Protocolos MTI

Los protocolos MTI son una familia de protocolos de distribución de claves desarrollados por T. Matsumoto , Y. Takashita y H. Imai y que llevan el nombre de sus autores. Los protocolos MTI se dividen en tres clases de protocolo: MTI/A, MTI/B, MTI/C. [una]

El protocolo de distribución de claves resuelve el problema de distribuir claves de cifrado secretas entre las partes que se comunican. El conjunto de dichos protocolos se divide en los siguientes tres tipos: [2]

intercambiar protocolos por claves ya generadas;
protocolos conjuntos de generación de claves (distribución de claves públicas);
Protocolos de distribución de claves previas.

Los protocolos MTI se clasifican como protocolos de distribución de clave pública.

Los protocolos de distribución de claves públicas se basan en el intercambio de mensajes entre usuarios, por lo que cada usuario calcula una clave de sesión secreta. En este caso, el cálculo de la clave de sesión antes del intercambio de mensajes es imposible. Por tanto, estos protocolos también se denominan [3] protocolos dinámicos de distribución de claves, en contraposición a los protocolos estáticos, en los que las claves se conocen incluso antes de la propia sesión de comunicación. Además, la creación de claves de sesión en los protocolos de distribución pública requiere que los usuarios conozcan solo las claves públicas, es decir, permite que un par de usuarios del sistema desarrollen una clave secreta compartida sin intercambiar claves privadas. Esto es lo que llevó a que dichos protocolos, inmediatamente después de su aparición en 1976, llamaran la atención de la comunidad internacional.

Historia

La idea de construir protocolos de distribución de clave abierta fue propuesta por primera vez por Whitfield Diffie y Martin Hellman en la Conferencia Nacional de Computación en junio de 1976. Y en noviembre de 1976, en su trabajo “ New Directions in Cryptography ”, propusieron el primer protocolo para la distribución de claves públicas [4] , llamado así por los nombres de los autores (protocolo Diffie-Hellman).

El primero de su tipo, el protocolo Diffie-Hellman, era vulnerable a ciertos tipos de ataques, en particular, ataques de intermediarios [2] . Para solucionar este problema, era necesario dotar a los usuarios de un mecanismo de autenticación. El algoritmo de cifrado asimétrico RSA [5] publicado en agosto de 1977 en la columna "Mathematical Games" de la revista Scientific American se convirtió en un mecanismo de este tipo , que permitió resolver el problema de la comunicación a través de un canal abierto.

En 1984, Taher El-Gamal propuso un protocolo Diffie-Hellman mejorado con la posibilidad de autenticación unidireccional, cuando solo una de las partes comunicantes puede verificar la autenticidad de la otra [6] . A diferencia de RSA , el protocolo ElGamal no estaba patentado y, por lo tanto, se convirtió en una alternativa más económica ya que no había que pagar derechos de licencia. Se cree que el algoritmo está cubierto por la patente Diffie-Hellman.

En febrero de 1986, T. Matsumoto, I. Takashima y H. Imai presentaron una solución al problema de la autenticación mutua sin el uso de RSA [7] . En sus protocolos MTI, la expresión secreta compartida contiene las claves pública y privada de los usuarios legales. Esta solución permite realizar la autenticación simultáneamente con el cálculo de la clave secreta compartida (un usuario ilegal no puede calcular el valor de la clave secreta).

Los protocolos MTI están actualmente incluidos en el estándar ISO/IEC 11770-3 [1] .

Descripción de los protocolos MTI [1]

Considere el proceso de intercambio de información entre las partes A y B. A continuación se encuentran las notaciones que se utilizarán para describir el funcionamiento de los protocolos MTI.

$pags$	número primo grande (al menos 1024 bits).
$q$	un número primo (del orden de 160 bits) que es divisor de . $p-1$
$GRAMO$	subgrupo de un grupo (generalmente de orden , pero a veces coincide con ) ${\ estilo de visualización \ mathbb {Z} _ {p}^{}}$ $q$ ${\ estilo de visualización \ mathbb {Z} _ {p}^{}}$
$gramo$	elemento generador de un subgrupo $GRAMO$
$a$ , $b$	claves privadas de las partes A y B
$A$ , $B$	claves públicas de las partes A y B : , . $A=g^{a}\mod\p$ ${\ estilo de visualización \ B = g ^ {b} \ mod \ p}$
$R_{A}$ , $R_{B}$	números enteros aleatorios, generalmente de la misma magnitud que el orden del grupo , elegidos por las partes A y B , respectivamente $GRAMO$
$M_{A}$ , ${\ estilo de visualización M_ {B}}$	mensajes enviados de A a B y de B a A , respectivamente.
$k$	clave de sesión secreta calculada por las partes A y B
${\ estilo de visualización (a, b)}$	el máximo común divisor de números y $a$ $b$

