概要

MQV(Menezes–Qu–Vanstone)は、基本的な鍵共有交換を拡張した、認証付きDiffie–Hellman方式の一群です。共有秘密を生成しつつ、暗黙的な相互認証を実現するよう設計されており、双方が自分の長期秘密鍵を送信せずにその知識を示します。実装は有限体上の方式と楕円曲線上の方式の両方で見られます。

設計と主な構成要素

MQVの構成は、各参加者の長期的な(静的な)鍵対、毎回新たに生成される一時的な鍵対、そして公開パラメータ(群の生成元)の三つの入力を組み合わせます。一時公開値から導かれる小さな関数を使ってスカラー値を調整し、最終的な共有値が静的鍵と一時鍵の両方に依存するようにします。この組み合わせにより、認証のないDiffie–Hellmanを狙う一般的な能動的攻撃に対する防御が図られます。

プロトコルの流れ

  • 各参加者は長期的な鍵対(静的鍵)を保持します。
  • 各セッションで一時鍵対を作成し、一時公開値を交換します。
  • 静的値と一時値の両方を用いて修正されたDiffie–Hellman値を計算し、そこからセッション鍵を導出します。

セキュリティ特性と分析

MQVは、鍵材料に識別情報を結び付けることで、能動的攻撃者、リプレイ攻撃、反射攻撃への耐性を提供することを目指しています。MQVの変種については、特定の数学的仮定の下で形式的な証明が存在しますが、実装では慎重なパラメータ処理と安全なハッシュが必要です。変種では、鍵漏えいなりすまし(KCI)耐性のような追加特性や、現代的なモデルでのより厳密な証明も扱われます。

変種、標準、実装

代表的な変種には、楕円曲線MQV(しばしばECMQVと呼ばれる)や、鍵混合関数または証明枠組みを調整した後続の改良版があります。MQVとその変種は、いくつかの公開鍵暗号ガイドラインやライブラリに取り入れられてきました。認証付きプロトコル全般の議論についてはプロトコルの概説を、鍵合意方式の比較については一般的な鍵合意資料を参照してください。

用途と注目点

MQVは、暗黙的な認証と効率的な二者間鍵確立が必要な場面、たとえば安全なメッセージング、スマートカード、一部の暗号ツールキットで利用されます。その設計は後続の認証付き鍵合意の研究に影響を与え、コンパクトで認証付きのDiffie–Hellman方式が必要な実装者にとって、なお有力な選択肢です。さらに詳しい技術的内容や仕様については、MQVおよび関連プロトコルに関する標準文書や学術的解説(Diffie–Hellman関連文献)を参照してください。