密码学中的可证明安全性-杨波

时间 : 18-11-07 栏目 : ag捕鱼平台 作者 : admin 评论 : 0 点击 : 14 次

  语义安全IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 密码学中的可证明安全性 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 目录 语义安全IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 IBE的安全性双线性映射 BDH假设 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 单向加密–One way encryption 如果敌手已知某个密文,不能得出所对应的明文的完 整信息,该公钥加密方案称为单向加密(One way encryption,简称OWE),是一个很弱的安全概念,因为不能 防止敌手得到明文的部分信息。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 语义安全 语义安全(Semantic scurity)的概念 由Goldwasser和Micali于1984年提出,即敌手即使已知某个 消息的密文,也得不出该消息的任何部分信息,即使是1比特 的信息。这一概念的提出开创了可证明安全性领域的先河, 奠定了现代密码学理论的数学基础,将密码学从一门艺术 变为一门科学。 获得2012年度图灵奖。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 语义安全 加密方案语义安全的概念由不可区分 性(Indistinguishability) 游戏(简称IND游戏)来刻画,这种游 戏是一种思维实验,其中有2个参与者,一个称为挑战者 (challenger),另一个是敌手。挑战者建立系统,敌手对系统 发起挑战,挑战者接受敌手的挑战。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 语义安全 思维实验((thought experiment))是用来考察某种假设、 理论或原理的结果而假设的一种实验,这种实验可能在现 实中无法做到,也可能在现实中没有必要去做。思维实验和 科学实验一样,都是从现实系统出发,建立系统的模型,然 后通过模型来模拟现实系统。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 科学实验与思维实验 图1-1: 科学实验与思维实验 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 科学实验与思维实验 图1-2: 科学实验与思维实验 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 科学实验与思维实验 图1-3: 薛定谔的猫 系统是真空的、无光的 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择明文攻击下的不可区分性(IND-CPA) 公钥加密方案在选择明文攻击下的IND游戏(称 为IND-CPA游戏)如下: 初始化:挑战者产生系统ℰ,敌手获得系统的公开钥; 。挑战者随机选择b 加密,并将密文(称为目标密文)给敌手; Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择明文攻击下的不可区分性(IND-CPA) 公钥加密方案在选择明文攻击下的IND游戏(称 为IND-CPA游戏)如下: 初始化:挑战者产生系统ℰ,敌手获得系统的公开钥; 。挑战者随机选择b 加密,并将密文(称为目标密文)给敌手; Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择明文攻击下的不可区分性(IND-CPA) 公钥加密方案在选择明文攻击下的IND游戏(称 为IND-CPA游戏)如下: 初始化:挑战者产生系统ℰ,敌手获得系统的公开钥; 。挑战者随机选择b 加密,并将密文(称为目标密文)给敌手; Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择明文攻击下的不可区分性 敌手的优势可定义为参数k的函数: Adv 其中k是安全参数,用来确定加密方案密钥的长度。因为任一个不作为的敌手A,都能通过对b做随机猜测,而 是敌手通过努力得到的,故称为敌手的优势。 Definition 1.1 如果对任何多项式时间的敌手A,存在一个可忽略的函 数negl ,使得AdvCPA ,那么就称这个加密算法在选择明文攻击下具有不可区分性,或者称为IND-CPA安 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择明文攻击下的不可区分性 如果敌手通过m 的一个比特,则有可能区分m ,因此IND游戏刻画了语义安全的概念; 定义中敌手是多项式时间的,否则因为它有系统的公开 钥,可得到m 的任意多个密文,再和目标密文逐一进行比较,即可赢得游戏; Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择明文攻击下的不可区分性 如果加密方案是确定的,如RSA算法、Rabin密码体制 等,每个明文对应的密文只有一个,敌手只需重新 加密后,与目标密文进行比较,即赢得游戏。因此语义安全性不适用于确定性的加密方案。 与确定性加密方案相对的是概率性的加密方案,在每次 加密时,首先选择一个随机数,再生成密文。因此同一 明文在不同的加密中得到的密文不同,如ElGamal加密 算法。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择明文攻击下的不可区分性 例:ElGamal加密算法 modq.以x为秘密钥,(y, Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择明文攻击下的不可区分性 例:ElGamal加密算法 安全性基于Diffie-Hellman判定性问题:设G是阶为大素 为G的生成元。