Methods are described for two parties to use a small shared secret (S) to
mutually authenticate one another other over an insecure network. The
methods are secure against off-line dictionary attack and incorporate an
otherwise unauthenticated public key distribution system. One embodiment
uses two computers Alice and Bob, and a Diffie-Hellman exponential key
exchange in a large prime-order finite group. Both parties choose the same
generator of the group (g) as a function of S. Alice chooses a random
number R.sub.A, and sends g.sup.R.sup..sub.A to Bob. Bob chooses a random
R.sub.B, sends g.sup.R.sup..sub.B to Alice. Both compute a shared key
K=g.sup.(R.sup..sub.A .sup.R.sup..sub.B .sup.). Each party insures that K
is a generator of the group, verifies that the other knows K, and then
uses K as an authenticated key. Constraints are described to prevent
passive and active attacks. An extension is described where Alice proves
knowledge of S to Bob who knows only a one-way transformation of S. These
methods establish a secure, authenticated network session using only an
easily memorized password.
Methoden werden beschrieben, damit zwei Parteien ein kleines geteiltes Geheimnis (S) verwenden, um ein anderes anderes über einem unsicheren Netz gegenseitig zu beglaubigen. Die Methoden sind vor indirektem Wörterbuchangriff sicher und enthalten unauthenticated anders allgemeines Schlüsselverteilung System. Gebrauch mit einen Verkörperungen zwei Computer Alice und Bob und ein Diffie-Hellman exponentialer Schlüsselaustausch in einer großer Haupt-Auftrag begrenzten Gruppe. Beide Parteien wählen den gleichen Generator der Gruppe (g), der eine Funktion von S. Alice eine gelegentliche Zahl R.sub.A wählt, und schicken Bob. Bob g.sup.R.sup..sub.A wählt ein gelegentliches R.sub.B, schickt Alice g.sup.R.sup..sub.B. Beide berechnen ein geteiltes Schlüsselk=g.sup.(R.sup..sub.A sup.R.sup..sub.B sup.). Jede Partei versichert, daß K ein Generator der Gruppe ist, überprüft, daß die andere K kennt, und benutzt dann K während ein beglaubigter Schlüssel. Begrenzungen werden beschrieben, um die passiven und aktiven Angriffe zu verhindern. Eine Verlängerung wird beschrieben, wo Alice Wissen von S zu Bob prüft, der nur eine Einwegumwandlung von S kennt. Diese Methoden stellen einen sicheren, beglaubigten Netzlernabschnitt mit nur einem leicht gemerkten Kennwort her.
