MTI protokoller

MTI-protokoller er en familie af nøgledistributionsprotokoller udviklet af T. Matsumoto , Y. Takashita og H. Imai og opkaldt efter deres forfattere. MTI-protokoller er opdelt i tre protokolklasser: MTI/A, MTI/B, MTI/C. [en]

Nøgledistributionsprotokollen løser problemet med at distribuere hemmelige krypteringsnøgler mellem kommunikerende parter. Sættet af sådanne protokoller er opdelt i følgende tre typer: [2]

udveksle protokoller for allerede genererede nøgler;
fælles nøglegenereringsprotokoller (distribution af offentlig nøgle);
præ-nøgle distributionsprotokoller.

MTI-protokollerne er klassificeret som offentlige nøgledistributionsprotokoller.

Protokoller til distribution af offentlige nøgler er baseret på udveksling af meddelelser mellem brugere, som et resultat af hvilke hver bruger beregner en hemmelig sessionsnøgle. I dette tilfælde er det umuligt at beregne sessionsnøglen før udvekslingen af meddelelser. Derfor kaldes disse protokoller også [3] dynamiske nøgledistributionsprotokoller, i modsætning til statiske protokoller, hvor nøglerne er kendt allerede før selve kommunikationssessionen. Derudover kræver oprettelsen af sessionsnøgler i offentlige distributionsprotokoller, at brugerne kun kender de offentlige nøgler, dvs. giver et par systembrugere mulighed for at udvikle en delt hemmelig nøgle uden at udveksle private nøgler. Det er det, der førte til, at sådanne protokoller umiddelbart efter deres fremkomst i 1976 tiltrak det internationale samfunds opmærksomhed.

Historie

Ideen om at bygge åbne nøgledistributionsprotokoller blev først foreslået af Whitfield Diffie og Martin Hellman ved National Computer Conference i juni 1976. Og i november 1976 foreslog de i deres arbejde " New Directions in Cryptography " den første protokol til offentlig nøgledistribution [4] , opkaldt efter navnene på forfatterne (Diffie-Hellman-protokollen).

Den første af sin slags, Diffie-Hellman-protokollen, var sårbar over for visse typer angreb, især man-in-the-middle-angreb [2] . For at løse dette problem var det nødvendigt at give brugerne en godkendelsesmekanisme. Den asymmetriske RSA -krypteringsalgoritme [5] offentliggjort i august 1977 i spalten "Mathematical Games" i magasinet Scientific American blev en sådan mekanisme , som gjorde det muligt at løse kommunikationsproblemet gennem en åben kanal.

I 1984 foreslog Taher El-Gamal en forbedret Diffie-Hellman protokol med mulighed for envejsgodkendelse, når kun en af de kommunikerende parter kan verificere ægtheden af den anden [6] . I modsætning til RSA var ElGamal -protokollen ikke patenteret og blev derfor et billigere alternativ, da der ikke var nogen licensgebyrer at betale. Algoritmen menes at være omfattet af Diffie-Hellman-patentet.

I februar 1986 præsenterede T. Matsumoto, I. Takashima og H. Imai en løsning på problemet med gensidig autentificering uden brug af RSA [7] . I deres MTI-protokoller indeholder det delte hemmelige udtryk både de offentlige og private nøgler fra legitime brugere. Denne løsning gør det muligt at udføre autentificering samtidig med beregningen af den delte hemmelige nøgle (en ulovlig bruger kan ikke beregne værdien af den hemmelige nøgle).

MTI-protokoller er i øjeblikket inkluderet i ISO/IEC 11770-3 [1] -standarden .

Beskrivelse af MTI-protokoller [1]

Overvej processen med informationsudveksling mellem part A og B. Nedenfor er de notationer, der vil blive brugt til at beskrive driften af MTI-protokollerne.

