《2017年前沿密码应用技术》由会员分享,可在线阅读,更多相关《2017年前沿密码应用技术(111页珍藏版)》请在金锄头文库上搜索。
1、内容提要 1. 什么是安全 2. 可证明安全性 3. 基于身份加密 4. 基于属性加密 5. 代理重加密 6. 函数加密 7. 可搜索加密 8. 加密云邮件系统,徐鹏 副教授 邮箱: 研究领域:公钥密码,基于身份密码,格密码,可搜索加密,云数据安全等,1. 什么是安全?,安全与信任的关系,你们考虑过密码算法为什么安全么? 简单地说,安全就是信任;或者说,你相信“它”是安全的,就是安全的 从“水”的安全性说开去 生活中,常见的信任源有哪些? 信任源具有动态性 密码学的信任源是什么? 学术界与工业界对安全的构建采用的不同思想 扩展问题:信任源空间的大小是变化的,2. 可证明安全性,Goldwass
2、er S, Micali S, Rackoff C. The knowledge complexity of interactive proof-systemsC/ DBLP, 1985:291-304.,可证明安全性的起源,起源于1982年Goldwasser和Micali等学者的开创性工作,他们提出了语义安全性定义,将可证明安全的思想首次带入安全协议的形式化分析中 Goldwasser和Micali 获2012年图灵奖,语义安全性的主要成分,如何定义攻击者 计算能力 先验知识 如何定义攻击目标 直观目标 明文语义 以上述两者为基础,如何定义安全 一种“优势”,语义安全性的一种简单抽象,攻击
3、者,挑战者,公钥,挑战明文(M0,M1),随机选择任意一个明文, 并生成其挑战密文C;,挑战密文C,猜测结果d=0或1,若Md是挑战者之前所选择 的明文,则攻击成功;,语义安全性:在上述攻击游戏中,若攻击者的成功优势可忽略, 则该公钥加密算法是语义安全的(具体的说是选择明文攻击下 语义安全的),以某类公钥加密算法为例,例如ElGamal算法,ElGamal加密与数学难题,ElGamal加密的可证明安全性,核心思想 若存在某个攻击者A能以不可忽略的优势攻破ElGamal加密算法,则存在一个算法B能利用这个攻击者来求解DDH问题,,其它问题,什么是安全参数? 从RSA 1024bits加密密钥所开
4、去 量化安全性的重要依据 为什么随机数对加密算法的安全性至关重要? 从信息论的角度说开去 确定算法无法增加输出的熵,小结,可证明安全性首次以科学的方式严格的定义了密码方案的安全性,让安全性可量化 可证明安全性使密码学研究、密码方案的设计从“艺术”变成了“科学” 针对不同功能和不同类型密钥的密码方案,可证明安全性所变现出的形态也各不一样 针对签名方案,有不可存在性伪造 针对安全协议,有通用可组合安全,基于身份加密(IBE),Boneh D, Franklin M. Identity-based encryption from the Weil pairingC/ Advances in Cryp
5、tologyCRYPTO 2001. Springer Berlin/Heidelberg, 2001: 213-229.,回顾公钥基础设施(PKI)的核心,基于PKI的公钥加密体制,回顾PKI的核心功能,Alice如何知道Joy,Mike,Bob和Ted的公钥 Joy,Mike,Bob和Ted自己公开并声明自身的公钥在实际应用中是不安全和不现实的 需要一个可信的第三方去证明Alice拿到的公钥一定就是Joy,Mike,Bob和Ted的 PKI提供了这个可信第三方,即CA(证书中心),回顾PKI的核心功能,Alice向CA询问Joy,Mike,Bob和Ted的公钥 CA用自身的私钥签发Joy,
