《前沿密码应用技术课件》由会员分享,可在线阅读,更多相关《前沿密码应用技术课件(111页珍藏版)》请在金锄头文库上搜索。
1、内容提要内容提要1.1.什么是安全什么是安全2 2.可可证证明安全性明安全性3.3.基于身份加密基于身份加密4.4.基于属性加密基于属性加密5 5.代理重加密代理重加密6 6.函数加密函数加密7 7.可搜索加密可搜索加密8 8.加密云加密云邮邮件系件系统统徐徐鹏鹏副教授副教授邮邮箱:箱:研究研究领领域:公域:公钥钥密密码码,基于身份密,基于身份密码码,格密,格密码码,可,可搜索加密,云数据安全等搜索加密,云数据安全等1.什么是安全?安全与信任的关系你们考虑过密码算法为什么安全么?简单地说,安全就是信任;或者说,你相信“它”是安全的,就是安全的从“水”的安全性说开去生活中,常见的信任源有哪些?信
2、任源具有动态性密码学的信任源是什么?学术界与工业界对安全的构建采用的不同思想扩展问题:信任源空间的大小是变化的2.可证明安全性GoldwasserS,MicaliS,RackoffC.Theknowledgecomplexityofinteractiveproof-systemsC/DBLP,1985:291-304.可证明安全性的起源起源于1982年Goldwasser和Micali等学者的开创性工作,他们提出了语义安全性定义,将可证明安全的思想首次带入安全协议的形式化分析中Goldwasser和Micali获2012年图灵奖语义安全性的主要成分如何定义攻击者计算能力先验知识如何定义攻击目标
3、直观目标明文语义以上述两者为基础,如何定义安全一种“优势”语义安全性的一种简单抽象攻击者挑战者公钥挑战明文(M0,M1)随机选择任意一个明文,并生成其挑战密文C;挑战密文C猜测结果d=0或1若Md是挑战者之前所选择的明文,则攻击成功;语义安全性:在上述攻击游戏中,若攻击者的成功优势可忽略,则该公钥加密算法是语义安全的(具体的说是选择明文攻击下语义安全的)以某类公钥加密算法为例,例如ElGamal算法ElGamal加密与数学难题ElGamal加密的可证明安全性核心思想若存在某个攻击者A能以不可忽略的优势攻破ElGamal加密算法,则存在一个算法B能利用这个攻击者来求解DDH问题,其它问题什么是安
4、全参数?从RSA1024bits加密密钥所开去量化安全性的重要依据为什么随机数对加密算法的安全性至关重要?从信息论的角度说开去确定算法无法增加输出的熵小结可证明安全性首次以科学的方式严格的定义了密码方案的安全性,让安全性可量化可证明安全性使密码学研究、密码方案的设计从“艺术”变成了“科学”针对不同功能和不同类型密钥的密码方案,可证明安全性所变现出的形态也各不一样针对签名方案,有不可存在性伪造针对安全协议,有通用可组合安全基于身份加密(IBE)BonehD,FranklinM.Identity-basedencryptionfromtheWeilpairingC/AdvancesinCrypto
5、logyCRYPTO2001.SpringerBerlin/Heidelberg,2001:213-229.回顾公钥基础设施(PKI)的核心基于PKI的公钥加密体制回顾PKI的核心功能Alice如何知道Joy,Mike,Bob和Ted的公钥Joy,Mike,Bob和Ted自己公开并声明自身的公钥在实际应用中是不安全和不现实的需要一个可信的第三方去证明Alice拿到的公钥一定就是Joy,Mike,Bob和Ted的PKI提供了这个可信第三方,即CA(证书中心)回顾PKI的核心功能Alice向CA询问Joy,Mike,Bob和Ted的公钥CA用自身的私钥签发Joy,Mike,Bob和Ted的公钥,即