$s$	stort primtal (mindst 1024 bit).
$q$	et primtal (i størrelsesordenen 160 bit), der er en divisor af . $p-1$
$G$	undergruppe af en gruppe (normalt af orden , men falder nogle gange sammen med ) $\mathbb {Z} _{p}^{}$ $q$ $\mathbb {Z} _{p}^{}$
$g$	genererende element i en undergruppe $G$
$-en$ , $b$	private nøgler fra part A og B
$EN$ , $B$	offentlige nøgler for part A og B : , . $A=g^{a}\ mod\ p$ $\ B=g^{b}\ mod\ p$
$R_{A}$ , $R_{B}$	tilfældige heltal, sædvanligvis af samme størrelse som rækkefølgen af gruppen , valgt af henholdsvis parterne A og B . $G$
$M_{A}$ , $M_{B}$	beskeder sendt fra henholdsvis A til B og fra B til A .
$K$	hemmelig sessionsnøgle beregnet af part A og B
$(a,b)$	den største fælles divisor af tal og $-en$ $b$

Alle beregninger i fremtiden udføres i gruppen . $\mathbb {Z} _{p}^{*}$

MTI/A(0) [8]

Arbejdsalgoritme

Part vælger et tilfældigt tal og sender en besked $EN$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=g^{R_{A}}{\bmod {p}}$
Part vælger et tilfældigt tal og sender en besked $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $EN$ $M_{B}=g^{R_{B}}{\bmod {p}}$
Parten beregner sessionsnøglen: $EN$ $K=B^{R_{A}}M_{B}^{a}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}$
Parten beregner sessionsnøglen: $B$ $K=A^{R_{B}}M_{A}^{b}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}$

Udførte beregninger

A\colon K=B^{R_{A}}M_{B}^{a}{\bmod {p}}=(g^{b})^{R_{A}}(g^{ R_{B)))^{a}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}

B\colon K=A^{R_{B}}M_{A}^{b}{\bmod {p}}=(g^{a})^{R_{B}}(g^{ R_{A)))^{b}{\bmod {p}}=g^{aR_{B}+bR_{A}}{\bmod {p}}

MTI/B(0)

Arbejdsalgoritme

Part vælger et tilfældigt tal og sender en besked $EN$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=B^{R_{A}}$
Part vælger et tilfældigt tal og sender en besked $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $EN$ $M_{B}=A^{R_{B))$
Parten beregner sessionsnøglen: $EN$ $K=M_{B}^{{a}^{-1}}g^{R_{A}}{\bmod {p}}=g^{R_{A}+R_{B}}{ \bmod{p}}$
Parten beregner sessionsnøglen: $B$ $K=M_{A}^{{b}^{-1}}g^{R_{B}}{\bmod {p}}=g^{R_{A}+R_{B}}{ \bmod{p}}$

Udførte beregninger

K=M_{B}^{a^{-1}}g^{R_{A}}=(A^{R_{B}})^{a^{-1}}g^{R_ {A}}=(g^{{a}{R_{B}}})^{a^{-1}}g^{R_{A}}=g^{R_{A}+R_{B} }{\bmod {p}}

K=M_{A}^{b^{-1}}g^{R_{B}}=(B^{R_{A}})^{b^{-1}}g^{R_ {B}}=(g^{{b}{R_{A}}})^{b^{-1}}g^{R_{B}}=g^{R_{A}+R_{B} }{\bmod {p}}

MTI/C(0) [8]

Arbejdsalgoritme

Part vælger et tilfældigt tal og sender B en besked $EN$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $M_{A}=B^{R_{A}}$
Part vælger et tilfældigt tal og sender besked A $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $M_{B}=A^{R_{B))$
Parten beregner sessionsnøglen: $EN$ $K=M_{B}^{a^{-1}R_{A}}{\bmod {p}}=g^{R_{A}R_{B}}{\bmod {p}}$
Parten beregner sessionsnøglen: $B$ $K=M_{A}^{b^{-1}R_{B}}{\bmod {p}}=g^{R_{A}R_{B}}{\bmod {p}}$

Udførte beregninger

K=M_{B}^{a^{-1}R_{A}}=(A^{R_{B}})^{a^{-1}R_{A}}=(g^ {aR_{B}})^{a^{-1}R_{A}}=g^{R_{A}R_{B}}

K=M_{A}^{b^{-1}R_{B}}=(B^{R_{A}})^{b^{-1}R_{B}}=(g^ {bR_{A}})^{b^{-1}R_{B}}=g^{R_{A}R_{B}}

MTI/A(k)

Arbejdsalgoritme

Part vælger et tilfældigt tal og sender B en besked $EN$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $M_{A}=g^{a^{k}R_{A))$
Part vælger et tilfældigt tal og sender besked A $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $M_{B}=g^{b^{k}R_{B}}$
Parten beregner sessionsnøglen: $EN$ $K=B^{a^{k}R_{A}}M_{B}^{a}=g^{ba^{k}R_{A}+ab^{k}R_{B}}$
Parten beregner sessionsnøglen: $B$ $K=A^{b^{k}R_{B}}M_{A}^{b}=g^{ab^{k}R_{B}+ba^{k}R_{A}}$

