^{ab^{k}R_{B}+ba^{k}R_{A}}$

Provedené výpočty

A\colon K=B^{a^{k}R_{A}}M_{B}^{a}=(g^{b})^{a^{k}R_{A}}( g^{b^{k}R_{B}})^{a}=g^{ab^{k}R_{B}+ba^{k}R_{A}}

B\colon K=A^{b^{k}R_{B}}M_{A}^{b}=(g^{a})^{b^{k}R_{B}}( g^{a^{k}R_{A}})^{b}=g^{ab^{k}R_{B}+ba^{k}R_{A}}

MTI/B(k)

Pracovní algoritmus

Strana vybere náhodné číslo a odešle zprávu $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=B^{a^{k}R_{A}}$
Strana vybere náhodné číslo a odešle zprávu $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $A$ $M_{B}=A^{b^{k}R_{B))$
Strana vypočítá klíč relace: $A$ $K=M_{B}^{a^{-1}}g^{a^{k}R_{A}}=g^{a^{k}R_{A}+b^{k} R_{B}}$
Strana vypočítá klíč relace: $B$ $K=M_{A}^{b^{-1}}g^{b^{k}R_{B}}=g^{a^{k}R_{A}+b^{k} R_{B}}$

Provedené výpočty

K=M_{B}^{a^{-1}}g^{a^{k}R_{A}}=(A^{b^{k}R_{B}})^{a ^{-1}}g^{a^{k}R_{A}}=(g^{ab^{k}R_{B}})^{a^{-1}}g^{a^{ k}R_{A}}=g^{a^{k}R_{A}+b^{k}R_{B}}

K=M_{A}^{b^{-1}}g^{b^{k}R_{B}}=(B^{a^{k}R_{A}})^{b ^{-1}}g^{b^{k}R_{B}}=(g^{ba^{k}R_{A}})^{b^{-1}}g^{b^{ k}R_{B}}=g^{a^{k}R_{A}+b^{k}R_{B}}

MTI/C(k)

Pracovní algoritmus

Strana vybere náhodné číslo a odešle zprávu $A$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=B^{a^{k}R_{A}}$
Strana vybere náhodné číslo a odešle zprávu $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $A$ $M_{B}=A^{b^{k}R_{B))$
Strana vypočítá klíč relace: $A$ $K=M_{B}^{a^{-1}a^{k}R_{A}}=g^{a^{k}R_{A}b^{k}R_{B}}$
Strana vypočítá klíč relace: $B$ $K=M_{A}^{b^{-1}b^{k}R_{B}}=g^{a^{k}R_{A}b^{k}R_{B}}$

Provedené výpočty

K=M_{B}^{a^{-1}a^{k}R_{A}}=(A^{b^{k}R_{B}})^{a^{-1 }a^{k}R_{A}}=(g^{ab^{k}R_{B}})^{a^{-1}a^{k}R_{A}}=g^{a ^{k}R_{A}b^{k}R_{B}}

K=M_{A}^{b^{-1}b^{k}R_{B}}=(B^{a^{k}R_{A}})^{b^{-1 }b^{k}R_{B}}=(g^{ba^{k}R_{A}})^{b^{-1}b^{k}R_{B}}=g^{a ^{k}R_{A}b^{k}R_{B}}

Analýza protokolů MTI [3]

