Всем привет!
Не могу понять как Алиса проверяет правильность пароля.
Обмен ключами идёт по алгоритму Diffie-Hellman
Чтобы исключить возможность атаки "человек в середине" применяется проверка правильности пароля.

Исходные данные:

Алиса
a = random()
A = g**a % m 

Боб
b = random()
B = g**b % m

Общие
g,m,A,B
C = hash(password)
D = hash(A|B) (| - конкатенация)
K = A**b%m = B**a%m = (g**(a*b))%m
Проблема

Боб генерит строку проверки пароля
X = (((D+A)%m)**(C+b)) %m
и отправляет Алисе hash(X)
а дальше я никак не могу придумать как Алиса проверяет правильность, но она как-то вычисляет X на своей стороне не зная b
Помогите, plz, с алгоритмом, а то у меня с математикой плохо.  



 

Это сообщение отредактировал(а) drG100k - 20.5.2013, 12:37

Наверное, нужно воспользоваться равенством ((D+A)%m)**(C+b) = ((D+A)%m)**C * ((D+A)%m)**b. Алиса знает левый множитель, но с правым тупик.

Можно не использовать отдельный протокол аутентификации, а просто в качестве сеансового ключа вычислять (g**(a*b))**p % m, где p - пароль (хэш), известный только двум сторонам. Тогда злоумышленник не сможет вычислить ключ.

Да, можно и так, но я столкнулся именно со случаем в примере.
К тому же, имея на руках алгоритм только Алисы или только Боба написать "человек по середине" становится сложнее.
Логично предположить что и здесь  X = f(K,p), но вот как заменить (D+A)**b %m на что-то эквивалентное на стороне Алисы?