6、生成证书Alice拿到证书后,利用签名验证的思想,验证证书的有效性另外,CA也起到的撤销用户公钥的能力,即不再签发相应用户的公钥简单说PKI的核心功能向发送方证明接收方的公钥是“那一个”或者说将接收方与某个公钥绑定当接收方公钥不再有效时,告知发送方接收方的公钥已被撤销PKI存在的实际问题实际应用中,发送方是非常多的理论上,每次发送方加密数据之间,都要询问CA接收方的公钥是什么(即获得接收方公钥的证书),或者是询问接收方的公钥是否依然有效CA成为了PKI的性能瓶颈PKI存在问题的本质原因公钥是随机生成的,因此与用户没有天然的绑定关系例如:RSA中公开密钥:e,nn为两个随机选择的且满足一些要求的
7、素数p和q的乘积e与(n)互素,即与(p-1)(q-1)互素且有了公钥之后,再生成相应的私钥dIBE的思想能够有一种方法让用户及其公钥有天然的绑定关系么?这是基于身份体制的核心要求怎样的公钥才有可能和用户天然的绑定呢?这个公钥直接或者间接的是用户的某些自然属性同时由于公钥需要有唯一性,即每个用户的公钥必须不同,因此自然属性需要有唯一性属性身份公钥IBE的提出1984,shamir提出了基于身份体制(Identity-BasedCryptography,IBC)的概念,但并没有找到实现方法上个世纪90年代,实现了基于身份签名方案(Identity-BasedSignature,IBS)直到200
8、0或者2001年,实现了首个基于身份加密方案(Identity-BasedEncryption,IBE)谁是第一个IBE方案Sakai和KasaharaBoneh和Franklin上述两个方案均基于双线性映射构建,具有较好的实用性Cocks基于二次剩余假设构建在实际应用中缺乏实用性IBE的定义Setup算法输入:安全参数输出:系统公开参数和系统秘密参数Extract算法输入:系统秘密参数,用户的身份信息(公钥)输出:用户私钥Enc算法输入:系统公开参数,接收方的身份信息(公钥),明文输出:密文Dec算法输入:接收方的私钥,密文输出:明文基于BF-IBE的邮件系统初始阶段密钥生成中心(KGC)运
9、行Setup算法(输入:安全参数),生成系统公开参数和系统秘密参数用户加入阶段令新加入用户的邮箱地址为ID,KGC运行Extract算法(输入:系统秘密参数,ID),生成并授予其私钥邮件安全传输阶段令接收方的邮箱地址是ID,发送方运行Enc算法加密邮件(输入:系统公开参数,ID,邮件内容),生成密文C并发送给接收方接收方用私钥解密出邮件内容IBE的实例双线性映射的历史93年三个日本人发表在IEEETransactionsonInformationTheory上他们自己并没有意识到其巨大的价值,只是想找一种攻击特定椭圆曲线密码学的方法其巨大的价值被Boneh和Franklin发现,并实现了BF-
10、IBE方案数学基础双线性映射的定义具体方案IBE的密钥托管问题问题用户私钥由密钥生成中心生成,因此该中心知道所有用户私钥若用户私钥泄露,无法通过更新公钥的方式撤销泄露的私钥解决思路一个用户公钥对应多个私钥(指数个)基于零知识证明,使得密钥生成中心无法知道用户选定的私钥是哪一个基于私钥的取证技术,使得若攻击者使用了非用户选定的私钥来解密,可以被发现IBE的小结以任意身份信息作为公钥与传统公钥加密相比IBE的公钥可以是具有唯一标识用户作用的自然信息或者自然属性以RSA为例,RSA的公钥是随机生成的与用户具有的自然属性没有关系基于属性加密(ABE)SahaiA,WatersB.Fuzzyidenti
11、ty-basedencryptionC/Eurocrypt.2005,3494:457-473.GoyalV,PandeyO,SahaiA,etal.Attribute-basedencryptionforfine-grainedaccesscontrolofencrypteddataC/Proceedingsofthe13thACMconferenceonComputerandcommunicationssecurity.Acm,2006:89-98.回顾传统的访问控制Alice询问数据库某数据已知的传统访问控制方法,包括:自主访问控制,强制访问控制,基于角色访问控制等等数据库数据以明文形式
