超级会员免费看
高效可追踪签名与强安全无证书密钥协商
高效可追踪签名
在密码学领域,可追踪签名是保障信息安全和责任追溯的重要手段。Groth的密钥生成协议为我们提供了一种有效的方式,让潜在的组成员U和组管理员GM能够联合生成特定的密钥。
Groth的密钥生成协议
Groth描述了一个5步协议,允许潜在组成员U和组管理员GM联合生成$X = g^x \in G$,且只有用户知道$x \in Z_p^
$,并保证$x$是均匀分布的。具体步骤如下:
1. 用户U选择$a, r \stackrel{\$}{\leftarrow} Z_p$,$\eta \stackrel{\$}{\leftarrow} Z_p^
$,并将$A = g^a$,$R = g^r$,$h = g^\eta$发送给GM。
2. GM选择$b, s \stackrel{\$}{\leftarrow} Z_p$,并将承诺$B = g^b \cdot h^s$发送给U。
3. U选择$c \stackrel{\$}{\leftarrow} Z_p$并发送给GM。
4. GM打开承诺B,将值$b, s$发送回U。
5. U检查$B = g^b \cdot h^s$。如果成立,U将$z = (b + c)a + r \mod p$和$\eta$发送给GM,并输出$x = a + b + c$。
6. GM最后检查$\eta \in Z_p^*$,$h = g^\eta$和$A^{b+c} \cdot R = g^z$。如果成立,GM输出$X = A \cdot g^{b+c}$。
在G中的离散对数假设下,该协议有黑盒模拟器,可以模拟恶意用户或恶意组管理员的视图。
下面是该协议的流程图:
graph LR
classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;
A([开始]):::startend --> B(U选择a, r, η):::process
B --> C(U发送A, R, h给GM):::process
C --> D(GM选择b, s):::process
D --> E(GM发送承诺B给U):::process
E --> F(U选择c并发送给GM):::process
F --> G(GM打开承诺B并发送b, s给U):::process
G --> H{U检查B = g^b * h^s?}:::decision
H -->|是| I(U发送z和η给GM并输出x):::process
H -->|否| J([结束]):::startend
I --> K{GM检查η, h, A^b+c * R = g^z?}:::decision
K -->|是| L(GM输出X):::process
K -->|否| J
L --> J
安全性证明
由于篇幅限制,这里只部分概述针对误识别攻击的安全性证明。
定理2(误识别) :假设$\ell$-HSDH问题($\ell$是Qa-join和Qp-join查询的总数)和1-mTDH问题在G中都很难,则该方案对误识别攻击是安全的。
为了赢得误识别游戏,对手必须输出一个非平凡签名,使得开放算法或隐式追踪算法无法指向受对手控制的组成员。我们将对手的伪造签名$\sigma^
$分为三种类型:
-
类型I伪造
:$\overrightarrow{\sigma_3^
}$的BBS解密$\theta_3^
= g^{sID}$不在任何记录中出现。可进一步分为类型I-A伪造($\theta_3^
= g^{sID}$在游戏中任何时候都不出现)和类型I-B伪造($\theta_3^
$不对应任何记录,但在一个未完成的加入协议中作为$K_3$的一部分出现)。
-
类型II伪造
:$\overrightarrow{\sigma_3^
}$解密为分配给某个诚实用户$i \in U_p$的值$\theta_3^
= g^{sID}$。
-
类型III伪造
:$\overrightarrow{\sigma_3^
}$解密为受对手控制的用户记录中的$\theta_3^
$值,但$(\overrightarrow{\sigma_8^
}, \overrightarrow{\sigma_9^*})$的BBS解密不匹配分配给该用户的值$(X, y)$。
下面是三种伪造类型的对比表格:
| 伪造类型 | 描述 |
| ---- | ---- |
| 类型I | $\overrightarrow{\sigma_3^
}$的解密值不在记录中出现 |
| 类型II | $\overrightarrow{\sigma_3^