Todos los cálculos en el futuro se llevan a cabo en el grupo . ${\ estilo de visualización \ mathbb {Z} _ {p}^{*}}$

MTI/A(0) [8]

algoritmo de trabajo

Party elige un número aleatorio y envía un mensaje $A$ $R_{A}\en \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=g^{R_{A}}{\bmod {p}}$
Party elige un número aleatorio y envía un mensaje $B$ $R_{B}\en \mathbb {Z}_{q}^{*}$ $A$ $M_{B}=g^{R_{B}}{\bmod {p}}$
La parte calcula la clave de sesión: $A$ $K=B^{R_{A}}M_{B}^{a}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}$
La parte calcula la clave de sesión: $B$ $K=A^{R_{B}}M_{A}^{b}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}$

Cálculos realizados

A\colon K=B^{R_{A}}M_{B}^{a}{\bmod {p}}=(g^{b})^{R_{A}}(g^{ R_{B)))^{a}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}

B\colon K=A^{R_{B}}M_{A}^{b}{\bmod {p}}=(g^{a})^{R_{B}}(g^{ R_{A)))^{b}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}

MTI/B(0)

algoritmo de trabajo

Party elige un número aleatorio y envía un mensaje $A$ $R_{A}\en \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=B^{R_{A}}$
Party elige un número aleatorio y envía un mensaje $B$ $R_{B}\en \mathbb {Z}_{q}^{*}$ $A$ $M_{B}=A^{R_{B}}$
La parte calcula la clave de sesión: $A$ $K=M_{B}^{{a}^{-1}}g^{R_{A}}{\bmod {p}}=g^{R_{A}+R_{B}}{ \bmod{p}}$
La parte calcula la clave de sesión: $B$ $K=M_{A}^{{b}^{-1}}g^{R_{B}}{\bmod {p}}=g^{R_{A}+R_{B}}{ \bmod{p}}$

Cálculos realizados

K=M_{B}^{a^{-1}}g^{R_{A}}=(A^{R_{B}})^{a^{-1}}g^{R_ {A}}=(g^{{a}{R_{B}}})^{a^{-1}}g^{R_{A}}=g^{R_{A}+R_{B} }{\bmod {p}}

K=M_{A}^{b^{-1}}g^{R_{B}}=(B^{R_{A}})^{b^{-1}}g^{R_ {B}}=(g^{{b}{R_{A}}})^{b^{-1}}g^{R_{B}}=g^{R_{A}+R_{B} }{\bmod {p}}

MTI/C(0) [8]

algoritmo de trabajo

La parte elige un número aleatorio y le envía un mensaje a B. $A$ $R_{A}\en \mathbb {Z} _{q}^{*}$ $M_{A}=B^{R_{A}}$
Party elige un número aleatorio y envía el mensaje A $B$ $R_{B}\en \mathbb {Z}_{q}^{*}$ $M_{B}=A^{R_{B}}$
La parte calcula la clave de sesión: $A$ $K=M_{B}^{a^{-1}R_{A}}{\bmod {p}}=g^{R_{A}R_{B}}{\bmod {p}}$
La parte calcula la clave de sesión: $B$ $K=M_{A}^{b^{-1}R_{B}}{\bmod {p}}=g^{R_{A}R_{B}}{\bmod {p}}$

Cálculos realizados

K=M_{B}^{a^{-1}R_{A}}=(A^{R_{B}})^{a^{-1}R_{A}}=(g^ {aR_{B}})^{a^{-1}R_{A}}=g^{R_{A}R_{B}}

K=M_{A}^{b^{-1}R_{B}}=(B^{R_{A}})^{b^{-1}R_{B}}=(g^ {bR_{A}})^{b^{-1}R_{B}}=g^{R_{A}R_{B}}

MTI/A(k)

algoritmo de trabajo

La parte elige un número aleatorio y le envía un mensaje a B. $A$ $R_{A}\en \mathbb {Z} _{q}^{*}$ $M_{A}=g^{a^{k}R_{A))$
Party elige un número aleatorio y envía el mensaje A $B$ $R_{B}\en \mathbb {Z}_{q}^{*}$ $M_{B}=g^{b^{k}R_{B}}$
La parte calcula la clave de sesión: $A$ $K=B^{a^{k}R_{A}}M_{B}^{a}=g^{ba^{k}R_{A}+ab^{k}R_{B}}$
La parte calcula la clave de sesión: $B$ $K=A^{b^{k}R_{B}}M_{A}^{b}=g^{ab^{k}R_{B}+ba^{k}R_{A}}$

