短期静态ECDH和静态ECDH有什么区别？

Question

据我所知，ECDH可以与固定的公钥一起使用。我看到有两种类型的静态ECDH，一种是短暂的静态ECDH，另一种是静态ECDH.

这两种类型有什么不同？

Answer 1

静态的，静态的，差异的，地狱的，不是那么平常的。它使用两个静态密钥对(其中公钥和私钥都是静态的，而不仅仅是公钥)来建立秘密。通常，这些密钥是可信密钥:公钥通常嵌入在签名证书中。这样，静态Diffie-Hellman不仅可以用于派生秘密(会话)密钥，还可以用于验证双方的身份。您可以这样做，例如，验证对已知数据的MAC值或使用从共享秘密派生的秘密密钥计算的质询。

请注意，它需要使用(至少)一个静态的Diffie-Hellman (至少)一方生成的nonce :如果没有这个，导出的秘密将始终是相同的，因为Diffie-Hellman计算本身中没有新的数据。

静态-静态区分-Hellman不用于提供前向保密:如果一个私钥被对手发现，则可以计算共享的秘密(使用另一方的公钥)，并且所有的安全性都会丢失。

对于短暂的静态Diffie-Helman，一方为每个密钥协议生成一个新的密钥对。

只有具有静态密钥对的一方才能通过密钥协议本身进行身份验证。拥有短暂(短暂或转瞬即逝)密钥对的另一方可以在密钥协议之后进行身份验证。正如它现在所知道的，会话是可信方的，该身份验证可以是从签名生成到安全通道上的简单密码验证。

短暂的静态Diffie-Hellman也不提供前向保密。如果对手发现了静态私钥，则仍然可以为该密钥和它创建的所有其他连接计算共享秘密。当然，私钥可能会在持有临时密钥对的一方被销毁，这可能仍然会带来一些安全好处。

通常使用的是短时-短暂的Diffie-Hellman。这提供了前向保密:即使找到一个或两个私钥，其他会话仍然是安全的。为每个密钥协议重新生成两个密钥对。幸运的是，DH密钥对生成没有RSA密钥对生成那么慢。RSA或ECDSA可用于认证一方或双方。例如，TLS 1.3在(初始)握手过程中需要短暂的、短暂的DH。

请注意，还可以使用密钥封装方法或KEM封装密钥。例如，可以使用短暂的RSA-KEM在双方得到相同的键值。这使用了一边的封装和另一侧的解除封装/提取，然后私钥就可以被销毁了。然而，在RSA的情况下，生成一个新的密钥对所需的时间可能会出现问题。

所有这些都适用于Diffie-Hellman，使用乘法群(仅DH)以及ECDH。更多信息可以在文档特别出版物800-56A，第3版:使用离散对数密码体制建立配对智能密钥的建议中找到。看一看静态方案的C(0e，2s)和临时静态方案的C(1e，1s)。