《抗选择密文攻击公钥密码体制及其相关问题的研究》由会员分享,可在线阅读,更多相关《抗选择密文攻击公钥密码体制及其相关问题的研究(15页珍藏版)》请在金锄头文库上搜索。
1、抗选择密文攻击公钥密码体制及其 相关问题的研究专业:通信与信息系统 方向:信息系统安全 导师: 何大可 博士生:梅其祥一 研究的意义 在公钥密码体制中,攻击者拥有公钥,他可以随便选 择明文进行加密,攻击者还有机会获得密文,而且还 可能利用各种途径来获得解密,为此,公钥密码体制 应该不会泄露其他密文的的明文信息,这就要求该密 码体制能抗选择密文攻击。 抗选择密文攻击密码体制是一种安全性很高的体制。 现在它已是被密码学家们普遍接受的概念,研究表明 ,利用抗选择密文攻击密码体制,可以设计许多安全 强度很高的重要的密码协议, 密钥传输,密钥交换,公平交换协议等等, Bellare和Rogaway提出的
2、OAEP(1994)体制就成为 SET协议的新的加密标准。 抗选择密文攻击是当今公钥加密侯选标准的最重要的要求 之一,2004年的最新的几个候选标准的原型就是几个重要 的抗选择密文攻击公钥加密密码方案。 二. 抗选择密文攻击密码体制概念介绍 公钥密码体制按照可能的攻击目标,可以分为 : 单向性(OW)安全:由密文不能恢复相应的 明文。 不可区分性(IND)安全:对已知给定的的两 个明文,加密者随机一致的选择其中一个进行 加密,攻击者无法从密文中知道是对哪个明文 的加密。 非延展性(NM)安全:攻击者无法构造与已 给密文相关的新密文。 以上安全性概念依次加强:NM比IND强,IND 比OW强。
3、。 按照可能的攻击模型可分为: 选择明文(CPA)攻击:攻击者可以先适应性选择明文 ,获得相应的密文 非适应性选择密文(CCA1)攻击:攻击者除了可以适 应性选择明文攻击外,在给定Challeng密文前,还可 以选择密文获得相应的解密。 适应性选择密文(CCA2)攻击:攻击者的唯一限制就 是不可以直接用Challeng密文获得相应的明文,即还 可以在给定Challeng密文,选择密文获得相应的解密 。 同时考虑攻击目标和攻击模型,可以获得不同的安全 ,其中最重要的是IND-CCA2和NM-CCA2安全,而二 者被证明是等价的5,所以加密中通常所说的选择密 文安全是指IND-CCA2安全。三 研
4、究现状1.IND-CCA2概念的提出 :Rackoff 和Simon19912.几个重要的IND-CCA2方案 1994年,Bellare和Rogaway提出的OAEP(Optimal Asymmetric Encryption Padding)体制,将任意陷门置 换转化为IND-CCA2 ,第一次将较弱的体制转化为IND-CCA2; 1998年Cramer和Shoup才又提出了一种实际的IND- CCA2,而且是“真实世界”(在标准的数论假设下)的 (而不是“Random Oracle Model”意义下的);其安全 性基于DDH假设。 FujisakiOkamoto 1999 将IND-C
5、PA加密转化为其IND-CCA2,解密中的验证过程要求重新加密。 Pointchaval 2000 提出了将单向陷门函数转化为IND-CCA2的方法,但解密中的验证过程要求重新加密。 2000年,Shoup对CS98方案进一步改进,一方面,当 DDH假设成立,该方案在真实世界依然是IND-CCA2 安全的,另一方面,当DDH假设成立不成立,该方案 在Random Oracle Model中,在CDH假设下,是IND- CCA2安全的,而且效率较CS98高。2001年Cramer 和Shoup,对CS98,S00,进一步改进提高,并加以推 广。 2001,Okamoto和Pointchaval
6、的 REACT 提 出公钥和私钥相结合的方法,将OW-PCA(在 明密文检测攻击下单向性安全的)加密转化为 IND-CCA2,其解密验证不需重新加密,效率 很高,但密文较长,另外,OW-PCA假设的可 信性还值得怀疑。 2001,Abdalla, Bellare, Rogway.提出的 DHIES ,将EI Gama加密转化为IND-CCA2, 其效率非常高,不需要Random Oracle,其安 全性基于Oracle Diffie-Hellman假设。3 与门限密码学结合 1998 Shoup 和Gennero 提出了一种抗选择密文攻击 密码门陷体制 1999 Canetti和Goldwas