Cálculos realizados

A\dos puntos K=B^{a^{k}R_{A}}M_{B}^{a}=(g^{b})^{a^{k}R_{A}}( g^{b^{k}R_{B}})^{a}=g^{ab^{k}R_{B}+ba^{k}R_{A}}

B\colon K=A^{b^{k}R_{B}}M_{A}^{b}=(g^{a})^{b^{k}R_{B}}( g^{a^{k}R_{A}})^{b}=g^{ab^{k}R_{B}+ba^{k}R_{A}}

MTI/B(k)

algoritmo de trabajo

Party elige un número aleatorio y envía un mensaje $A$ $R_{A}\en \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=B^{a^{k}R_{A))$
Party elige un número aleatorio y envía un mensaje $B$ $R_{B}\en \mathbb {Z}_{q}^{*}$ $A$ $M_{B}=A^{b^{k}R_{B))$
La parte calcula la clave de sesión: $A$ $K=M_{B}^{a^{-1}}g^{a^{k}R_{A}}=g^{a^{k}R_{A}+b^{k} R_{B}}$
La parte calcula la clave de sesión: $B$ $K=M_{A}^{b^{-1}}g^{b^{k}R_{B}}=g^{a^{k}R_{A}+b^{k} R_{B}}$

Cálculos realizados

K=M_{B}^{a^{-1}}g^{a^{k}R_{A}}=(A^{b^{k}R_{B}})^{a ^{-1}}g^{a^{k}R_{A}}=(g^{ab^{k}R_{B}})^{a^{-1}}g^{a^{ k}R_{A}}=g^{a^{k}R_{A}+b^{k}R_{B}}

K=M_{A}^{b^{-1}}g^{b^{k}R_{B}}=(B^{a^{k}R_{A}})^{b ^{-1}}g^{b^{k}R_{B}}=(g^{ba^{k}R_{A}})^{b^{-1}}g^{b^{ k}R_{B}}=g^{a^{k}R_{A}+b^{k}R_{B}}

MTI/C(k)

algoritmo de trabajo

Party elige un número aleatorio y envía un mensaje $A$ $R_{A}\en \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=B^{a^{k}R_{A))$
Party elige un número aleatorio y envía un mensaje $B$ $R_{B}\en \mathbb {Z}_{q}^{*}$ $A$ $M_{B}=A^{b^{k}R_{B))$
La parte calcula la clave de sesión: $A$ $K=M_{B}^{a^{-1}a^{k}R_{A}}=g^{a^{k}R_{A}b^{k}R_{B}}$
La parte calcula la clave de sesión: $B$ $K=M_{A}^{b^{-1}b^{k}R_{B}}=g^{a^{k}R_{A}b^{k}R_{B}}$

Cálculos realizados

K=M_{B}^{a^{-1}a^{k}R_{A}}=(A^{b^{k}R_{B}})^{a^{-1 }a^{k}R_{A}}=(g^{ab^{k}R_{B}})^{a^{-1}a^{k}R_{A}}=g^{a ^{k}R_{A}b^{k}R_{B}}

K=M_{A}^{b^{-1}b^{k}R_{B}}=(B^{a^{k}R_{A}})^{b^{-1 }b^{k}R_{B}}=(g^{ba^{k}R_{A}})^{b^{-1}b^{k}R_{B}}=g^{a ^{k}R_{A}b^{k}R_{B}}

Análisis de protocolos MTI [3]