12、存放,通过验证用户权限实现数据访问,其安全性完全依赖用户对服务器安全性的信任传统访问控制存在的问题若数据库服务器存在漏洞,导致攻击者获得管理员权限,则该攻击者可以绕开访问控制策略获得数据若数据库管理员本身与攻击者合谋,同样可以导致访问控制策略失效传统的访问控制方法无法保证云计算环境下的数据安全性数据集中的云平台更容易成为攻击目标云平台缺乏可信性ABE的提出2005年Waters等人,提出了模糊的基于身份加密以指纹作为身份信息加密,存在每次指纹的提取不一致问题模糊的基于身份加密实现了同一用户的不同指纹加密生成的密文,可以被该用户的同一个私钥解密ABE的提出本质上,2005年Waters等人,实现
13、了不同的基于身份公钥被同一个私钥解密借鉴模糊基于身份加密的思想,提出了第一种ABE,即key-policyABEABE的提出KP-ABE:以明文的属性做公钥,以访问控制策略生成对应的私钥CiphertextPolicyABE(CP-ABE):以访问控制策略做公钥加密明文,以用户的属性生成对应的私钥KP-ABE与CP-ABE的应用差异KP-ABE适合于加密方与访问控制方分离的场景数据安全采集与共享CP-ABE适合于加密方与访问控制方一体的场景企业数据安全存储与共享ABE的定义Setup算法输入:安全参数输出:系统公开参数和系统秘密参数Extract算法输入:系统秘密参数,用户的访问控制策略(KP
14、-ABE)/属性(CP-ABE)输出:私钥Enc算法输入:系统公开参数,明文的属性(KP-ABE)/访问控制策略(CP-ABE),明文输出:密文Dec算法输入:私钥,密文输出:明文基于CP-ABE的云存储系统CP-ABE的实例ABE算法设计的难点支持访问控制策略的能力“与”门“或”门“非”门系统参数的数量密文的长度通常,支持访问控制策略的能力越强,那么系统参数的数量越多、密文的长度越长ABE的小结ABE是密码学与传统访问控制的“有机”结合在实际应用中,ABE与传统访问控制的最大的不同是,ABE不需要信任服务器,换句话说,即使服务器是恶意的或者被攻破,也不会导致数据泄漏代理重加密(PRE)Iva
15、nAA,DodisY.ProxyCryptographyRevisitedC/NDSS.2003.回顾基于CP-ABE的云存储系统ABE适合于企业级的安全数据存储与访问用户难以掌握和正确设置数据的访问控制策略ABE不适合普通用户使用PRE的提出1998年Blaze等人,提出了一种代理协议,可以让第三方(代理方)修改已有密文的公钥,但该方案存在明显的安全性缺陷2003年Ivan等人,正式提出了PREPRE的定义Setup算法输入:安全参数输出:系统公开参数和系统秘密参数Extract算法(该算法仅在基于身份类的PRE中才存在)输入:系统秘密参数,用户的身份输出:私钥Enc算法输入:系统公开参数,
16、Alice公钥,明文输出:初始密文Dec-1算法输入:Alice私钥,初始密文输出:明文RK算法输入:Alice私钥,Bob公钥输出:重加密密钥ReEnc算法输入:重加密密钥,初始密文输出:重加密密文Dec-2算法输入:重加密密文,Bob私钥输出:明文基于PRE的安全云数据存储与共享基于身份的PRE实例PRE的其它问题细粒度的控制问题打破“全或无”的共享模式多次重加密的问题打破一个密文只能以重加密形式共享一次的问题双向重加密的问题打破一次重加密过程只能实现Alice-Bob或者Bob-Alice的单向共享复杂多特性PRE方案的设计问题使得一个PRE方案同时具有多种特性,例如细粒度共享、多次重加密、双向重加密等等PRE的小结相比于ABE,PRE以用户为中心,实现了用户自主可控的访问控制过程PRE的公钥类型与传统公钥体制一致,因此从工业的角度来说,更容易应用到现有密码系统中函数加密(FE)回顾CP-ABECP-ABE以访问控制策略做公钥,以用户属性生成私钥访问控制策略是基于属性(或权限)的布尔表达式能不能有比布尔表达式更灵活的访问控制方式更通用的,任意数据的访问控制方式都可以表示为某一个函