Udførte beregninger

A\colon K=B^{a^{k}R_{A}}M_{B}^{a}=(g^{b})^{a^{k}R_{A}}( g^{b^{k}R_{B}})^{a}=g^{ab^{k}R_{B}+ba^{k}R_{A}}

B\colon K=A^{b^{k}R_{B}}M_{A}^{b}=(g^{a})^{b^{k}R_{B}}( g^{a^{k}R_{A}})^{b}=g^{ab^{k}R_{B}+ba^{k}R_{A}}

MTI/B(k)

Arbejdsalgoritme

Part vælger et tilfældigt tal og sender en besked $EN$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=B^{a^{k}R_{A}}$
Part vælger et tilfældigt tal og sender en besked $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $EN$ $M_{B}=A^{b^{k}R_{B}}$
Parten beregner sessionsnøglen: $EN$ $K=M_{B}^{a^{-1}}g^{a^{k}R_{A}}=g^{a^{k}R_{A}+b^{k} R_{B}}$
Parten beregner sessionsnøglen: $B$ $K=M_{A}^{b^{-1}}g^{b^{k}R_{B}}=g^{a^{k}R_{A}+b^{k} R_{B}}$

Udførte beregninger

K=M_{B}^{a^{-1}}g^{a^{k}R_{A}}=(A^{b^{k}R_{B}})^{a ^{-1}}g^{a^{k}R_{A}}=(g^{ab^{k}R_{B}})^{a^{-1}}g^{a^{ k}R_{A}}=g^{a^{k}R_{A}+b^{k}R_{B}}

K=M_{A}^{b^{-1}}g^{b^{k}R_{B}}=(B^{a^{k}R_{A}})^{b ^{-1}}g^{b^{k}R_{B}}=(g^{ba^{k}R_{A}})^{b^{-1}}g^{b^{ k}R_{B}}=g^{a^{k}R_{A}+b^{k}R_{B}}

MTI/C(k)

Arbejdsalgoritme

Part vælger et tilfældigt tal og sender en besked $EN$ $R_{A}\in \mathbb {Z} _{q}^{*}$ $B$ $M_{A}=B^{a^{k}R_{A}}$
Part vælger et tilfældigt tal og sender en besked $B$ $R_{B}\in \mathbb {Z} _{q}^{*}$ $EN$ $M_{B}=A^{b^{k}R_{B}}$
Parten beregner sessionsnøglen: $EN$ $K=M_{B}^{a^{-1}a^{k}R_{A}}=g^{a^{k}R_{A}b^{k}R_{B}}$
Parten beregner sessionsnøglen: $B$ $K=M_{A}^{b^{-1}b^{k}R_{B}}=g^{a^{k}R_{A}b^{k}R_{B}}$

Udførte beregninger

K=M_{B}^{a^{-1}a^{k}R_{A}}=(A^{b^{k}R_{B}})^{a^{-1 }a^{k}R_{A}}=(g^{ab^{k}R_{B}})^{a^{-1}a^{k}R_{A}}=g^{a ^{k}R_{A}b^{k}R_{B}}

K=M_{A}^{b^{-1}b^{k}R_{B}}=(B^{a^{k}R_{A}})^{b^{-1 }b^{k}R_{B}}=(g^{ba^{k}R_{A}})^{b^{-1}b^{k}R_{B}}=g^{a ^{k}R_{A}b^{k}R_{B}}

Analyse af MTI-protokoller [3]