Tabulka protokolu MTI

Protokol	$m_{A}$	$m_{B}$	$K_{A}$	$K_{B}$	$K_{AB}$
MTI/A(0)	$g^{r_{A))$	$g^{r_{B))$	$y_{B}^{r_{A}}m_{B}^{x_{A}}$	$y_{A}^{r_{B}}m_{A}^{x_{B}}$	$g^{x_{A}r_{B}+x_{B}r_{A}}$
MTI/B(0)	$y_{B}^{r_{A}}$	$y_{A}^{r_{B}}$	$m_{B}^{x_{A}^{-1}}g^{r_{A}}$	$m_{A}^{x_{B}^{-1}}g^{r_{B}}$	$g^{r_{A}+r_{B}}$
MTI/C(0)	$y_{B}^{r_{A}}$	$y_{A}^{r_{B}}$	$m_{B}^{x_{A}^{-1}r_{A))$	$m_{A}^{x_{B}^{-1}r_{B))$	$g^{r_{A}r_{B))$
MTI/A(k)	$g^{x_{A}^{k}r_{A))$	$g^{x_{B}^{k}r_{B))$	$y_{B}^{x_{A}^{k}r_{A}}m_{B}^{x_{A}}$	$y_{A}^{x_{B}^{k}r_{B}}m_{A}^{x_{B}}$	$g^{x_{A}x_{B}^{k}r_{B}+x_{B}x_{A}^{k}r_{A))$
MTI/B(k)	$y_{B}^{x_{A}^{k}r_{A))$	$y_{A}^{x_{B}^{k}r_{B))$	$m_{B}^{x_{A}^{-1}}g^{x_{A}^{k}r_{A}}$	$m_{A}^{x_{B}^{-1}}g^{x_{B}^{k}r_{B}}$	$g^{x_{A}^{k}r_{A}+x_{B}^{k}r_{B}}$
MTI/C(k)	$y_{B}^{x_{A}^{k}r_{A))$	$y_{A}^{x_{B}^{k}r_{B))$	$m_{B}^{x_{A}^{-1}x_{A}^{k}r_{A))$	$m_{A}^{x_{B}^{-1}x_{B}^{k}r_{B}}$	$g^{x_{A}^{k}r_{A}x_{B}^{k}r_{B))$

Protokoly MTI/A a MTI/B vyžadují, aby každý uživatel vypočítal tři exponenty, zatímco protokoly MTI/C vyžadují výpočet pouze dvou exponentů. Protokol MTI/C(1) má také další výhodu v tom, že nemusí počítat převrácené hodnoty a . Na druhou stranu se tyto hodnoty během celé komunikační relace nemění a lze je tedy vypočítat předem. $x_{A}$ $x_B$
Všechny strany v protokolech MTI provádějí podobné operace a fungování protokolů nezávisí na pořadí, ve kterém jsou zprávy odesílány z jedné strany na druhou.
Protokoly MTI/B a MTI/C vyžadují znalost veřejných klíčů ostatních stran, což může vyžadovat další zasílání zpráv (pokud se informace o veřejném klíči nevejdou do zpráv odesílaných přes síť). Protokoly MTI/A nevyžadují znalost veřejných klíčů, což zabraňuje dalším přenosům a časovým prodlevám.
Všechny tři třídy protokolů poskytují vzájemné implicitní ověřování pomocí klíče, ale neposkytují potvrzení klíče nebo ověřování entity.

Porovnání klíčových distribučních protokolů

Protokol	Autentizace klíče	Ověření zdroje	Potvrzení klíče	Počet zpráv
protokol Diffie-Hellman	chybějící	chybějící	chybějící	2
Protokol ElGamal	jednostranný	chybějící	chybějící	jeden
MTI/A	vzájemné implicitní	chybějící	chybějící	2
MTI/B,C	vzájemné implicitní	chybějící	chybějící	2
STS	vzájemné explicitní	vzájemné	chybějící	3

Útoky na protokoly MTI

Protokoly MTI odolávají pasivním útokům, ale jsou zranitelné vůči aktivním útokům [3] . Níže jsou uvedeny příklady aktivních útoků na protokoly MTI.

Útok malé podskupiny na protokoly MTI/C [1]

Útok malé podskupiny se použije na třídu protokolu MTI/C, pokud skupina odpovídá skupině , jak se očekává v původním protokolu. Předpokládá se, že kryptoanalytik zná rozklad čísla na prvočinitele. Dovolit být nejmenší prvočinitel v expanzi čísla . Označme . Útok spočívá ve zvýšení všech zpráv na moc , která převede přenášené prvky do malé podskupiny skupiny . $G$ $Z_{p}^{*}$ $E$ $p-1$ $s$ $p-1$ $w=(p-1)/s$ $w$ $G'$ $G$

Opravdu, a výměna zpráv formuláře . Povýšení prvku na moc dává generující prvek podskupiny řádu . Navíc je toto pořadí rovno buď tehdy , respektive, nebo když obsahuje číslo v rozkladu na prvočinitele , tzn. . Ve všech ostatních případech bude pořadí podskupiny rovno . $A$ $B$ ${\displaystyle g^{r))$ ${\displaystyle g^{r))$ $w$ ${\displaystyle g^{wr))$ $G'$ ${\frac {p-1}{(wr,p-1)))$ $jeden$ $s = 1$ $w=p-1$ $r$ $s$ $(r,s)=s$ $G'$ $s$

