X3DH密钥协商协议官方手册(中文版).docx

TheX3DHKeyAgreementProtocolX3DH密钥协商协议 原作者：MoxieMarlinspike原编辑：TrevorPerrin 中文版翻译：pior 原文版本：Revision1,2016-11-04 中文译本：V0.1,2020-04-27 目录 1 简介..................................................................3... 2 预备知识 3.. 2.1 X3DH参数........................................................3.. 2.2 密码符号.........................................................3.. 2.3 角色.............................................................4.. 2.4 密钥.............................................................4.. 3 X3DH协议..............................................................5.. 3.1 概述.............................................................5.. 3.2 发布密钥.........................................................5.. 3.3 发送初始消息.....................................................6.. 3.4 接收初始消息.....................................................8.. 4 安全要素...............................................................8.. 4.1 身份认证.........................................................8.. 4.2 协议重放.........................................................9.. 4.3 重放与密钥重用...................................................9.. 4.4 可否认性.........................................................9.. 4.5 签名 1.0. 4.6 密钥泄露 1.0. 4.7 服务器信任 1.1. 4.8 身份绑定 1.1. 5 知识产权 1.1. 6 致谢.................................................................1.1.. 7 参考.................................................................1.2.. 简介 本文描述了“X3DH”（也称为“扩展的三重Diffie-Hellm”an）密钥协商协议。X3DH协议基于公私钥认证，在通信两方之间建立共享密钥X3。DH 协议提供了转发必威体育官网网址性和加密可否认性X。3DH协议是为异步通信而设计的，若“Bob”离线，用户“Alice”也可使用“Bob”已向服务器发布的一些信息向其 发送加密数据，并为将来的通信建立共享密钥。 预备知识 X3DH参数 使用X3DH协议的应用程序必须确定几个参数，见表1： 表1X3DH参数表 名称 名称 定义 椭圆曲线类型 25519orX448 散列函数 一个256位或512位的散列函数（例如：SHA-256、SHA-512） 信息 标识应用程序的ASCII字符串 例如，应用程序可以选择椭圆曲线X25519、散列函数SHA-512和信息“MyProtoco”l，应用程序还必须定义一个编码函数encode（PK），以便将X25519或X448的公钥PK编码为字符串。建议的编码函数由一些表示椭圆曲线 类型的单字节常量组成，然后是u坐标的小尾数编码[1]。 密码符号 本文在描述X3DH协议时，将使用以下符号： X||Y，表示字符串X和Y的连接。 DH（PK1,PK2），表示由椭圆曲线Diffie-Hellma函n  数输出的密钥，参 数PK1和PK2表示两个不同密钥对的公钥。椭圆曲线Diffie