论文对两类“强壮”的门限密钥托管方案进行了系统分析 ,给出多种切实可行的攻击方法 ,指出它们都是不安全的 .首先 ,主要利用“可信度”函数等方法首次奠定了对密钥托管协议的形式化分析基础 .然后提出了对以上方案的两种阈下信道攻击 ,前者本质上属于“阴影会话密钥”攻击方法 ,后者则利用签名算法构造阈下信道 .通过成功实施各种欺骗攻击 ,指出两类方案并未在真正意义上解决诸如“一次监听 ,永远监听”、用户密钥碎片有效认证及鉴别恶意托管方等问题 .最后分析指出两类方案的“强壮性”值得商榷 ,并证明一些协议组件是不必要的 .

• 单位
  中国科学院软件研究所信息安全国家重点实验室; 中国科学院电子学研究所; 中国科学院研究生院