没有多项式时间的算法区分以下2个分布: 随机4元组R 的分布;4元组D 的分布;3元组D Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择明文攻击下的不可区分性 例:ElGamal加密算法 在ElGamal加密算法的IND-CPA游戏中,敌手输出两个 长度相同的消息m kxmod 为Diffie-Hellman3元组。如果b kxmod Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择明文攻击下的不可区分性 例:ElGamal加密算法 然而,IND CPA安全仅仅保证敌手是完全被动情况时 (即仅做监听)的安全,不能保证敌手是主动情况时(例如 向网络中注入消息)的安全。例如敌手收到密文 明文m。可见,ElGamal加密算法不能抵抗主动攻击。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择密文攻击下的不可区分性(IND-CCA) 为了描述敌手的主动攻击,1990年Naor和Yung提出了 (非适应性)选择密文攻击(Chosen Ciphertext Attack,简称 为CCA)的概念,其中敌手在获得目标密文以前,可以访问 解密谕言机(Oracle)。敌手获得目标密文后,希望获得目标 密文对应的明文的部分信息。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择密文攻击下的不可区分性(IND-CCA) IND游戏(称为IND-CCA游戏)如下: 初始化:挑战者产生系统ℰ,敌手A获得系统的公开钥。 给挑战者,挑战者解密后,将明文给敌手。 ,再从挑战者接收m Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择密文攻击下的不可区分性(IND-CCA) IND游戏(称为IND-CCA游戏)如下: 初始化:挑战者产生系统ℰ,敌手A获得系统的公开钥。 给挑战者,挑战者解密后,将明文给敌手。 ,再从挑战者接收m Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择密文攻击下的不可区分性(IND-CCA) IND游戏(称为IND-CCA游戏)如下: 初始化:挑战者产生系统ℰ,敌手A获得系统的公开钥。 给挑战者,挑战者解密后,将明文给敌手。 ,再从挑战者接收m Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择密文攻击下的不可区分性 以上攻击过程也称为“午餐时间攻击”或“午夜攻击”, 相当于有一个执行解密运算的黑盒,掌握黑盒的人在午餐 时间离开后,敌手能使用黑盒对自己选择的密文解密。午餐 过后,给敌手一个目标密文,敌手试图对目标密文解密,但 不能再使用黑盒了。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择密文攻击下的不可区分性 第2步可以形象地看做是敌手发起攻击前,敌手对自己 的训练(自学),这种训练可通过挑战者,也可通过解密谕 言机。谕言机也称为神谕、神使或传神谕者,神谕是古代希 腊的一种迷信活动,由女祭祀代神传谕,解答疑难者的叩 问,她们被认为是在传达神的旨意。因为在IND-CCA游戏 中,除了要求敌手是多项式时间的,我们不能对敌手的能力 做如何限制,敌手除了自己有攻击IND-CCA游戏的能力外, 可能还会借助于外力,这个外力是谁?是他人还是神,我们 不知道,所以统称为谕言机。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在选择密文攻击下的不可区分性 敌手的优势可定义为参数k的函数: Adv CCA Definition1.2 如果对任何多项式时间的敌手A,存在一个可忽略的函 数negl (k),使得Adv CCA negl(k),那么就称这个加密算 法在选择密文攻击下具有不可区分性,或者称为IND-CCA安 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在适应性选择密文攻击下的不可区分性(IND-CCA2) 1991年Rackoff和Simon提出了适应性选择密文攻击 (Adaptive Chosen Ciphertext Attack,简称为CCA2)的概念, 其中敌手获得目标密文后,可以向网络中注入消息(可以和 目标密文相关),然后通过和网络中的用户交互,获得与目 标密文相应的明文的部分信息。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在适应性选择密文攻击下的不可区分性 IND游戏(称为IND-CCA2游戏)如下: 初始化:挑战者产生系统ℰ,敌手获得系统的公开钥; 训练阶段1:敌手向挑战者(或解密谕言机)做解密询问(可多次),即取密文c 给挑战者,挑战者解密后,将明 文给敌手; ,再从挑战者接收m 训练阶段2:敌手继续向挑战者(或解密谕言机)做解密询问(可多次),即取密文c(c 给挑战者,挑战者解密后将明文给敌手; Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在适应性选择密文攻击下的不可区分性 IND游戏(称为IND-CCA2游戏)如下: 初始化:挑战者产生系统ℰ,敌手获得系统的公开钥; 训练阶段1:敌手向挑战者(或解密谕言机)做解密询问(可多次),即取密文c 给挑战者,挑战者解密后,将明 文给敌手; ,再从挑战者接收m 训练阶段2:敌手继续向挑战者(或解密谕言机)做解密询问(可多次),即取密文c(c 给挑战者,挑战者解密后将明文给敌手; Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在适应性选择密文攻击下的不可区分性 IND游戏(称为IND-CCA2游戏)如下: 初始化:挑战者产生系统ℰ,敌手获得系统的公开钥; 训练阶段1:敌手向挑战者(或解密谕言机)做解密询问(可多次),即取密文c 给挑战者,挑战者解密后,将明 文给敌手; ,再从挑战者接收m 训练阶段2:敌手继续向挑战者(或解密谕言机)做解密询问(可多次),即取密文c(c 