隨機(jī)預(yù)言機(jī)模型下可證明安全性關(guān)鍵問(wèn)題研究.pdf

1、隨著電子商務(wù)、政務(wù)等網(wǎng)絡(luò)應(yīng)用的蓬勃開(kāi)展，設(shè)計(jì)安全并且高效的密碼學(xué)方案成為密碼學(xué)的一個(gè)重要課題?？勺C明安全理論(Provable Security)是在預(yù)先精確設(shè)定的安全模型下，用來(lái)驗(yàn)證一個(gè)設(shè)計(jì)好的密碼學(xué)方案是否能抵御現(xiàn)實(shí)中自適應(yīng)攻擊者的形式化分析方法。早期的可證明安全體制一般是基于標(biāo)準(zhǔn)模型(StandardModel)下，將攻擊者成功破解方案的概率可轉(zhuǎn)化為攻破某已知困難問(wèn)題的優(yōu)勢(shì)。但基于標(biāo)準(zhǔn)模型的密碼學(xué)方案往往需要大量的計(jì)算，難以實(shí)用。

2、隨機(jī)預(yù)言機(jī)模型(RandomOracleModel)一經(jīng)提出，便成為了平衡密碼學(xué)方案的可證安全性和實(shí)用性的重要途徑。在隨機(jī)預(yù)言機(jī)模型當(dāng)中，基于一個(gè)公共可訪問(wèn)的隨機(jī)預(yù)言機(jī)，攻擊者的能力仍然可以規(guī)約到某個(gè)困難問(wèn)題，同時(shí)方案的計(jì)算開(kāi)銷(xiāo)也會(huì)因?yàn)殡S機(jī)預(yù)言機(jī)模型下許多緊規(guī)約技巧而大大降低。實(shí)際中，廣泛使用的密碼學(xué)方案和標(biāo)準(zhǔn)大都是基于隨機(jī)預(yù)言機(jī)模型下可證安全的。 雖然基于隨機(jī)預(yù)言機(jī)模型設(shè)計(jì)方案具有高效率優(yōu)勢(shì)，該模型自身的安全性問(wèn)題也不容忽視，

3、許多負(fù)面例子說(shuō)明現(xiàn)有廣泛使用的偽隨機(jī)函數(shù)、散列函數(shù)等并不能替換方案證明中所使用的隨機(jī)預(yù)言機(jī)，甚至有研究結(jié)果表明替換后的方案會(huì)失去可證安全性。如何設(shè)計(jì)一個(gè)實(shí)際的，安全的散列函數(shù)，來(lái)替換模型中所使用的隨機(jī)預(yù)言機(jī)，成為了近年來(lái)該領(lǐng)域的研究熱點(diǎn)問(wèn)題。我們對(duì)隨機(jī)預(yù)言機(jī)模型的已有成果及其存在的安全性問(wèn)題進(jìn)行了總結(jié)和分析。首先我們針對(duì)基于分組密碼的散列函數(shù)給出了相應(yīng)的與隨機(jī)預(yù)言機(jī)的白盒不可區(qū)分性(Indifferentiability)。 1

4、.我們給出了對(duì)基于分組密碼的散列函數(shù)的白盒不可區(qū)分性的進(jìn)一步分析，并給出了一個(gè)更加精確的對(duì)應(yīng)基于分組密碼的散列函數(shù)的白盒不可區(qū)分性攻擊者的形式化定義。白盒不可區(qū)分性的優(yōu)勢(shì)對(duì)應(yīng)于散列函數(shù)是否keyed的情況加以了區(qū)分。我們指出了Chang等人對(duì)于4種PGV和PBGV方案給出可區(qū)分性攻擊存在缺陷，而且給出對(duì)應(yīng)的形式化證明來(lái)表明4種PGV和PBGV構(gòu)造實(shí)際上在使用Prefix-FreePadding、HMAC/NMAC和ChopConstru

5、ction等改進(jìn)型MD構(gòu)造后，并同樣基于壓縮函數(shù)滿(mǎn)足限定長(zhǎng)度的隨機(jī)預(yù)言機(jī)的性質(zhì)，那么這些散列函數(shù)與隨機(jī)預(yù)言機(jī)是滿(mǎn)足白盒不可區(qū)分性的。 2.基于密鑰長(zhǎng)度是分組長(zhǎng)度兩倍情況的分組密碼，我們更進(jìn)一步地對(duì)速率(Rate)為1的雙倍分組長(zhǎng)度散列函數(shù)的構(gòu)造方法和安全性加以研究。研究工作可分為以下三個(gè)方面：首先，我們給出了針對(duì)Hirose提出的兩個(gè)作為公開(kāi)問(wèn)題的例子的攻擊，該攻擊證實(shí)Hirose給出的例子并不能達(dá)到最優(yōu)化抵抗原像和二次原像攻擊

6、，同時(shí)給出三個(gè)反例證明Hirose給出的最優(yōu)化抗碰撞的兩個(gè)必要條件并不完善。其次，基于上述攻擊和反例，我們形式化的分析了由Satoh等人在文獻(xiàn)中定義的速率為1的雙倍分組長(zhǎng)度散列函數(shù)，來(lái)找尋是否存在速率為1并且達(dá)到最優(yōu)化安全的雙倍分組長(zhǎng)度散列函數(shù)。在上述分析之后，我們進(jìn)一步給出了該類(lèi)型下速率為1的雙倍分組長(zhǎng)度散列函數(shù)達(dá)到最優(yōu)化安全的必要條件。特別地是，我們針對(duì)兩個(gè)基于新的必要條件下的有代表性的例子給出了白盒不可區(qū)分性的形式化證明。

7、 其次，對(duì)于隨機(jī)預(yù)言機(jī)模型下的可證明安全性，選擇合適的緊致規(guī)約證明技巧來(lái)達(dá)到安全性與效率的平衡，在方案設(shè)計(jì)中也是十分重要的。將協(xié)議中使用的散列函數(shù)理想化為隨機(jī)預(yù)言機(jī)，同時(shí)基于若干實(shí)用性簽名方案的設(shè)計(jì)與規(guī)約證明，我們通過(guò)這些簽名方案的可證明安全來(lái)介紹隨機(jī)預(yù)言機(jī)模型下最有效的幾種證明技巧。這些技巧都具有推廣性和啟發(fā)性，因而被廣泛用在其他協(xié)議的設(shè)計(jì)、證明過(guò)程中。 1.我們首先介紹了部分盲簽名的基本概念及其安全性定義，隨后基于離散對(duì)數(shù)問(wèn)

8、題給出了一種高效率的部分盲簽名的方案(DLP-PBS)的設(shè)計(jì)與安全性分析，與以往若干方案相比，DLP-PBS方案的計(jì)算和存儲(chǔ)開(kāi)銷(xiāo)均有降低。由于LFSR序列在替換表示有限域元素上的優(yōu)勢(shì)，我們基于n階LFSR序列和DLP-PBS方案給出了另一種高效率的部分盲簽名方案。我們所給出的兩種部分盲簽名方案均是在隨機(jī)預(yù)言機(jī)模型下證明了其安全性。與有限域上的方案相比，基于LFSR的部分盲簽名長(zhǎng)度有所減少。特別的是，兩種方案證明中都使用分叉引理作為安全性