АУТЕНТИФИКАЦИЯ СЕАНСОВОГО КЛЮЧА НА ОСНОВЕ УНИВЕРСАЛЬНЫХ ХЭШ-ФУНКЦИЙ И СЛУЧАЙНЫХ ЦЕПОЧЕК БИТ Текст научной статьи по специальности «Компьютерные и информационные науки»

i-methods

ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА И УПРАВЛЕНИЕ

том 12. № 4. 2020 http://intech-spb.com/i-methods/

Аутентификация сеансового ключа на основе универсальных хэш-функций и случайных цепочек бит

Яковлев Виктор Алексеевич

д.т.н., профессор, профессор Санкт-Петербургского Государственного университета телекоммуникаций им. проф. М.А. Бонч-Бруевича, г. Санкт-Петербург, Россия, viyak@bk.ru

Савинова Светлана Алексеевна

инженер Санкт-Петербургского Государственного университета телекоммуникаций им. проф. М.А. Бонч-Бруевича, г. Санкт-Петербург, Россия, savinova-sveta@mail.ru

АННОТАЦИЯ_________________________________________________________

Объектом Исследуется способ аутентификации сеансовых ключей для мобильных устройств, формируемых методом Диффи-Хеллмана в условиях применения злоумышленником атаки «человек-посередине». Предполагается, что пользователи А и В, формирующие сеансовый ключ, имеют предварительно распределенные случайные цепочки бит а и Ь соответственно, полученные либо от некоторого источника, либо сгенерированные ими самими на основе данных, полученных от магнитометров или акселерометров из состава мобильных устройств. Злоумышленник не имеет доступа к этим цепочкам. Особенность решения данной задачи состоит в том, что последовательности а и Ь в точности не совпадают. Предложен способ аутентификации значений Диффи-Хеллмана с использованием аутентифицирующих последовательностей а и Ь. С этой целью сообщение (значение Диффи-Хеллмана) пользователем А разделяется на N блоков. Для каждого блока вычисляется аутентификатор с использованием универсального класса хеш-функций. Хэшфункция задается ключем, который является подблоком случайных цепочек а или Ь. Значение Диффи-Хеллмана и аутентификаторы передаются по каналу пользователю В. На приемной стороне вычисляются аутентификаторы от принятого значения Диффи-Хеллмана, которые сравниваются с аутентификаторами принятыми из канала. Если число неправильно принятых аутенификаторов не превышает порог, установленный в системе аутентификация, то аутентификация значения Диффи-Хеллмана считается успешной. Получены соотношения для оценивания вероятности ложного отклонения ключа (из-за несовпадения цепочек а и Ь и вероятности навязывания ложного ключа на этапе обмена значениями Диффи-Хеллмана. Приведен пример выбора параметров системы аутентификации ключа длиной 256 бит, обеспечивающего вероятностью навязывания ложного ключа не более 10-6 при вероятности ложного отклонения истинного ключа 10-6, что свидетельствует о реализуемости предлагаемого способа аутентификации.

КЛЮЧЕВЫЕ СЛОВА: аутентификация; распределение ключей; метод Диффи-Хеллмана; атака «человек-посередине»; универсальные хэш-функции.

Введение

Рассмотрим двух пользователей мобильной сети связи, назовем их Алиса (А) и Боб (B), которые вырабатывают совместный ключ, используя метод Диффи-Хеллмана1. Для этого пользователи А и В, согласуют параметры: p и g, где р — просто число, а g — элемент конечного поля GF(p), порождающий группу, имеющую большой порядок. Далее выполняется следующий протокол.

1. Алиса генерирует элемент x е (1, p -1), вычисляет X = gx (mod p) и посылает его

Бобу.

2. Боб генерирует элемент y е (1,p -1), вычисляет Y = gy (modp) и посылает его Алисе.

3. Алиса вычисляет ключ K = Yx (mod p).

4. Боб вычисляет ключ K = Xy (mod p).