tabla de protocolo MTI

Protocolo	${\ estilo de visualización m_ {A}}$	$megabyte}$	$K_{A}$	$K_{B}$	$K_{AB}$
MTI/A(0)	$g^{r_{A))$	$g^{r_{B))$	$y_{B}^{r_{A}}m_{B}^{x_{A}}$	$y_{A}^{r_{B}}m_{A}^{x_{B}}$	$g^{x_{A}r_{B}+x_{B}r_{A))$
MTI/B(0)	$y_{B}^{r_{A}}$	$y_{A}^{r_{B))$	$m_{B}^{x_{A}^{-1}}g^{r_{A}}$	$m_{A}^{x_{B}^{-1}}g^{r_{B}}$	$g^{r_{A}+r_{B))$
MTI/C(0)	$y_{B}^{r_{A}}$	$y_{A}^{r_{B))$	$m_{B}^{x_{A}^{-1}r_{A))$	$m_{A}^{x_{B}^{-1}r_{B))$	$g^{r_{A}r_{B))$
MTI/A(k)	$g^{x_{A}^{k}r_{A}}$	$g^{x_{B}^{k}r_{B}}$	$y_{B}^{x_{A}^{k}r_{A}}m_{B}^{x_{A}}$	$y_{A}^{x_{B}^{k}r_{B}}m_{A}^{x_{B}}$	$g^{x_{A}x_{B}^{k}r_{B}+x_{B}x_{A}^{k}r_{A))$
MTI/B(k)	$y_{B}^{x_{A}^{k}r_{A))$	$y_{A}^{x_{B}^{k}r_{B))$	$m_{B}^{x_{A}^{-1}}g^{x_{A}^{k}r_{A}}$	$m_{A}^{x_{B}^{-1}}g^{x_{B}^{k}r_{B}}$	$g^{x_{A}^{k}r_{A}+x_{B}^{k}r_{B))$
MTI/C(k)	$y_{B}^{x_{A}^{k}r_{A))$	$y_{A}^{x_{B}^{k}r_{B))$	$m_{B}^{x_{A}^{-1}x_{A}^{k}r_{A))$	$m_{A}^{x_{B}^{-1}x_{B}^{k}r_{B}}$	$g^{x_{A}^{k}r_{A}x_{B}^{k}r_{B}}$

Los protocolos MTI/A y MTI/B requieren que cada usuario calcule tres exponentes, mientras que los protocolos MTI/C requieren solo dos exponentes para calcularse. El protocolo MTI/C(1) también tiene el beneficio adicional de no tener que calcular las inversas de y . Por otro lado, estos valores no cambian durante toda la sesión de comunicación y, por lo tanto, se pueden calcular por adelantado. $x_{A}$ $x_B$
Todas las partes de los protocolos MTI realizan operaciones similares y el funcionamiento de los protocolos no depende del orden en que se envían los mensajes de un lado a otro.
Los protocolos MTI/B y MTI/C requieren el conocimiento de las claves públicas de las otras partes, lo que puede requerir mensajes adicionales (si la información de la clave pública no cabe en los mensajes enviados a través de la red). Los protocolos MTI/A no requieren conocimiento de claves públicas, lo que evita transmisiones adicionales y retrasos de tiempo.
Las tres clases de protocolo proporcionan autenticación de clave implícita mutua, pero no proporcionan confirmación de clave ni autenticación de entidad.

Comparación de protocolos de distribución de claves

Protocolo	Clave de autenticación	Autenticación de origen	Confirmación de clave	Número de mensajes
Protocolo de Diffie-Hellman	perdido	perdido	perdido	2
Protocolo ElGamal	unilateral	perdido	perdido	una
MTI/A	mutuo implícito	perdido	perdido	2
MTI/B,C	mutuo implícito	perdido	perdido	2
STS	mutuo explícito	mutual	perdido	3

Ataques a protocolos MTI

Los protocolos MTI resisten los ataques pasivos, pero son vulnerables a los ataques activos [3] . A continuación se muestran ejemplos de ataques activos a los protocolos MTI.

Ataque de subgrupos pequeños a protocolos MTI/C [1]

Se aplica un ataque de subgrupos pequeños a la clase de protocolo MTI/C si el grupo coincide con group , como se esperaba en el protocolo original. Se supone que el criptoanalista conoce la factorización de un número en factores primos. Sea el factor primo más pequeño en la expansión del número . Denotemos . El ataque consiste en elevar todos los mensajes a una potencia , que traduce los elementos transmitidos a un pequeño subgrupo del grupo . $GRAMO$ $Z_{p}^{*}$ $mi$ ${\ estilo de visualización p-1}$ $s$ ${\ estilo de visualización p-1}$ ${\ estilo de visualización w = (p-1)/s}$ $w$ ${\ estilo de visualización G'}$ $GRAMO$

Efectivamente, e intercambiar mensajes de la forma . Elevar un elemento a una potencia da un elemento generador de un subgrupo de orden . Además, este orden es igual cuando y, respectivamente, o cuando contiene el número en su descomposición en factores primos , es decir . En todos los demás casos, el orden del subgrupo será igual a . $A$ $B$ ${\ estilo de visualización g^{r}}$ ${\ estilo de visualización g^{r}}$ $w$ $g^{wr}$ ${\ estilo de visualización G'}$ ${\frac {p-1}{(wr,p-1)))$ $una$ $s = 1$ ${\ estilo de visualización w = p-1}$ $r$ $s$ ${\ estilo de visualización (r, s) = s}$ ${\ estilo de visualización G'}$ $s$