6、Mike,Bob和Ted的公钥,即生成证书 Alice拿到证书后,利用签名验证的思想,验证证书的有效性 另外,CA也起到的撤销用户公钥的能力,即不再签发相应用户的公钥,简单说PKI的核心功能,向发送方证明接收方的公钥是“那一个”或者说将接收方与某个公钥绑定 当接收方公钥不再有效时,告知发送方接收方的公钥已被撤销,PKI存在的实际问题,实际应用中,发送方是非常多的 理论上,每次发送方加密数据之间,都要询问CA接收方的公钥是什么(即获得接收方公钥的证书),或者是询问接收方的公钥是否依然有效 CA成为了PKI的性能瓶颈,PKI存在问题的本质原因,公钥是随机生成的,因此与用户没有天然的绑定关系 例如:
7、RSA中,公开密钥:e, n n为两个随机选择的且满足一些要求的素数p和q的乘积 e与(n)互素,即与(p-1)(q-1)互素 且有了公钥之后,再生成相应的私钥d,IBE的思想,能够有一种方法让用户及其公钥有天然的绑定关系么? 这是基于身份体制的核心要求 怎样的公钥才有可能和用户天然的绑定呢? 这个公钥直接或者间接的是用户的某些自然属性 同时由于公钥需要有唯一性,即每个用户的公钥必须不同,因此自然属性需要有唯一性 属性身份公钥,IBE的提出,1984,shamir提出了基于身份体制(Identity-Based Cryptography,IBC)的概念,但并没有找到实现方法 上个世纪90年代,
8、实现了基于身份签名方案(Identity-Based Signature,IBS) 直到2000或者2001年,实现了首个基于身份加密方案(Identity-Based Encryption, IBE),谁是第一个IBE方案,Sakai和Kasahara Boneh和Franklin 上述两个方案均基于双线性映射构建,具有较好的实用性 Cocks 基于二次剩余假设构建 在实际应用中缺乏实用性,IBE的定义,Setup算法 输入:安全参数 输出:系统公开参数和系统秘密参数 Extract算法 输入:系统秘密参数,用户的身份信息(公钥) 输出:用户私钥 Enc算法 输入:系统公开参数,接收方的身份
9、信息(公钥),明文 输出:密文 Dec算法 输入:接收方的私钥,密文 输出:明文,基于BF-IBE的邮件系统,初始阶段 密钥生成中心(KGC)运行Setup算法(输入:安全参数),生成系统公开参数和系统秘密参数 用户加入阶段 令新加入用户的邮箱地址为ID,KGC运行Extract算法(输入:系统秘密参数,ID),生成并授予其私钥 邮件安全传输阶段 令接收方的邮箱地址是ID, 发送方运行Enc算法加密邮件(输入:系统公开参数,ID,邮件内容),生成密文C并发送给接收方 接收方用私钥解密出邮件内容,IBE的实例,双线性映射的历史 93年三个日本人发表在IEEE Transactions on In
10、formation Theory上 他们自己并没有意识到其巨大的价值,只是想找一种攻击特定椭圆曲线密码学的方法 其巨大的价值被Boneh和Franklin发现,并实现了BF-IBE方案,数学基础,双线性映射的定义,具体方案,IBE的密钥托管问题,问题 用户私钥由密钥生成中心生成,因此该中心知道所有用户私钥 若用户私钥泄露,无法通过更新公钥的方式撤销泄露的私钥 解决思路 一个用户公钥对应多个私钥(指数个) 基于零知识证明,使得密钥生成中心无法知道用户选定的私钥是哪一个 基于私钥的取证技术,使得若攻击者使用了非用户选定的私钥来解密,可以被发现,IBE的小结,以任意身份信息作为公钥 与传统公钥加密相
11、比 IBE的公钥可以是具有唯一标识用户作用的自然信息或者自然属性 以RSA为例,RSA的公钥是随机生成的与用户具有的自然属性没有关系,基于属性加密(ABE),Sahai A, Waters B. Fuzzy identity-based encryptionC/ Eurocrypt. 2005, 3494: 457-473.,Goyal V, Pandey O, Sahai A, et al. Attribute-based encryption for fine-grained access control of encrypted dataC/Proceedings of the 13th