Легко видеть, что ключи, вычисленные Алисой и Бобом, равны между собой K = gyx (mod p) = gxy (mod p).

Будем далее величины X, Y, которые передаются по открытым каналам, называть значениями Диффи-Хеллмана (DH-значениями).

Таким образом, метод Диффи-Хеллмана позволяет использовать незащищенный от перехвата канал связи для генерирования общего ключа шифрования с целью создания безопасного соединения между двумя корреспондентами. Однако пользователи не могут достоверно определить, кем является их собеседник, так как данный протокол чувствителен к атаке «человек посередине». Алиса и Боб могут оказаться в ситуации, при которой они установили связь с злоумышленником — Евой (Е), которая Алисе выдает себя Бобом, а Бобу представляется Алисой. Поэтому для дальнейшей совместной работы Алисе и Бобу требуется аутенти-фицировать ключи, сгенерированные по методу Диффи-Хеллмана.

Одним из направлений решения задачи аутентификации ключа является использование случайных параметров каналов связи между ними, которые называются технологиями безопасности физического уровня (physical layer security) [1-3]. Другим направлением является использование так называемого дополнительного Out-Of-Band (OOB) канала: визуального, акустического, вибрационного, тактильного или магнитометрического [4-6]. Дополнительный канал необходим для получения пользователями случайных последовательностей (цепочек) бит и образуется между двумя мобильными устройствами при личной встрече пользователей и не требует передачи какой-либо информации по каналу связи, затрудняя тем самым проведение атак со стороны злоумышленника. Эти цепочки бит впоследствии будут использоваться для взаимной аутентификации пользователей. Будем называть эти последовательности аутен-тифицирующими последовательностями. После проведения взаимной аутентификации устройства могут устанавливать защищенное соединение и обмениваться данными, используя ключ, сформированный по методу Диффи-Хеллмана.

В [5] предложен протокол Magpairing создания магнитометрического канала для получения случайных последовательностей у корреспондентов А и В, используемых для аутентификации ключа по методу Диффи-Хеллмана. В [7] показана уязвимость данного протокола, а в [8] предложен способ устранения этой уязвимости на основе использования магнитометрических данных и аутентифицирующих кодов. Другим методом аутентификации ключа

1Diffe M., Hellman M. New directions in cryptography // IEEE Trans. Inf. Theory. 1976. Vol. 22. No. 6. Pp. 644-654.

является способ получения аутентифицирующих последовательностей от некоторого централизованного источника [9].

В настоящей работе проводится исследование способа аутентификации сеансового ключа, распределяемого по методу Диффи-Хеллмана с использованием аутентифицирующих последовательностей независимо от способа их получения.

1. Описание способа аутентификации

Аутентификация значений Диффи-Хеллмана может быть проведена разными способами. В [10] предлагается для целей аутентификации использовать аутентифицирующие помехоустойчивые коды. Этот способ был подробно исследован в [11]. В настоящей работе предлагается другой подход, основанный на использовании универсальных хеш-функций2.

Пусть пользователи сети (А и В) имеют двоичные предварительно распределенные последовательности а и Ь соответственно. Символы в последовательностях равновероятны и взаимно независимы.

Обозначимрт = Р(а ф Ь), где i = \,2..L —номер символа в последовательностях,— вероятность несовпадения бит в последовательностях а и Ь.

В дальнейшем последовательности будут разбиваться на непересекающиеся блоки длиной т символов. Обозначим рь = Р(а^т) ф Ъ^т)) — вероятность несовпадения блоков длиной т бит в последовательностях а и Ь, j = 1,2..Х / т — номер блока

Предполагаем, что злоумышленник Е во время процедуры получения (выработки) аутентифицирующих последовательностей легальными пользователями удален от них, поэтому вероятность совпадения бит в последовательности, которую может сформировать нарушитель, и последовательности бит законного пользователя равна ре = Р(а; = е1) = 1/2 , г = 1,2...Ь . Другими словами нарушитель не имеет информации о распределенных между А и В аутенти-фицирующих последовательностях.