给挑战者,挑战者解密后将明文给敌手; Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在适应性选择密文攻击下的不可区分性 IND游戏(称为IND-CCA2游戏)如下: 初始化:挑战者产生系统ℰ,敌手获得系统的公开钥; 训练阶段1:敌手向挑战者(或解密谕言机)做解密询问(可多次),即取密文c 给挑战者,挑战者解密后,将明 文给敌手; ,再从挑战者接收m 训练阶段2:敌手继续向挑战者(或解密谕言机)做解密询问(可多次),即取密文c(c 给挑战者,挑战者解密后将明文给敌手; Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在适应性选择密文攻击下的不可区分性 IND游戏(称为IND-CCA2游戏)如下: 初始化:挑战者产生系统ℰ,敌手获得系统的公开钥; 训练阶段1:敌手向挑战者(或解密谕言机)做解密询问(可多次),即取密文c 给挑战者,挑战者解密后,将明 文给敌手; ,再从挑战者接收m 训练阶段2:敌手继续向挑战者(或解密谕言机)做解密询问(可多次),即取密文c(c 给挑战者,挑战者解密后将明文给敌手; Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 公钥加密方案在适应性选择密文攻击下的不可区分性 敌手的优势可定义为参数k的函数: Adv CCA2 Definition1.3 如果对任何多项式时间的敌手,存在一个可忽略的函 数negl (k),使得Adv CCA2 negl(k),那么就称这个加密算 法在适应性选择密文攻击下具有不可区分性,或者称 为IND-CCA2安全。 在设计抗击主动敌手的密码协议时(如数字签名、认 证、密钥交换、多方计算等),IND-CCA2安全的密码系统是 有力的密码原语。原语是指由若干条指令组成的,用于完成 一定功能的一个过程。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 签名体制的语义安全性(EUF-CMA) 签名体制 (KeyGen,Sign, Ver 一般由以下三个算法组成: ,输出密钥对(pk,sk); 签名:输入消息m,秘密钥sk ,输出 Sign(m,sk) 验证:输入,消息m ,公开钥pk Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 签名体制的语义安全性(EUF-CMA) 签名体制 (KeyGen,Sign, Ver 一般由以下三个算法组成: ,输出密钥对(pk,sk); 签名:输入消息m,秘密钥sk ,输出 Sign(m,sk) 验证:输入,消息m ,公开钥pk Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 签名体制的语义安全性(EUF-CMA) 签名体制 (KeyGen,Sign, Ver 一般由以下三个算法组成: ,输出密钥对(pk,sk); 签名:输入消息m,秘密钥sk ,输出 Sign(m,sk) 验证:输入,消息m ,公开钥pk Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 签名体制的语义安全性 签名体制的语义安全性,由以下不可伪造(Existential Unforgeability)游戏(简称EUF游戏)来刻画。 初始阶段:挑战者产生系统ℰ的密钥对(pk,sk) sk)并返回给A; ,如果m不出现在阶 段1且Ver Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 签名体制的语义安全性 签名体制的语义安全性,由以下不可伪造(Existential Unforgeability)游戏(简称EUF游戏)来刻画。 初始阶段:挑战者产生系统ℰ的密钥对(pk,sk) sk)并返回给A; ,如果m不出现在阶 段1且Ver Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 签名体制的语义安全性 签名体制的语义安全性,由以下不可伪造(Existential Unforgeability)游戏(简称EUF游戏)来刻画。 初始阶段:挑战者产生系统ℰ的密钥对(pk,sk) sk)并返回给A; ,如果m不出现在阶 段1且Ver Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 签名体制的语义安全性 A的优势为它获胜的概率,记为AdvSig CMA ,其中k为安全参数。 Definition 1.4 签名体制 (KeyGen,Sign, Ver )称为在适应性选择消息攻 击下具有存在性不可伪造性(Existential Unforgeability Against Adaptive Chosen Messages Attacks,EUF-CMA),简称 为EUF-CMA安全,如果对任何多项式有界时间的敌手,存在 一个可忽略的函数negl (k),使得 AdvSig CMA Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 签名体制的语义安全性 例:RSA签名体制 RSA签名体制不是EUF-CMA安全的,其EUF游戏如下: 初始阶段:挑战者产生系统ℰ的密钥 对pk n),将pk发送给敌手A并且保密sk; 阶段1(签名询问):A执行以下的多项式q 有界次适应性询问; A提交m Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 签名体制的语义安全性 例:RSA签名体制 输出:A输出(m, modn,即为m的签字。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 规约(reduction) 有了以上安全定义后,通常使用规约的方法来证明方 案满足定义。 规约是复杂性理论中的概念,一个问题P 把规约方法用在密码算法或安全协议的安全性证明,可把敌手对密码算法或安全协议(问题P )的攻击规约到一些已经得到深入研究的密码本原(问题P )。即如果敌手能够对算法或协议发起有效的攻击,就可以利用敌手构造一 个算法来攻破密码本原,从而得出矛盾。