Por ley y fuera de la tradición, la NSA opera de manera oculta. Así que las razones exactas de por qué la NSA hizo algo o no lo hicieron no pueden ser conocidas rigurosamente. Sin embargo, uno puede hacer algunas conjeturas.
Lo primero que se debe tener en cuenta es que suite B está destinado a la interoperabilidad: es una lista deliberadamente pequeña de algoritmos y Funciones con el propósito oficial de ser implementado en todas partes . Por ejemplo, para curvas elípticas, solo listan dos curvas específicas entre las 15 descritas en FIPS 186-3 . Por lo tanto, podemos asumir que NSA solo incluyó algoritmos que ya se implementaron en varios sistemas y bibliotecas, o que tienen una buena posibilidad de ser implementados en un futuro cercano. Nadie usa MQV y nadie realmente pretende usar MQV en el futuro previsible ...
Ahora, por qué nadie usa MQV en la práctica es otra pregunta, y la respuesta se reduce a los tres habituales: patentes, inutilidad y debilidades. La parte de "inutilidad" merece una explicación: MQV es un intercambio de claves autenticado , ya que trata de combinar el intercambio de claves con una autenticación mutua de ambas partes involucradas. Esto es claro, pero no se asigna bien a los marcos de comunicación existentes, en particular SSL . En SSL, el cliente y el servidor son roles distintos; el cliente obtiene la seguridad de que conoce la clave pública correcta del servidor a través del certificado del servidor, pero la autenticación del cliente , cuando se aplica, se separa del intercambio de claves (el cliente calcula una firma con su clave privada, y el algoritmo para esa firma no tiene que estar relacionado con el utilizado para el intercambio de claves).
Otro punto de vista sobre el tema es que si un cliente SSL putativo tiene un certificado con una clave pública MQV (asumiendo que el uso de MQV con SSL se formalizó e implementó), el cliente puede usar ese certificado solo para autenticarse con servidores SSL Quienes utilizan MQV y tienen un par de claves MQV que usa la misma curva elíptica. Esto es bastante restrictivo y contrasta con la situación habitual en la que el cliente tiene un certificado de firma genérico que se puede utilizar en muchos otros contextos.
Curiosamente, el uso de la criptografía de curva elíptica en SSL / TLS se define en RFC 4492 , publicado en 2006, después de Larga secuencia de borradores. El primer borrador de , desde 1998, incluye conjuntos de cifrado basados en MQV. Pero el segundo borrador , en 2001, no lo hace. En el primer borrador, MQV se usó como lo fue Diffie-Hellman, así que sin ningún beneficio de seguridad real. En ese contexto, MQV era solo una forma más compleja de hacer DH y, como tal, se eliminó por completo. Los supuestos beneficios de MQV sobre DH (incluso suponiendo que los beneficios son reales, que es lo que Krawczyk denies ) se realizan Anulado por la estructura del intercambio de claves SSL / TLS. Entonces, para qué molestarse ? DH es ligeramente más rápido y tiene un cielo menos nublado con respecto a las patentes.
Resumen: Incluso sin tener en cuenta las debilidades reveladas en 2005 (algunos meses después de la publicación de NSA suite B), las ventajas de seguridad de MQV sobre DH son las siguientes. bueno solo en contextos específicos que rara vez se encuentran en la práctica, especialmente si nos damos cuenta de que la suite B se trata de la interoperabilidad, es decir, por definición no sobre el escenario cerrado de propiedad. En consecuencia, nadie hace MQV (o cuando lo hacen, no tienen como objetivo la interoperabilidad). En los contextos donde se aplica la noción de "suite B", MQV tiende a no tener ningún beneficio sobre un Diffie-Hellman más simple (y más rápido). Esto solo justifica que NSA no incluya MQV en su "suite B".