Proces napadení protokolu MTI/C(0) je popsán níže. Kryptanalytik je mezi stranami a ( man-in-the-middle ). $E$ $A$ $B$

Strana vybere náhodné číslo a odešle zprávu $A$ $r_{A}\in _{R}Z_{q}^{*}$ $B$ $m_{A}=y_{B}^{r_{A))$
Kryptanalytik zachytí zprávu od a odešle zprávu $E$ $A$ $B$ ${\displaystyle m_{A}^{w}=y_{B}^{r_{A}w))$
Strana vybere náhodné číslo a odešle zprávu $B$ $r_{B}\in _{R}Z_{q}^{*}$ $A$ $m_{B}=y_{A}^{r_{B}}$
Kryptanalytik zachytí zprávu od a odešle zprávu $E$ $B$ $A$ ${\displaystyle m_{B}^{w}=y_{A}^{r_{B}w))$
Strana vypočítá klíč relace: $A$ $K_{AB}=m_{B}^{x_{A}^{-1}r_{A}}=g^{r_{A}r_{B}w}$
Strana vypočítá klíč relace: $B$ $K_{AB}=m_{A}^{x_{B}^{-1}r_{B}}=g^{r_{A}r_{B}w}$

Přijatý tajný klíč relace , stejně jako přijaté zprávy, je prvkem malé podskupiny skupiny . Proto může kryptoanalytik najít klíč vyčerpávajícím hledáním, přičemž kontroluje prvky podskupiny jako klíče v komunikaci mezi a . V tomto případě platí, že čím menší je multiplikátor , tím rychleji útok přejde. $K_{AB}$ $G'$ $G$ $E$ $K_{AB}$ $G'$ $A$ $B$ $s$

Útoku na podskupinu lze zabránit výběrem podskupiny skupiny prvořadého řádu . Protože zatímco délka je asi 160 bitů, pak se vyčerpávající hledání ukazuje jako příliš obtížný úkol pro kryptoanalytika . Je také nutné zkontrolovat, že prvky přijaté ve zprávách jsou ve skupině a nejsou rovny jedné. $G$ $Z_{p}^{*}$ $q$ $q$ $E$ $G$

Útok s neznámým sdíleným klíčem [1] [3] [9]

Neznámý útok na veřejný klíč vyžaduje, aby kryptoanalytik získal dlouhodobý certifikát veřejného klíče , který je propojen s veřejným klíčem strany pomocí vzorce . To znamená, že nezná tajný klíč odpovídající veřejnému klíči . $E$ $y_{E}$ $A$ $\colon y_{E}=y_{A}^{x_{E}}=g^{x_{A}x_{E}}$ $E$ ${\displaystyle x_{A}x_{E))$ $y_{E}$

Útok s neznámým sdíleným klíčem se provádí provedením následující sekvence akcí.

Strana vybere náhodné číslo a odešle zprávu $A$ $r_{A}\in _{R}Z_{q}^{*}$ $B$ $m_{A}=y_{B}^{r_{A))$
Kryptanalytik přenese zprávu od do do beze změny. $E$ $y_{B}^{r_{A}}$ $A$ $B$
Strana vybere náhodné číslo a odešle zprávu $B$ $r_{B}\in _{R}Z_{q}^{*}$ $E$ $y_{E}^{r_{B))$
Kryptanalytik obdrží zprávu od a odešle zprávu $E$ $B$ $A$ $y_{E}^{r_{B}x_{E}^{-1))$
Strana vypočítá klíč relace: $A$ $K_{AB}=(y_{E}^{r_{B}x_{E}^{-1)))^{x_{A}^{-1}}g^{r_{A}} =g^{r_{A}+r_{B}}$
Strana vypočítá klíč relace: $B$ $K_{AB}=(y_{B}^{r_{A)))^{{x_{B}}^{-1}}g^{r_{A}}=g^{r_{A }+r_{B}}$

Tajné klíče vypočítané stranami a jsou stejné a rovné . Zároveň se domnívá , že jej sdílí s , zatímco se domnívá , že sdílí klíč s . $A$ $B$ $g^{r_{A}+r_{B}}$ $A$ $B$ $B$ $E$