根据反证法,敌手 能够对算法或协议发起有效的攻击的假设不成立。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 规约 一般地,为了证明方案1的安全性,我们可将方案1规约 到方案2,即如果敌手A能够攻击方案1,则敌手B能够攻击 方案2,其中方案2是已证明安全的,或是一困难问题,或是 一密码本原。 证明过程还是通过思维实验来描述,首先由挑战者建 立方案2,方案2中的敌手用B表示,方案1中的敌手用A表 示。B为了攻击方案2,它利用A作为子程序来攻击方 案1。B为了利用A,它可能需要对A加以训练,因此B又模 拟A的挑战者。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 规约 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 规约 具体步骤如下: Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 规约 具体步骤如下: Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 规约 具体步骤如下: Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 规约 具体步骤如下: Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 规约 具体步骤如下: Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 规约 对于加密算法来说,图2中的方案1取为加密算法,如果 其安全目标是语义安全,即敌手A攻击它的不可区分性,敌 手B模拟A的挑战者,和A进行IND游戏。称此时A对方案1的 攻击为模拟攻击。在这个过程中,B为了达到自己的目标, 而利用A,A也许不愿意被B利用。如果A不能判别是和自己 的挑战者交互还是和模拟的挑战者交互,则称B的模拟是完 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 IND-CPA IND-CCA IND-CCA2 EUF-CMA 规约 规约 对于其他密码算法或密码协议来说,我们首先要确定 它要达到的安全目标,如签名方案的不可伪造性等,然后构 造一个形式化的敌手模型及思维实验,再利用概率论和计 算复杂性理论,把对密码算法或密码协议的攻击规约到对 已知困难问题的攻击。这种方法就是可证明安全性。 可证明安全性是密码学和计算复杂性理论的天作之合。 过去30年,密码学的最大进展是将密码学建立在计算复杂 性理论之上,并且正是计算复杂性理论将密码学从一门艺 术发展成为一门严格的科学。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 CA可能成为系统的瓶颈 公钥密码体制 CA(Certificate Authority),负责用户公钥证书生命周期 的每一个环节:生成、签发、存贮、维护、更新、撤销等 CA有可能成为系统的瓶颈。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 基于身份的公钥密码体制 基于身份的公钥密码体制,从根本上改变传统CA公钥 体制架构中证书的管理和运作 基于身份的公钥体制的思想最早由Shamir于1984年提 出,方案中不使用任何证书,直接将用户的身份作为公 钥,以此来简化公钥基础设施PKI(Public Key Infrastructure)中基于证书的密钥管理过程 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 基于身份的加密算法如何工作? Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 Identity-Based Encryption 一个基于身份的加密体制(E)由以下四个算法组成: 建立(Setup):由安全参数k生成系统参数params和主 密钥master-key. 提取(Extract): 由给定公钥(身份)生成秘密钥,即 由params,master-keys和任意ID 加密(Encrypt):由输入params,ID, 返回密文C.解密(Decrypt):由输入params, Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 双线性映射 BDH假设 双线性映射 设q是一个大素数,G e(aP,bQ) 2、非退化性:映射不把G 的单位元。3、可计算性:任意P, Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 双线性映射 BDH假设 IBE方案所基于的困难问题之DDH问题 中的判定性Diffie-Hellman问题,简称DDH(Decision Diffie-Hellman)问题是指已 aP,bP, cP,判定c abmod 中的随机数。由双线性映射的性质可知: abmod e(aP,bP) 因此,可将判定c abmod q是否成立转变为判 e(aP,bP)是否成立,所以G Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 双线性映射 BDH假设 IBE方案所基于的困难问题之CDH问题 中的计算性Diffie-Hellman问题,简称CDH问题(Computational Diffie-Hellman)是指已知P, aP, bP,求abP,其 中的CDH问题不因引入双线性映射而解决,因此它仍是困难问题。 Cryptology语义安全 IBE的背景 IBE的安全性 选择明文安全的IBE方案 选择密文安全的IBE方案 双线性映射 BDH假设 MOV规约 中的离散对数问题:已知P, aP。已知这是一个困难问题。然而如果记g Q),则由^e的双线性可

本文标签

除非注明,文章均为( admin )原创,转载请保留链接: http://www.treslola.com/?p=371

密码学中的可证明安全性-杨波:等您坐沙发呢!

发表评论


-----===== 博主信息 =====-----

为您推荐

0