SKEME

• аутентификация собеседников — уверенность в том, кто является собеседником ^[2];
• совершенная прямая секретность (PFS) — потеря секретных ключей не ведёт к компрометации прошлой переписки ^[3];
• возможность отречения — третье лицо не сможет доказать, что сообщения написаны кем-либо другому адресату ^[4];
• строгая секретность — злоумышленник не может детектировать изменение секретного ключа ^[5];
• гибкость — четыре возможных режима работы позволяют достичь компромисса между производительностью и безопасностью ^[6].

Для описания протокола используются следующие обозначения:

• ${\displaystyle PKE_{A}(arg)}$ — шифрование сообщения ${\displaystyle arg}$ с открытым ключом, принадлежащим стороне A;
• ${\displaystyle H(arg)}$ — вычисление криптографической хеш-функции с аргументом ${\displaystyle arg}$;
• ${\displaystyle F_{K}}$ — псевдослучайная функция с ключом ${\displaystyle K}$, результат вычисления которой нельзя предсказать без знания ключа;
• ${\displaystyle id_{A},id_{B}}$ — идентификаторы сторон A и B соответственно;
• ${\displaystyle g,p}$ — генератор и модуль соответственно, используемые в протоколе Диффи — Хеллмана.

Во время первого этапа стороны A и B получают эфемерный ключ ${\displaystyle K_{0}}$, зная открытые ключи друг друга ^[7]. Для этого они обмениваются «половинками ключа», зашифрованными открытыми ключами друг друга, а затем комбинируют «половинки» при помощи хеш-функции.

${\displaystyle A\longrightarrow B\colon PKE_{B}(K_{A})}$

${\displaystyle B\longrightarrow A\colon PKE_{A}(K_{B})}$

${\displaystyle K_{0}=H(K_{A},K_{B})}$

Значения ${\displaystyle K_{A}}$ и ${\displaystyle K_{B}}$ должны быть выбраны случайным образом^[8]. Если сторона A следует протоколу, то она может быть уверена в том, что эфемерный ключ ${\displaystyle K_{0}}$ неизвестен никому, кроме B. Аналогично, сторона B может быть уверена в том, что эфемерный ключ не знает никто, кроме A^[9].

На втором этапе стороны используют протокол Диффи — Хеллмана^[10]. Сторона А выбирает случайное число ${\displaystyle x}$ и вычисляет значение ${\displaystyle g^{x}{\bmod {p}}}$. Сторона B выбирает случайное число ${\displaystyle y}$ и вычисляет значение ${\displaystyle g^{y}{\bmod {p}}}$. После этого, стороны обмениваются вычисленными значениями.

${\displaystyle A\longrightarrow B\colon g^{x}{\pmod {p}}}$

${\displaystyle B\longrightarrow A\colon g^{y}{\pmod {p}}}$

На третьем этапе происходит аутентификация ${\displaystyle g^{x}}$ и ${\displaystyle g^{y}}$, переданных во время второго этапа, с использованием эфемерного ключа ${\displaystyle K_{0}}$, полученного на первом этапе.

${\displaystyle A\longrightarrow B\colon F_{K_{0}}(g^{y},g^{x},id_{A},id_{B})}$

${\displaystyle B\longrightarrow A\colon F_{K_{0}}(g^{x},g^{y},id_{B},id_{A})}$

Включение ${\displaystyle g^{x}}$ в первое сообщение позволяет стороне B убедиться в том, что значение ${\displaystyle g^{x}}$ на втором этапе было действительно передано стороной A^[11]. Значение ${\displaystyle g^{y}}$ в этом же сообщении позволяет B защититься от атаки повторного воспроизведения^[12].

Результатом выполнения протокола является сессионный ключ, вычисляемый как ${\displaystyle SK=H(g^{xy}{\bmod {p}})}$^[13].

Режим SKEME без PFS предоставляет возможность обмена ключами без вычислительных затрат, необходимых для обеспечения PFS ^[14]. Для этого на втором этапе вместо значений ${\displaystyle g^{x}}$ и ${\displaystyle g^{y}}$, стороны посылают друг другу случайные числа ${\displaystyle nonce_{A}}$ и ${\displaystyle nonce_{B}}$.

${\displaystyle A\longrightarrow B\colon nonce_{A}}$

${\displaystyle B\longrightarrow A\colon nonce_{B}}$

Третий этап тоже модифицируется. Аргументы функции ${\displaystyle F_{K_{0}}}$ меняются с ${\displaystyle g^{x}}$ и ${\displaystyle g^{y}}$ на ${\displaystyle nonce_{A}}$ и ${\displaystyle nonce_{B}}$ соответственно.

${\displaystyle A\longrightarrow B\colon F_{K_{0}}(nonce_{B},nonce_{A},id_{A},id_{B})}$

${\displaystyle B\longrightarrow A\colon F_{K_{0}}(nonce_{A},nonce_{B},id_{B},id_{A})}$

Данная модификация второго и третьего этапа позволяет сторонам убедиться в том, что ключ ${\displaystyle K_{0}}$, полученный на первом этапе, известен обеим сторонам. ^[15].

Результатом выполнения протокола в данном режиме является сессионный ключ, вычисляемый как ${\displaystyle SK=F_{K_{0}}(arg)}$, где ${\displaystyle arg=F_{K_{0}}(nonce_{B},nonce_{A},id_{A},id_{B})}$ ^[16].

В данном режиме предполагается, что сторонам уже известен секретный ключ (например, ключ задан вручную), и они используют этот ключ для того, чтобы получить новый сессионный ключ ^[17]. В этом режиме первый этап можно пропустить и использовать секретный ключ вместо ${\displaystyle K_{0}}$. В этом режиме обеспечивается perfect forward secrecy ^[18].

Сессионный ключ в данном режиме вычисляется так же, как в базовом ^[19].

Fast Re-Key — самый быстрый режим протокола SKEME ^[20]. Этот режим позволяет часто обновлять ключ без вычислительных затрат на асимметричное шифрование и на использование протокола Диффи — Хеллмана ^[21].

В этом режиме предполагается, что ключ ${\displaystyle K_{0}}$ известен сторонам с предыдущего раунда протокола. Первый этап пропускается, а второй и третий этап, а также вычисление сессионного ключа выполняются так же, как в режиме SKEME без PFS ^[22].