Для защиты от атаки человек-посередине пользователи А и В используют следующую схему аутентификации, основанную на использовании класса универсальных хэш-функций.

Напомним, что классом строго универсальных хэш-функций [9] называется такое множество Н отображений Х^-У, что:

1) для любых хеХ и уе У

где |Н| — общее количество хэш-функций, |У| — общее количество аутентификаторов, #{} — количество хэш-функций удовлетворяющих условию в скобках.

2) для любых xy, x2eXиуу, y2eY, x^x,

у J2 ' V 2

#{heH : yi = h(xi)у2 = h(x2)} = —

2:Wegman M. Carter L. New Hash Functions and their Use in Authentication and Set Equality // Journal of Computer and System Sciences. 1981. No. 22. Pp. 265-279.

Пользователь А разделяет ^^-значение X на N блоков длиной m бит. Каждый блок аутентифицируется на основе универсального класса хэш-функций. Для этого вычисляется аутентификатор н> длиной v бит. Представим блок и, как элемент поля GF(2m) и пусть ключ аутентификации k = (к0, , где kff k1е GF(2т) - элементы GF(2т), выбираемые последовательно как непересекающиеся блоки последовательности а. Тогда w = [их^ + — аутентификатор для блока и [10]. Знаки х, + обозначают соответственно умножение и сложение в конечном поле GF(2т), _•]у «усечение», то есть выбор v левых или правых элементов последовательности в квадратных скобках. Вероятность навязывания ложного блока для данного способа аутентификации определяется соотношением3 р = 1/2 . Для аутентификации каждого следующего блока значения DH, выбираются новые блоки в последовательности а.

Корреспондент В проводит аутентификацию следующим образом. Для каждого принятого блока значения DH на основе ключей k и k полученных как блоки длиной m символов из последовательности Ь вычисляет аутентификатор w'. Аутентификатор w' сравнивается с аутентификатором w, полученным по каналу связи. Если w = w', то блок и аутентифициро-ван. Если не совпадают, то блок и не аутентифицирован.

DH-значение считается аутентифицированным в целом, если среди N принятых блоков не аутентифицированы не более А блоков (1 < А < N).

После аутентификации DH-значений корреспонденты формируют общий сеансовый ключ, который также будет аутентифицированным, так как формируется на основе открытого, но аутентифицированного DH-значения и секретного числа корреспондента.

2. Оценки параметров системы аутентификации

Обозначим:

Pf — вероятность ложного отклонения DH-значения в отсутствие навязывания. Событие наступает, когда число неправильно аутентифицированных блоков равно А+1 и более из-за несогласованности аутентифицирующих последовательностей а и Ь.

Ра — вероятность не обнаруживаемого навязывания. Событие наступает, когда нарушитель подменяет подбоки DH-значения и «подбирает» к ним аутентификаторы таким образом, что число неправильно подобраных аутентификаторов + число неправильно принятых блоков из-за несовпадения аутентифицирующих последовательностей не больше чем А.

Найдем оценки Р^ , Ра .

Р^ - может быть оценена, как вероятность суммы событий, состоящих в том, что в последовательности блоков длиной N из-за несогласованности аутентифицирующих последовательностей оказываются не аутентифицированными А+1 и более блоков.

Р/ (А) = ^^1 (1 - РЬ ))-, (1)

1 =А+1

где рь — вероятность несовпадения ключей , выделенных их последовательностей а и Ь.

3Wegman M. Carter L. New Hash Functions and their Use in Authentication and Set Equality // Journal of Computer and System Sciences. 1981. No. 22. Pp. 265-279.

Если несовпадения бит в а и Ь подчиняются закону Бернулли и Р(а; ф Ь;) = рт , то

РЬ = 1 -(1 - Рт ?Ш .

