什么是妥协后的安全措施？

Question

在阅读了这些关于妥协后安全的论文后：

• 后妥协安全
• 异步棘轮树 我的理解是:如果协议提供了密钥更新过程，并且如果对手是passive. ，那么密钥协议协议就有可能提供妥协后的安全性，因此，ECDH这样的密钥协议可以更新以提供妥协后的安全性吗?，以及我对妥协后安全性的理解是否正确？

Answer 1

如果当前消息的密钥被破坏，则泄漏后的安全性将确保将来的消息安全。它通过使用键更新过程来自我修复。密钥更新过程通过使用非标准密钥交换(如DHE和密钥派生链)为未来消息派生新密钥。

如果您的当前密钥被外部源破坏，那么在任何时候下一次DHE都会发生，它将从这一点派生出新的密钥。因此，已泄漏的密钥不能用于解密未来的消息。而在密钥派生链中，如果它为每条消息输出单独的键，则妥协一个键不会影响未来的键，但条件是作为输入进入链的键不应该被破坏，因为它充当种子。

根据会话期间DHE发生的频率，攻击者只能破坏消息的子集。但是由于DHE本身可以被MITM破坏，所以只有当攻击者被动地监听通信并依赖外部源来破坏密钥时，DHE才能正常工作。

信号协议通过使用DHE与每条传入消息交换新密钥来实现这一点，并从对称棘轮中为每条消息导出新密钥。