El proceso de ataque al protocolo MTI/C(0) se describe a continuación. El criptoanalista está entre las partes y ( man-in-the-middle ). $mi$ $A$ $B$

Party elige un número aleatorio y envía un mensaje $A$ $r_{A}\in _{R}Z_{q}^{*}$ $B$ $m_{A}=y_{B}^{r_{A}}$
El criptoanalista intercepta el mensaje y lo envía $mi$ $A$ $B$ ${\displaystyle m_{A}^{w}=y_{B}^{r_{A}w))$
Party elige un número aleatorio y envía un mensaje $B$ $r_{B}\in _{R}Z_{q}^{*}$ $A$ $m_{B}=y_{A}^{r_{B}}$
El criptoanalista intercepta el mensaje y lo envía $mi$ $B$ $A$ ${\displaystyle m_{B}^{w}=y_{A}^{r_{B}w))$
La parte calcula la clave de sesión: $A$ $K_{AB}=m_{B}^{x_{A}^{-1}r_{A}}=g^{r_{A}r_{B}w}$
La parte calcula la clave de sesión: $B$ $K_{AB}=m_{A}^{x_{B}^{-1}r_{B}}=g^{r_{A}r_{B}w}$

La clave de sesión secreta recibida , al igual que los mensajes recibidos, es un elemento del pequeño subgrupo del grupo . Por tanto, el criptoanalista puede encontrar la clave mediante una búsqueda exhaustiva, comprobando los elementos del subgrupo como claves en la comunicación entre y . En este caso, cuanto menor sea el multiplicador , más rápido pasa el ataque. $K_{AB}$ ${\ estilo de visualización G'}$ $GRAMO$ $mi$ $K_{AB}$ ${\ estilo de visualización G'}$ $A$ $B$ $s$

Se puede prevenir un ataque a un subgrupo eligiendo un subgrupo de un grupo de primer orden . Porque mientras que la longitud es de unos 160 bits, la búsqueda exhaustiva resulta ser una tarea demasiado difícil para un criptoanalista . También es necesario verificar que los elementos recibidos en los mensajes estén en un grupo y no sean iguales a uno. $GRAMO$ $Z_{p}^{*}$ $q$ $q$ $mi$ $GRAMO$

Ataque con clave compartida desconocida [1] [3] [9]

Un ataque de clave pública desconocida requiere que el criptoanalista obtenga un certificado de clave pública a largo plazo que está vinculado a la clave pública de la parte mediante una fórmula . Esto significa que no conoce la clave secreta correspondiente a la clave pública . $mi$ $y_{E}$ $A$ $\colon y_{E}=y_{A}^{x_{E}}=g^{x_{A}x_{E}}$ $mi$ ${\ estilo de visualización x_ {A} x_ {E}}$ $y_{E}$

Un ataque con una clave compartida desconocida se lleva a cabo realizando la siguiente secuencia de acciones.

Party elige un número aleatorio y envía un mensaje $A$ $r_{A}\in _{R}Z_{q}^{*}$ $B$ $m_{A}=y_{B}^{r_{A}}$
El criptoanalista transmite el mensaje de a a sin cambios. $mi$ $y_{B}^{r_{A}}$ $A$ $B$
Party elige un número aleatorio y envía un mensaje $B$ $r_{B}\in _{R}Z_{q}^{*}$ $mi$ $y_{E}^{r_{B}}$
El criptoanalista recibe un mensaje de y envía un mensaje $mi$ $B$ $A$ $y_{E}^{r_{B}x_{E}^{-1))$
La parte calcula la clave de sesión: $A$ $K_{AB}=(y_{E}^{r_{B}x_{E}^{-1)))^{x_{A}^{-1}}g^{r_{A}} =g^{r_{A}+r_{B}}$
La parte calcula la clave de sesión: $B$ $K_{AB}=(y_{B}^{r_{A)))^{{x_{B}}^{-1}}g^{r_{A}}=g^{r_{A }+r_{B}}$

Las claves secretas calculadas por las partes y son iguales e iguales a . Al mismo tiempo , considera que la comparte con , mientras que considera que comparte la clave con . $A$ $B$ $g^{r_{A}+r_{B))$ $A$ $B$ $B$ $mi$