Для оценки вероятности ложной аутентификации необходимо рассмотреть стратегию навязывания нарушителя.

Мы полагаем, что нарушитель Ева намерен реализовать атаку человек посередине. Пусть нарушитель перехватил последовательность X = gx длиной п0 бит и аутентификаторы блоков, затем генерирует другое сообщение X' = ^^ , отличающееся от исходного в D блоках и формирует аутентификаторы к нему по следующему правилу:

• Там, где блоки в исходном и ложном сообщении совпадают, он использует перехваченные аутентификаторы.

• Там, где блоки не совпадают, нарушитель формирует аутентификатор случайным образом.

Значение X' нарушитель передает корреспонденту Бобу, выдавая себя за корреспондента Алиса. Боб вступает с Евой в диалог, и они устанавливают общий ключ КЕВ.

Очевидно, что чем меньше отличаются X и X', тем легче нарушителю реализовать атаку «человек посередине». Заметим, что непосредственно значение X' нарушитель выбрать не может, сначала он выбирает х', затем находит значение экспоненты X' = gx modр . Если х' выбирать случайно из множества чисел от 0 до р-1, то число X', будет также случайным числом из множества чисел от 0 до р-1. При большой величине модуля р (р ©2256 ) нахождение отображения X ^ X' требует необозримо больших вычислительных затрат. Поэтому единственной разумной стратегией для нарушителя будет случайный выбор числа х', что равносильно случайному выбору X'.

Пусть X' отличается от X в у битах и пусть Г = X© X', |Г| = у. При случайном выборе х' последовательность X' будет случайной и равновероятной. Вероятность нахождения для нарушителя последовательности X' отличающейся от Х не более чем у0 символах равна:

у У ос'

Р№Уо) = ^ (2)

где в числителе количество последовательностей веса меньше чем у Поэтому при проектировании системы аутентификации следует ориентироваться на такое значение у0 чтобы вероятность выбора такой последовательность была меньше заранее установленного порога.

Так как аутентификация X = gx, согласно рассматриваемому способу, осуществляется по подблокам, то определим количество блоков D длиной т бит, из общего количества блоков N в которых последовательности X и X' могут отличаться после разбиения их на блоки

Э ■ < э < э

тт — тах

Минимальное количество отличающихся блоков, когда символы Г полностью заполняют каждый блок, вычисляется по формуле:

D =*>.

тт

т

Максимальное число блоков, в которых отличается X от X', очевидно, не может быть больше N. С другой стороны, если каждый подблок будет содержать только один бит Г, в котором отличается XотX', то Dmax = у0, тогда можно записать:

^ах = т™ [о> N].

Если в последовательности X' у0 бит отличаются от X, то вероятность отличия одного бита у0 / п0. Тогда вероятность того, что подблок длиной т бит не будет иметь отличий, равна:

Рот = (1 —)

Вероятность того, что из N блоков X' В блоков будут отличаться от X, равна:

Р (о ) = с

N

1 -

V по)

\-з}

V по)

N-О

(3)

о

О

Обозначим через В' число отличающихся блоков в X и X', для которых вероятность Р(В) максимальна, то есть О' = а^тах р(.

Тогда, учитывая, что вероятность успешного навязывания ложного аутентификатора длиной V символов при исспользовании универсальных хэш-функций равна 1/2, можно записать формулу для ложной аутентификации:

^ (Д) = £св.ф(в-)а - ±у Хс^рЬ (1 - рь )(№) (4)

¿=0 2 2 у=о v ;

где первая сумма характеризует вероятность фиксации на приеме г ложных аутентификаторов (0 < г < А ), которые обнаруживаются и В-г ложных аутентификаторов, которые не обнаруживаются, вторая сумма — вероятности фиксации несовпадения не более чем в] (0 < ] < А-1) аутентификаторов (местного и принятого), за счет несовпадения ключей в аутентифицирую-щих последовательностях а и Ь.

