論文 2025/1686

誠實使用者會犯誠實的錯誤：一個分析電子身份識別協議的框架

Kristian Gjøsteen，挪威科學與技術大學

Hans Heum，挪威科學與技術大學

Sjouke Mauw，盧森堡大學

Felix Stutz 路易斯維爾大學

摘要

電子識別 (eID) 協議與聯邦身分管理系統在我們現代社會中扮演越來越重要的角色，透過 Google 與其他服務在網路上，以及透過歐洲的 eIDAS 法規。eID 協議的一個關鍵特點是人在協議中深度參與，通常負責關鍵的安全步驟。傳統的安全分析通常假設使用者行為完美無缺，但廣泛的實際應用使得使用者的錯誤不可避免。 我們提出了一個分析 eID 協議安全的框架，可以模擬使用者犯錯。它適合使用 Tamarin 進行自動化分析，並支援對協議參與者的細粒度腐化模擬。我們透過描述和分析基於密碼、移動應用程式和驗證憑據的常見 eID 協議，以及系統性地評估各種使用者錯誤組合對安全的影響，來展示該框架的用途。

@misc{cryptoeprint:2025/1686,
      author = {Ole Martin Edstrøm and Kristian Gjøsteen and Hans Heum and Sjouke Mauw and Felix Stutz},
      title = {Honest Users Make Honest Mistakes: A Framework for Analysing {eID} Protocols},
      howpublished = {Cryptology {ePrint} Archive, Paper 2025/1686},
      year = {2025},
      url = {https://eprint.iacr.org/2025/1686}
}