Aunque no puede calcular la clave de sesión secreta sin información adicional, la parte, sin embargo, conduce a una opinión errónea. $mi$ $K_{AB}$ $mi$ $B$

Para evitar este ataque, es necesario exigir a las autoridades de certificación que verifiquen que las partes que solicitan un certificado para alguna clave pública conocen la clave privada correspondiente . $y_{E}$ ${\ estilo de visualización x_ {E}}$

Notas

↑ 1 2 3 4 5 Boyd, Mathuria, 2003 , págs. 147-155.
↑ 1 2 Alferov, Zubov, Kuzmin et al., 2002 , p. 378, 387–396.
↑ 1 2 3 4 Menezes, Oorschot, Vanstone, 1996, 515-519 .
↑ Diffie, Hellman, 1976 .
↑ Gardner, 1977 .
↑ Elgamal, 1985 .
↑ Matsumoto, Takashima, Imai, 1986 .
↑ 1 2 Ratna Dutta, Rana Barua. Descripción general de los protocolos de acuerdos clave . - S. 9-10 .
↑ Cheremushkin A.V. Protocolos criptográficos: propiedades básicas y vulnerabilidades // Matemáticas discretas aplicadas: Apéndice. - 2009. - Nº 2 . - S. 115-150 . Archivado desde el original el 3 de noviembre de 2013.

Literatura

Diffie W. , Hellman M. E. Nuevas direcciones en criptografía // IEEE Trans . inf. Teoría / F. Kschischang - IEEE , 1976. - Vol. 22, edición. 6.- Pág. 644-654. — ISSN 0018-9448 ; 1557-9654 - doi:10.1109/TIT.1976.1055638
Gardner M. Un nuevo tipo de cifrado que tardaría millones de años en descifrarse // Sci . amer - Nueva York : NPG , 1977. - Vol. 237, edición. 2.- Pág. 120-124. — ISSN 0036-8733 ; 1946-7087 - doi:10.1038/SCIENTIFICAMERICAN0877-120
Elgamal T. Un criptosistema de clave pública y un esquema de firma basado en logaritmos discretos, un criptosistema de clave pública y un esquema de firma basado en logaritmos discretos // IEEE Trans . inf. Teoría / F. Kschischang - IEEE , 1985. - Vol. 31, edición. 4.- Pág. 469-472. — ISSN 0018-9448 ; 1557-9654 - doi:10.1109/TIT.1985.1057074 ; doi:10.1007/3-540-39568-7_2
Matsumoto T. , Takashima Y. , Imai H. Sobre la búsqueda de sistemas inteligentes de distribución de clave pública (inglés) // Transacciones del Instituto de Ingenieros en Electrónica y Comunicaciones de Japón. Sección E - Elsevier BV , 1986. - Vol. 69, edición. 2.- Pág. 99-106. — ISSN 0387-236X
Boyd C. , Mathuria A. 5.3 Protocolos MTI // Protocolos para autenticación y establecimiento de claves (inglés) - Springer Science + Business Media , 2003. - P. 147-155. — 321 pág. - ( Seguridad de la Información y Criptografía ) - ISBN 978-3-540-43107-7 - ISSN 1619-7100 ; 2197-845X - doi:10.1007/978-3-662-09527-0
Cheremushkin A. V. Protocolos criptográficos: propiedades básicas y vulnerabilidades // Matemática discreta aplicada: aplicación. - 2009. - Nº 2 . - S. 115-150 . Archivado desde el original el 3 de noviembre de 2013.
Alferov A. P. , Zubov A. Yu. , Kuzmin A. S. , Cheremushkin A. V. Capítulo 15. Protocolos de distribución de claves // Fundamentos de criptografía : Libro de texto - 2.ª ed., Rev. y adicional - M. : Helios ARV , 2002. - S. 378, 387-396. — ISBN 978-5-85438-137-6
Ratna Dutta, Rana Barua. Descripción general de los protocolos de acuerdos clave . - S. 9-10 . (enlace no disponible)
Sébastien Kunz-Jacques, David Pointcheval. Sobre la Seguridad de MTI/C0 y MQV . — 2006.
Menezes A. J. , Oorschot P. v. , Vanstone S. A. 12.6.1 Diffie-Hellman y protocolos de acuerdos clave relacionados // Handbook of Applied Cryptography (inglés) - CRC Press , 1996. - 816 p. - ( Matemáticas discretas y sus aplicaciones ) - ISBN 978-0-8493-8523-0