В такой системе аутентификации суммарная длина всех аутентификаторов равна:

L (V) = V * N = V *

(5)

а длина ключа необходимого для их формирования равна:

L(К) = 2* т * N = 2* п0.

3. Примеры оценок параметров системы аутентификации

Предположим, что проводится аутентификация ключа длиной п0= 256 бит, вероятность отличия бит в аутентифицирующих последовательностях рт= 0,01. Также зададим допустимые величины вероятностей ложного обнаружения р = Ра = 10-6 . Предположим, что мы допускаем возможность генерирования нарушителем ложного значения Диффи-Хеллмана X', отличающегося от истинного X менее чем в 48 символах. Тогда согласно (2) вероятность этого

события Р = 10

Уо

-25

Это означает, что нарушитель должен сделать в среднем 1025 попыток, чтобы получить последовательность, отличающуюся от исходной не более чем в 48 символах. Для определения величины D' построим зависимости Р^) по формуле (3), для различных длин подблоков т (рис. 1). Здесь же указаны величины D', при которых максимизируется вероятность P(D).

Рис. 1. Вероятность отличия ложного значения DH от истинного в D блоках

Построим зависимости Pf = g(А, рт) и Ра = ^А, рт,D') согласно (1) и (4) рис. 2. Здесь указаны допустимые значения Pf = Ра = 10-6 (горизонтальная линия).

0.1 Ы1Г3

1-10""

1*10"'

1*Ю~15

Р, ш=4

Р/т=2

у, т-16 / Р; т—8 / :

Ът=2 -

/ X / 1 / ^ / 1 Л

20 30

Рис. 2. Зависимости Р= g(Л,рт), Р= к(А,pm,D')при разных значениях длин подблока т

Из рис. 2 следует, что выбрав порог А« 17-19, можно обеспечить достаточно малые значения вероятности ложного обнаружении и ложной аутентификации Ра = 1*10-6, Р^ = 3*10-6 при т=2 - 4. При расчетах предполагалось, что длина аутентификатора V = т.

Как следует из (5), изменяя V можно уменьшить длину аутентификатора для всего аутентифицируемого ^Н-значения. Для нахождения V построим для примера зависимости Ра = ^А, рт,D') для различных значений V при т = 4 (рис. 3).

Видим, что требуемые значение Pd, р достигаются при минимальном значении v = 3. Следовательно, длину аутентификатора в рассматриваемой системе целесообразно выбрать равной 3.

Общая длина всех аутентификаторов равна:

L (W ) = v * ^ = 3 * — = 192 бита.

V ' m 4

Заключение

В работе исследуется способ аутентификации значений Диффи-Хеллмана (gx), формируемых при генерации сеансового ключа по методу Диффи-Хеллмана между двумя мобильными устройствами, имеющими предварительно распределенные между ними идентичные двоичные случайные цепочки бит, к которым не имеет доступа нарушитель. Эти цепочки используются для аутентификации DH-значения. Однако, особенность аутентификации состоит в том, что аутентифицирующие цепочки не совпадают в точности между собой. Для аутентификации DH-значения предложен способ, состоящий в разбиении DH-значения, на N блоков длиной m бит и аутентификации каждого блока с помощью универсальных хэш-функций, для которых ключом являются предварительно распределенные аутентифицирующие цепочки случайных бит. Если число не аутентифицированных блоков меньше порога А, аутентификация DH-значения считается пройденной. Выведены соотношения для оценки р — вероятности ложного отклонения DH-значения в отсутствие навязывания и Pd — вероятность ложного навязывания. При выводе соотношения для нахождения вероятности ложного навязывания Pd предложен подход обосновывающий допустимое возможное отличие ложного сообщения (ложного значения Диффи-Хеллмана) от истинного.

Приведен пример, показывающий, что путем выбора соответствующим образом параметров системы аутентификации можно обеспечить достаточно малые значения вероятности ложной аутентификации и вероятности навязывания ложного ключа нарушителем и при этом минимизировать суммарную длину всех аутентификаторов. Дальнейшую задачу исследований авторы видят в оптимизации параметров предложенной системы аутентификации.