12、 ACM conference on Computer and communications security. Acm, 2006: 89-98.,回顾传统的访问控制,Alice询问数据库某数据 已知的传统访问控制方法,包括:自主访问控制,强制访问控制,基于角色访问控制等等 数据库数据以明文形式存放,通过验证用户权限实现数据访问,其安全性完全依赖用户对服务器安全性的信任,传统访问控制存在的问题,若数据库服务器存在漏洞,导致攻击者获得管理员权限,则该攻击者可以绕开访问控制策略获得数据 若数据库管理员本身与攻击者合谋,同样可以导致访问控制策略失效 传统的访问控制方法无法保证云计算环境下的数据安全
13、性 数据集中的云平台更容易成为攻击目标 云平台缺乏可信性,ABE的提出,2005年Waters等人,提出了模糊的基于身份加密 以指纹作为身份信息加密,存在每次指纹的提取不一致问题 模糊的基于身份加密实现了同一用户的不同指纹加密生成的密文,可以被该用户的同一个私钥解密,ABE的提出,本质上,2005年Waters等人,实现了不同的基于身份公钥被同一个私钥解密 借鉴模糊基于身份加密的思想,提出了第一种ABE,即key-policy ABE,ABE的提出,KP-ABE:以明文的属性做公钥,以访问控制策略生成对应的私钥 Ciphertext Policy ABE(CP-ABE):以访问控制策略做公钥加
14、密明文,以用户的属性生成对应的私钥,KP-ABE与CP-ABE的应用差异,KP-ABE适合于加密方与访问控制方分离的场景 数据安全采集与共享 CP-ABE适合于加密方与访问控制方一体的场景 企业数据安全存储与共享,ABE的定义,Setup算法 输入:安全参数 输出:系统公开参数和系统秘密参数 Extract算法 输入:系统秘密参数,用户的访问控制策略(KP-ABE)/属性(CP-ABE) 输出:私钥 Enc算法 输入:系统公开参数,明文的属性(KP-ABE)/访问控制策略(CP-ABE),明文 输出:密文 Dec算法 输入:私钥,密文 输出:明文,基于CP-ABE的云存储系统,CP-ABE的实
15、例,ABE算法设计的难点,支持访问控制策略的能力 “与”门 “或”门 “非”门 系统参数的数量 密文的长度 通常,支持访问控制策略的能力越强,那么系统参数的数量越多、密文的长度越长,ABE的小结,ABE是密码学与传统访问控制的“有机”结合 在实际应用中,ABE与传统访问控制的最大的不同是,ABE不需要信任服务器,换句话说,即使服务器是恶意的或者被攻破,也不会导致数据泄漏,代理重加密(PRE),Ivan A A, Dodis Y. Proxy Cryptography RevisitedC/ NDSS. 2003.,回顾基于CP-ABE的云存储系统,ABE适合于企业级的安全数据存储与访问 用户难
16、以掌握和正确设置数据的访问控制策略 ABE不适合普通用户使用,PRE的提出,1998年Blaze等人,提出了一种代理协议,可以让第三方(代理方)修改已有密文的公钥,但该方案存在明显的安全性缺陷 2003年Ivan等人,正式提出了PRE,PRE的定义,Setup算法 输入:安全参数 输出:系统公开参数和系统秘密参数 Extract算法(该算法仅在基于身份类的PRE中才存在) 输入:系统秘密参数,用户的身份 输出:私钥 Enc算法 输入:系统公开参数,Alice公钥,明文 输出:初始密文 Dec-1算法 输入:Alice私钥,初始密文 输出:明文 RK算法 输入:Alice私钥,Bob公钥 输出:重加密密钥 ReEnc算法 输入:重加密密钥,初始密文 输出:重加密密文 Dec-2算法 输入:重加密密文,Bob私钥 输出:明文,基于PRE的安全云数据存储与共享,基于身份的PRE实例,PRE的其它问题,细粒度的控制问题 打破“全或无”的共享模式 多次重加密的问题 打破一个密文只能以重加密形式共享一次