MTI protokol tabel

Protokol	$m_{A}$	$m_{B}$	$K_{A}$	$K_{B}$	$K_{AB}$
MTI/A(0)	$g^{r_{A))$	$g^{r_{B))$	$y_{B}^{r_{A}}m_{B}^{x_{A}}$	$y_{A}^{r_{B}}m_{A}^{x_{B}}$	$g^{x_{A}r_{B}+x_{B}r_{A))$
MTI/B(0)	$y_{B}^{r_{A))$	$y_{A}^{r_{B))$	$m_{B}^{x_{A}^{-1}}g^{r_{A}}$	$m_{A}^{x_{B}^{-1}}g^{r_{B}}$	$g^{r_{A}+r_{B}}$
MTI/C(0)	$y_{B}^{r_{A))$	$y_{A}^{r_{B))$	$m_{B}^{x_{A}^{-1}r_{A))$	$m_{A}^{x_{B}^{-1}r_{B))$	$g^{r_{A}r_{B))$
MTI/A(k)	$g^{x_{A}^{k}r_{A))$	$g^{x_{B}^{k}r_{B))$	$y_{B}^{x_{A}^{k}r_{A}}m_{B}^{x_{A}}$	$y_{A}^{x_{B}^{k}r_{B}}m_{A}^{x_{B}}$	$g^{x_{A}x_{B}^{k}r_{B}+x_{B}x_{A}^{k}r_{A))$
MTI/B(k)	$y_{B}^{x_{A}^{k}r_{A))$	$y_{A}^{x_{B}^{k}r_{B))$	$m_{B}^{x_{A}^{-1}}g^{x_{A}^{k}r_{A}}$	$m_{A}^{x_{B}^{-1}}g^{x_{B}^{k}r_{B}}$	$g^{x_{A}^{k}r_{A}+x_{B}^{k}r_{B))$
MTI/C(k)	$y_{B}^{x_{A}^{k}r_{A))$	$y_{A}^{x_{B}^{k}r_{B))$	$m_{B}^{x_{A}^{-1}x_{A}^{k}r_{A))$	$m_{A}^{x_{B}^{-1}x_{B}^{k}r_{B))$	$g^{x_{A}^{k}r_{A}x_{B}^{k}r_{B))$

MTI/A- og MTI/B-protokollerne kræver, at hver bruger beregner tre eksponenter, mens MTI/C-protokollerne kun kræver to eksponenter, der skal beregnes. MTI/C(1)-protokollen har også den ekstra fordel, at den ikke skal beregne inverserne af og . På den anden side ændres disse værdier ikke under hele kommunikationssessionen og kan derfor beregnes på forhånd. $x_{A}$ $x_B$
Alle parter i MTI-protokollerne udfører lignende operationer, og driften af protokollerne afhænger ikke af rækkefølgen, hvori beskeder sendes fra den ene side til den anden.
MTI/B- og MTI/C-protokollerne kræver viden om de andre parters offentlige nøgler, hvilket kan kræve yderligere meddelelser (hvis den offentlige nøgleinformation ikke passer i meddelelser sendt over netværket). MTI/A-protokoller kræver ikke kendskab til offentlige nøgler, hvilket undgår yderligere transmissioner og tidsforsinkelser.
Alle tre protokolklasser giver gensidig implicit nøglegodkendelse, men giver ikke nøglebekræftelse eller enhedsgodkendelse.

Sammenligning af nøgledistributionsprotokoller

Protokol	Nøglegodkendelse	Kildegodkendelse	Nøglebekræftelse	Antal beskeder
Diffie-Hellman protokol	mangler	mangler	mangler	2
ElGamal-protokollen	ensidigt	mangler	mangler	en
MTI/A	gensidig implicit	mangler	mangler	2
MTI/B,C	gensidig implicit	mangler	mangler	2
STS	gensidig eksplicit	gensidig	mangler	3

Angreb på MTI-protokoller

MTI-protokoller modstår passive angreb, men er sårbare over for aktive angreb [3] . Nedenfor er eksempler på aktive angreb på MTI-protokoller.

Lille undergruppeangreb på MTI/C-protokoller [1]

Et lille undergruppeangreb anvendes på MTI/C-protokolklassen, hvis gruppen matcher gruppen , som forventet i den originale protokol. Det antages, at kryptoanalytikeren kender faktoriseringen af et tal til primfaktorer. Lad være den mindste primfaktor i udvidelsen af tallet . Lad os betegne . Angrebet består i at hæve alle beskeder til en magt , som oversætter de transmitterede elementer til en lille undergruppe af gruppen . $G$ $Z_{p}^{*}$ $E$ $p-1$ $s$ $p-1$ $w=(p-1)/s$ $w$ $G'$ $G$

Faktisk, og udveksle beskeder i formen . At hæve et element til en potens giver et genererende element af en undergruppe af orden . Desuden er denne rækkefølge ens , enten når og, henholdsvis, eller når den indeholder tallet i sin nedbrydning i primfaktorer , dvs. . I alle andre tilfælde vil rækkefølgen af undergruppen være lig med . $EN$ $B$ $g^{r}$ $g^{r}$ $w$ $g^{wr}$ $G'$ ${\frac {p-1}{(wr,p-1)))$ $en$ $s = 1$ $w=p-1$ $r$ $s$ $(r,s)=s$ $G'$ $s$