Ačkoli není schopna vypočítat tajný klíč relace bez dalších informací, strana přesto vede k chybnému názoru. $E$ $K_{AB}$ $E$ $B$

Aby se tomuto útoku zabránilo, je nutné vyžadovat od certifikačních autorit, aby ověřily, že strany požadující certifikát pro nějaký veřejný klíč znají odpovídající soukromý klíč . $y_{E}$ $x_{E}$

Poznámky

↑ 1 2 3 4 5 Boyd, Mathuria, 2003 , str. 147-155.
↑ 1 2 Alferov, Zubov, Kuzmin et al., 2002 , str. 378, 387–396.
↑ 1 2 3 4 Menezes, Oorschot, Vanstone, 1996, 515-519 .
↑ Diffie, Hellman, 1976 .
↑ Gardner, 1977 .
↑ Elgamal, 1985 .
↑ Matsumoto, Takashima, Imai, 1986 .
↑ 1 2 Ratna Dutta, Rana Barua. Přehled protokolů klíčových dohod . - S. 9-10 .
↑ Cheremushkin A.V. Kryptografické protokoly: základní vlastnosti a zranitelnosti // Applied Discrete Mathematics: Appendix. - 2009. - č. 2 . - S. 115-150 . Archivováno z originálu 3. listopadu 2013.

Literatura

Diffie W. , Hellman M. E. Nové směry v kryptografii // IEEE Trans . inf. Teorie / F. Kschischang - IEEE , 1976. - Sv. 22, Iss. 6. - S. 644-654. — ISSN 0018-9448 ; 1557-9654 – doi:10.1109/TIT.1976.1055638
Gardner M. Nový druh šifry, jejíž prolomení by trvalo miliony let // Sci . amer. - NYC : NPG , 1977. - Sv. 237, Iss. 2. - S. 120-124. — ISSN 0036-8733 ; 1946-7087 - doi:10.1038/SCIENTIFICAMERICAN0877-120
Elgamal T. Kryptosystém s veřejným klíčem a schéma podpisu založené na diskrétních logaritmech, kryptosystém s veřejným klíčem a schéma podpisu založené na diskrétních logaritmech // IEEE Trans . inf. Teorie / F. Kschischang - IEEE , 1985. - Sv. 31, Iss. 4. - S. 469-472. — ISSN 0018-9448 ; 1557-9654 - doi:10.1109/TIT.1985.1057074 ; doi:10.1007/3-540-39568-7_2
Matsumoto T. , Takashima Y. , Imai H. On Seeking Smart Public-key Distribution Systems (anglicky) // Transactions of the Institute of Electronics and Communication Engineers of Japan. Sekce E - Elsevier BV , 1986. - Sv. 69, Iss. 2. - S. 99-106. — ISSN 0387-236X
Boyd C. , Mathuria A. 5.3 Protokoly MTI // Protokoly pro autentizaci a zřízení klíče (anglicky) - Springer Science + Business Media , 2003. - S. 147-155. — 321 s. - ( Informační bezpečnost a kryptografie ) - ISBN 978-3-540-43107-7 - ISSN 1619-7100 ; 2197-845X – doi:10.1007/978-3-662-09527-0
Cheremushkin A. V. Kryptografické protokoly: základní vlastnosti a zranitelnosti // Applied Discrete Mathematics: Application. - 2009. - č. 2 . - S. 115-150 . Archivováno z originálu 3. listopadu 2013.
Alferov A. P. , Zubov A. Yu. , Kuzmin A. S. , Cheremushkin A. V. Kapitola 15. Klíčové distribuční protokoly // Fundamentals of Cryptography : Textbook - 2nd ed., Rev. a doplňkové - M .: Helios ARV , 2002. - S. 378, 387-396. — ISBN 978-5-85438-137-6
Ratna Dutta, Rana Barua. Přehled protokolů klíčových dohod . - S. 9-10 . (nedostupný odkaz)
Sebastien Kunz-Jacques, David Pointcheval. O zabezpečení MTI/C0 a MQV . — 2006.
Menezes A. J. , Oorschot P. v. , Vanstone S. A. 12.6.1 Diffie-Hellman a související protokoly klíčových dohod // Handbook of Applied Cryptography (English) - CRC Press , 1996. - 816 s. — ( Diskrétní matematika a její aplikace ) — ISBN 978-0-8493-8523-0