Литература

1. Mirzadeh S., CruickshankH., andTafazolliR. Secure Device Pairing: A Survey // IEEE Communications Surveys & Tutorials. 2014. Vol. 16. Pp. 17-40.

2. Zeng. K. Physical Layer Key Generation in Wireless Networks. Challenges and Opportunities // IEEE Commun. Magazin. 2015. Vol. 53. No 4. Pp. 20-27.

3. Zhang J., Duong T. Q., Marshall A., Woods R. Key Generation from Wireless Channels: a Review // IEEE Access. 2016. Vol. 4. Pp. 614-626.

4. Mirzadeh S., CruickshankH., and TafazolliR. Secure Device Pairing: A Survey // IEEE Communications Surveys & Tutorials. 2014. Vol. 16. Pp. 17-40.

5. Jin R., Shi L., Zeng K., Pande A., Mohapatra P. MagPairing: Pairing Smartphones in Close Proximity Using Magnetometer // IEEE Transactions on Information Forensics and Security. 2016. No. 6. Pp. 1304-1319.

6. RoyN., ChoudhuryR.R. Ripple I: Faster Communication through Physical Vibration // Proc. USENIX Symp. Netw. Syst. Design Implement. 2016. Pp. 671-675.

7. Яковлев В. А., Зуева Е. О. Анализ уязвимости протокола распределения ключей на основе магнитометрических данных Magpairing // Сборник трудов VII Международной научно-техн. конференции «Актуальные проблемы инфотелекоммуникаций в науке и образовании» (АПИН0-2018). СПб., 2018. C. 396-401.

8. Яковлев В. А. Аутентификация ключей, распределяемых методом Диффи-Хеллмана, для мобильных устройств на основе аутентифицирующих помехоустойчивых кодов и магнитометрических данных // Труды СПИИРАН. 2019. Т. 18. № 3. С. 705-740.

9. Коржик В. И., Бакаев М. В. Протоколы формирования ключа с использованием открытых каналов с шумом в условиях активного перехвата // Проблемы информационной безопасности. Компьютерные системы. 2004. № 3. С. 72-84.

10. Maurer U. Information-Theoretically Secure Secret-Key Agreement by not Authenticated Public Discussion // Lecture Notes in Computer Science 1233. 1997. Pp. 209-223.

11. Korzhik V., Yakovlev V, Morales-Luna G., Chesnokov R. Perfomance Evaluation of Keyless Authentication Based on Noisy Channel // ACNC2007. CCIS2007. No.1. Pp.115-126.

AUTHENTICATION OF SESSION KEY BASED ON UNIVERSAL HASH FUNCTION AND RANDOM BIT STRINGS

VICTOR A. YAKOVLEV

PhD, Full Professor, Professor at the Department secured communication system of The Bonch-Bruevich Saint-Petersburg State University of Telecommunications, St. Petersburg, Russia, viyak@bk.ru

SVETLANA A. SAVINOVA

Engineer at the Department secured communication system of The Bonch-Bruevich Saint-Petersburg State University of Telecommunications, St. Petersburg, Russia, savinova-sveta@mail.ru

ABSTRACT

A method of authentication of session key for mobile devices generated by the Diffie-Hellman method in the context of the attacker using the man-in-the-middle attack is investigated. It is assumed that users A and B, forming a session key, have pre-distributed random strings of bits a and b, respectively, obtained either from some source or generated by them on the basis of data received from magnetometers or accelerometers from the composition of mobile devices. An attacker does not have access to these strings. The peculiarity of solving this problem is that the sequences a and b do not exactly coincide. A method for authenticating Diffie-Hellman values using authentication sequences a and b is proposed. For this purpose, the message (Diffie-Hellman value) by user A is divided