Processen med at angribe MTI/C(0)-protokollen er beskrevet nedenfor. Kryptanalytikeren er mellem parterne og ( man-in-the-midten ). $E$ $EN$ $B$

Part vælger et tilfældigt tal og sender en besked $EN$ $r_{A}\in _{R}Z_{q}^{*}$ $B$ $m_{A}=y_{B}^{r_{A}}$
Kryptanalytikeren opsnapper beskeden fra og sender beskeden $E$ $EN$ $B$ ${\displaystyle m_{A}^{w}=y_{B}^{r_{A}w))$
Part vælger et tilfældigt tal og sender en besked $B$ $r_{B}\in _{R}Z_{q}^{*}$ $EN$ $m_{B}=y_{A}^{r_{B}}$
Kryptanalytikeren opsnapper beskeden fra og sender beskeden $E$ $B$ $EN$ ${\displaystyle m_{B}^{w}=y_{A}^{r_{B}w))$
Parten beregner sessionsnøglen: $EN$ $K_{AB}=m_{B}^{x_{A}^{-1}r_{A}}=g^{r_{A}r_{B}w}$
Parten beregner sessionsnøglen: $B$ $K_{AB}=m_{A}^{x_{B}^{-1}r_{B}}=g^{r_{A}r_{B}w}$

Den modtagne hemmelige sessionsnøgle er ligesom de modtagne beskeder et element i gruppens lille undergruppe . Derfor kan kryptanalytikeren finde nøglen ved udtømmende søgning, kontrollere elementerne i undergruppen som nøgler i kommunikationen mellem og . I dette tilfælde, jo mindre multiplikatoren er, jo hurtigere går angrebet. $K_{AB}$ $G'$ $G$ $E$ $K_{AB}$ $G'$ $EN$ $B$ $s$

Et angreb på en undergruppe kan forhindres ved at vælge en undergruppe af en gruppe af prime orden . Fordi mens længden er omkring 160 bit, så viser en udtømmende søgning sig at være en for svær opgave for en kryptoanalytiker . Det er også nødvendigt at kontrollere, at de elementer, der modtages i beskeder, er i en gruppe og ikke er lig med én. $G$ $Z_{p}^{*}$ $q$ $q$ $E$ $G$

Angreb med ukendt delt nøgle [1] [3] [9]

Et ukendt offentlig nøgleangreb kræver, at kryptoanalytikeren opnår et langsigtet offentlig nøglecertifikat , der er knyttet til partens offentlige nøgle med en formel . Det betyder, at den ikke kender den hemmelige nøgle, der svarer til den offentlige nøgle . $E$ $y_{E}$ $EN$ $\colon y_{E}=y_{A}^{x_{E}}=g^{x_{A}x_{E}}$ $E$ ${\displaystyle x_{A}x_{E))$ $y_{E}$

Et angreb med en ukendt delt nøgle udføres ved at udføre følgende rækkefølge af handlinger.

Part vælger et tilfældigt tal og sender en besked $EN$ $r_{A}\in _{R}Z_{q}^{*}$ $B$ $m_{A}=y_{B}^{r_{A}}$
Kryptanalytikeren sender beskeden fra til til uændret. $E$ $y_{B}^{r_{A))$ $EN$ $B$
Part vælger et tilfældigt tal og sender en besked $B$ $r_{B}\in _{R}Z_{q}^{*}$ $E$ $y_{E}^{r_{B}}$
Kryptanalytikeren modtager en besked fra og sender en besked $E$ $B$ $EN$ $y_{E}^{r_{B}x_{E}^{-1))$
Parten beregner sessionsnøglen: $EN$ $K_{AB}=(y_{E}^{r_{B}x_{E}^{-1)))^{x_{A}^{-1}}g^{r_{A}} =g^{r_{A}+r_{B}}$
Parten beregner sessionsnøglen: $B$ $K_{AB}=(y_{B}^{r_{A)))^{{x_{B}}^{-1}}g^{r_{A}}=g^{r_{A }+r_{B}}$

De hemmelige nøgler beregnet af parterne og er de samme og lig med . Samtidig mener den , at den deler den med , mens den mener, at den deler nøglen med . $EN$ $B$ $g^{r_{A}+r_{B}}$ $EN$ $B$ $B$ $E$