7、ser 也提出了一种门陷IND- CCA2. 4 与基于身份的密码体制结合 Boneh, Franklin(2001) 利用双线性映射,构造了一个 基于身份的密码体制,然后,利用FujisakiOkamoto 1999方法,转化为基于身份的IND-CCA2体制,掀起 了基于身份的密码体制研究的新高潮。 5与签名结合,构造(CCA2-CMA)签密 Zhengyuliang 1997提出了签密的概念,并提出了两 中高效的方案,2002年,Baek等对该方案进行严格的 分析,分析表明,在Random Oracle模型中,在Gap Diffie-Hellman假设下,该方案对隐私性来说,可以抗 适应性
8、选择密文(IND-CCA2)攻击,对于认证性来说 ,可以抗适应性选择明文(CMA)攻击。从此,构造 (CCA2-CMA)签密也成为一个热点方向。6探讨与与其他问题的关系(应用CCA2设计其 他协议) 密钥传输、认证密钥交换的关系(Bellare等1993, 1995,1998,2000), 与其它公钥加密概念之间的关系(Bellare等1998 ) 与安全(认证且保密)信道的关系(R.Canetti H.Krawczk 2001,2002), 与公平交换的关系(N.Asokan 等1998、 2000) 7对已有标准的攻击: 1998 ,Bleichenbacker 对原先的RSA标准进行了有
9、效 的攻击。 2000,Shoup指出OAEP在一般情形是不安全的,并 提出了OAEP+ 2001,Fujisaki 等指出虽然OAEP一般情形是不安全的 ,但由于RSA的特殊代数结构,OAEP-RSA是安全的 。8提交新的公钥候选标准。2004年的最新的几个候选标准的原型就是几个重要的抗 选择密文攻击公钥加密密码方案,其中包括 BR94(RSA-Based), CS98和CS01(EI Gamal-Based), FO99和OP01(EPOC-Based), ABR01(EI Gamal-Based)。四研究目标、研究内容、拟解决的关键问题 抗选择密文攻击密码体制的研究是一个非常重要方向,
10、这里面还有很多工作可做,我准备侧重于以下一些方 面进行研究。 1.构造新的cca2-cma签密方案 ; 2.对国内外相关协议的攻击与分析,对一些重要的相关协议进行评估,为实际相关部门提供咨询; 3.构造适合于某些特殊应用的加密体制,特别是考虑 适合于密钥交换的加密体制; 4.对已有的加密体制进行进一步严格证明; 5.对已有加密体制进行优化,提高他们的执行速度或 减少密文扩展。五拟采取的研究方法、技术路线、试验方案及 其可行性研究 1. 目前,已写了关于一篇关于cca2-cma签密的文章( 已投),其安全性基于CDH假设,而Zheng97是基于 GDH假设。 2. 目前,已写了关于一篇关于相关协
11、议的攻击文章( 已投),对曹珍富2003的一篇文章进行攻击和改进; 准备写一篇综述,全面的介绍已有的CCA2公钥加密体 制以及CCA2的应用。 3. 抗选择密文攻击加密体制中,一般都有一个冗余检 测,其中一个方法是使用认证码,在密钥交换中,为 了保证认证性,也有一个方法是利用认证码,我想经 过适当的处理,将二者合在一起,从而降低通信和计 算复杂度。 4.1998年,Tsiounis 和Yung提出了一个加密方案,是 在EIGamal加密后加一个知识证明,但是,Shoup and Gennaro 指出,Tsiounis 和Yung的方案不能严格 证明,我经过仔细分析,发现Tsiounis 和Yu
12、ng的方案 可以在更强的GDH假设下严格证明。 5.对已有的抗选择密文攻击加密体制进行详细的比较 、分析,综合,试图对某些进行优化。 6.进一步收集最新文章,发现新的问题,产生新的想 法。六课题的创新性 课题的创新性主要体现在 对已有方案的安全性进行评估、进一步论证、优化改 进。 构造合乎特殊需求的抗选择密文攻击加密体制,并构 造相应的应用方面的协议,寻求新的应用背景。 七计划进度、预期进展和预期成果 本课题的成果主要以论文的形式体现,希望能在一级 期刊上发表四篇文章。 2002.9-2003.9 收集、消化文献; 2003.10-2004.3 完成前两个目标,投稿两篇文章; 2004.4-2004.9 完成第三、四目标的部分,投稿两篇; 2004.102005.1 继续实现第三、四目标,并部分实现第五目 标,投稿一篇以上; 2005.22005.6 主要是卷写博士学位论文,若时间许可,继续 收集最新文章,发现新的问题,产生新的想法,进一步投稿。谢谢