into N blocks. An authenticator is computed for each block using a universal class of hash functions. A hash function is defined by a key, which is a subblock of random strings a or b. The Diffie-Hellman value and authenticators are transmitted through the channel to user B. On the receiving side, authenticators from the received Diffie-Hellman value are calculated, which are compared with authenticators received from the channel. If the number of incorrectly received authenticators does not exceed the threshold set in the authentication system, then authentication of the Diffie-Hellman value is considered successful. Relations are obtained for estimating the probability of a false key rejection (due to the mismatch of the chains a and b) and the probability of imposing a false key at the stage of exchange of Diffie-Hellman values. An example of selecting the parameters of a key authentication system with a length of 256 bits is provided, providing a probability of imposing a false key of no more than 10-6 with a probability of false rejection of a true key of 10-6, which indicates the feasibility of the proposed authentication method.

Keywords: authentication key distribution; Diffie-Hellman method; man-in-the-middle attack; universal hash functions. REFERENCES

1. Mirzadeh S., Cruickshank H., and Tafazolli R. Secure Device Pairing: A Survey. IEEE Communications Surveys & Tutorials. 2014. Vol. 16. Pp. 17-40.

2. Zeng. K. Physical Layer Key Generation in Wireless Networks. Challenges and Opportunities. IEEE Commun. Magazin. 2015. Vol. 53. No 4. Pp. 20-27.

3. Zhang J., Duong T. Q., Marshall A., Woods R. Key Generation from Wireless Channels: a Review. IEEE Access. 2016. Vol. 4. Pp. 614-626.

4. Mirzadeh S., Cruickshank H., and Tafazolli R. Secure Device Pairing: A Survey. IEEE Communications Surveys & Tutorials. 2014. Vol. 16. Pp. 17-40.

5. Jin R., Shi L., Zeng K., Pande A., Mohapatra P. MagPairing: Pairing Smartphones in Close Proximity Using Magnetometer. IEEE Transactions on Information Forensics and Security. 2016. No. 6. Pp. 1304-1319.

6. Roy N., Choudhury R. R. Ripple I: Faster Communication through Physical Vibration. Proc. USENIX Symp. Netw. Syst. Design Implement. 2016. Pp. 671-675.

7. Yakovlev V. A., Zueva E. O. Analiz ujazvimosti protokola raspredelenija kljuchej na osnove magnitometricheskih dannyh Magpair-ing [The Analysis of the Authentication Key Distribution Protocol MagParing Based on the Magnetometric Data]. VII Mezhdunar-odnaja nauchno-tehn. Sbornik trudov Konferencii "Aktual'nye problemy infotelekommunikacij v nauke i obrazovanii (APINO-2018)" [Proc. 7 th International Conference on Advanced Infotelecommunications (ICAIT 2018)]. St. Petersburg, 2018. Pp. 396-401. (In Rus)

8. Yakovlev V. A. Authentication of keys that are distriburted by the Diffie-Hellman method for mobile devices based on authentication codes and magnetometric data. Proceedings SPIIRAS. 2019. Vol.18. No. 3. Pp. 705-740. (In Rus)

9. Korzhik V. I., Bakaev M. V. Protokoly formirovanija kljucha s ispol'zovaniem otkrytyh kanalov s shumom v uslovijah aktivnogo pere-hvata [Key Distribution Protocols on the Public Noisy Channel with the Presence of Active Adversary]. Problemy informacionnoj bezopasnosti. Komp'juternye sistemy [Information Security. Computer Systems]. 2004. No. 3. Pp.72-84. (In Rus)

10. Maurer U. Information-Theoretically Secure Secret-Key Agreement by not Authenticated Public Discussion. Lecture Notes in Computer Science 1233. 1997. Pp. 209-223.

11. Korzhik V., Yakovlev V., Morales-Luna G., Chesnokov R. Perfomance Evaluation of Keyless Authentication Based on Noisy Channel. ACNC2007. CCIS2007. No.1. Pp.115-126.