Selvom den ikke er i stand til at beregne den hemmelige sessionsnøgle uden yderligere information, fører parten alligevel til en fejlagtig mening. $E$ $K_{AB}$ $E$ $B$

For at undgå dette angreb er det nødvendigt at kræve, at certifikatmyndighederne bekræfter, at parter, der anmoder om et certifikat for en eller anden offentlig nøgle , kender den tilsvarende private nøgle . $y_{E}$ $x_{E}$

Noter

↑ 1 2 3 4 5 Boyd, Mathuria, 2003 , s. 147-155.
↑ 1 2 Alferov, Zubov, Kuzmin et al., 2002 , s. 378, 387-396.
↑ 1 2 3 4 Menezes, Oorschot, Vanstone, 1996, 515-519 .
↑ Diffie, Hellman, 1976 .
↑ Gardner, 1977 .
↑ Elgamal, 1985 .
↑ Matsumoto, Takashima, Imai, 1986 .
↑ 1 2 Ratna Dutta, Rana Barua. Oversigt over nøgleaftaleprotokoller . - S. 9-10 .
↑ Cheremushkin A.V. Kryptografiske protokoller: grundlæggende egenskaber og sårbarheder // Applied Discrete Mathematics: Appendix. - 2009. - Nr. 2 . - S. 115-150 . Arkiveret fra originalen den 3. november 2013.

Litteratur

Diffie W. , Hellman M. E. New Directions in Cryptography // IEEE Trans . inf. Teori / F. Kschischang - IEEE , 1976. - Vol. 22, Iss. 6. - S. 644-654. — ISSN 0018-9448 ; 1557-9654 - doi:10.1109/TIT.1976.1055638
Gardner M. En ny slags chiffer, der ville tage millioner af år at bryde // Sci . amer. - NYC : NPG , 1977. - Vol. 237, Iss. 2. - S. 120-124. — ISSN 0036-8733 ; 1946-7087 - doi:10.1038/SCIENTIFICAMERICAN0877-120
Elgamal T. Et offentligt nøglekryptosystem og et signaturskema baseret på diskrete logaritmer, et offentligt nøglekryptosystem og et signaturskema baseret på diskrete logaritmer // IEEE Trans . inf. Teori / F. Kschischang - IEEE , 1985. - Vol. 31, Iss. 4. - S. 469-472. — ISSN 0018-9448 ; 1557-9654 - doi:10.1109/TIT.1985.1057074 ; doi:10.1007/3-540-39568-7_2
Matsumoto T. , Takashima Y. , Imai H. On Seeking Smart Public-key Distribution Systems (engelsk) // Transaktioner fra Institute of Electronics and Communication Engineers of Japan. Sektion E - Elsevier BV , 1986. - Vol. 69, Iss. 2. - S. 99-106. — ISSN 0387-236X
Boyd C. , Mathuria A. 5.3 MTI-protokoller // Protocols for Authentication and Key Establishment (engelsk) - Springer Science + Business Media , 2003. - S. 147-155. — 321 s. - ( Informationssikkerhed og kryptografi ) - ISBN 978-3-540-43107-7 - ISSN 1619-7100 ; 2197-845X - doi:10.1007/978-3-662-09527-0
Cheremushkin A. V. Kryptografiske protokoller: grundlæggende egenskaber og sårbarheder // Applied Discrete Mathematics: Application. - 2009. - Nr. 2 . - S. 115-150 . Arkiveret fra originalen den 3. november 2013.
Alferov A. P. , Zubov A. Yu. , Kuzmin A. S. , Cheremushkin A. V. Kapitel 15. Nøgledistributionsprotokoller // Fundamentals of Cryptography : Textbook - 2nd ed., Rev. og yderligere - M .: Helios ARV , 2002. - S. 378, 387-396. — ISBN 978-5-85438-137-6
Ratna Dutta, Rana Barua. Oversigt over nøgleaftaleprotokoller . - S. 9-10 . (utilgængeligt link)
Sebastien Kunz-Jacques, David Pointcheval. Om sikkerheden for MTI/C0 og MQV . – 2006.
Menezes A. J. , Oorschot P. v. , Vanstone S. A. 12.6.1 Diffie-Hellman og relaterede nøgleaftaleprotokoller // Handbook of Applied Cryptography (engelsk) - CRC Press , 1996. - 816 s. — ( Diskret matematik og dens anvendelser ) — ISBN 978-0-8493-8523-0