}$解密为诚实用户的值 |
| 类型III | $\overrightarrow{\sigma_3^
}$解密匹配,但$(\overrightarrow{\sigma_8^
}, \overrightarrow{\sigma_9^*})$不匹配 |
引理1、2和3表明,如果对手能产生这些伪造签名之一,就有可能打破HSDH或1-mTDH假设。
强安全无证书密钥协商
无证书加密是基于身份加密的一种变体,它限制了密钥生成中心的密钥托管能力。无证书密钥协商方案旨在提供即使双方的临时秘密泄露给密钥生成中心或密钥生成中心主动干扰消息交换时的完全隐私。
引言
无证书加密由Al - Riyami和Paterson引入,Dent对二十多种无证书加密方案进行了调查。在无证书密码学方案中,每一方有三个秘密:
- 密钥生成中心颁发的密钥(Dent称为“部分私钥”)。
- 用户生成的私钥$x_{ID}$(Dent称为“秘密值”)。
- 每个会话随机选择的临时值。
许多基于身份的方案在密钥生成中心不了解用于计算会话密钥的任何临时秘密的情况下,能保证双方的完全隐私。但Krawczyk指出,临时密钥的泄露不应被忽视,因为它们通常是预计算的,且不存储在安全内存中。
目前的无证书密钥协商方案存在一些问题。Al - Riyami和Paterson提出的第一个无证书密钥协商方案没有提供安全模型和安全证明。其他方案如Mandt和Tan、Xia等人、Wang等人和Shao Zu - hua提出的方案,作者仅给出了启发式论证。Swanson分析了这些方案,并展示了通用攻击,打破了作者声称的安全概念。
主要贡献
- 提供了目前最强大的安全认证无证书密钥交换协议的正式模型,为揭示查询提供了等效的强解密预言机。
- 分析了为什么在安全模型中,无证书密钥建立方案不能通过简单组合基于身份的认证密钥建立(ID - AKE)方案和基于公钥的认证密钥建立(PK - AKE)方案来构建。
- 提出了第一个在随机预言机模型中具有安全证明的一轮无证书密钥协商协议,该协议满足模型的所有安全概念,并能抵御最近对无证书密钥协商协议的攻击。
安全模型
无证书密钥协商方案通常需要以下安全属性:
-
抵抗基本假冒攻击
:不知道一方A私钥的对手不应能够假冒A。
-
抵抗未知密钥共享(UKS)攻击
:对手M干扰两个诚实方A和B,使双方都接受会话并计算相同的密钥。但A认为密钥是与B共享的,而B认为密钥是与M共享的。
-
已知密钥安全
:双方A和B之间的每次密钥协商协议运行都应产生唯一的会话密钥。即使对手了解了一些会话密钥,协议也不应变得不安全。
-
弱完美前向保密性(wPFS)
:如果攻击者M无法区分任何会话及其匹配会话干净的密钥与随机密钥,即使M了解了会话双方的私钥,那么密钥交换协议提供弱PFS。
-
抵抗密钥泄露假冒(KCI)攻击
:如果了解一方$\hat{A}$私钥的KE攻击者M能够成功假冒$\hat{A}$,则发生KCI攻击。
下面是这些安全属性的列表总结:
- 抵抗基本假冒攻击
- 抵抗未知密钥共享(UKS)攻击
- 已知密钥安全
- 弱完美前向保密性(wPFS)
- 抵抗密钥泄露假冒(KCI)攻击
通过对上述内容的介绍,我们可以看到高效可追踪签名和强安全无证书密钥协商在密码学领域的重要性和复杂性。这些技术和协议的发展,为保障信息安全提供了更可靠的手段。
高效可追踪签名与强安全无证书密钥协商(续)
无证书密钥协商方案不能简单组合构建的原因
在当前的安全模型下,尝试将基于身份的认证密钥建立(ID - AKE)方案和基于公钥的认证密钥建立(PK - AKE)方案进行简单组合来构建无证书密钥建立方案(CL - AKE),并不能提供足够的安全保证。
在基于身份的方案中,密钥生成中心(KGC)在一定程度上掌握着用户的部分密钥信息,而基于公钥的方案则更依赖于用户自身的公私钥对。当将这两种方案简单组合时,会出现一些安全漏洞。
例如,在抵抗未知密钥共享(UKS)攻击方面,由于ID - AKE和PK - AKE的设计初衷和安全机制不同,简单组合后可能无法有效抵御对手的干扰。对手可能会利用ID - AKE中KGC的角色和PK - AKE中公钥的验证机制之间的差异,使得两个诚实方在不知情的情况下接受不同的密钥共享对象,从而导致UKS攻击成功。
再比如,在已知密钥安全方面,简单组合的方案可能无法确保每次会话的密钥都是唯一的。因为ID - AKE和PK - AKE在密钥生成和管理上有各自的方式,组合后可能会出现密钥复用的情况,使得对手在获取部分会话密钥后,能够进一步破解其他会话的安全性。
下面通过一个简单的流程图来说明简单组合可能出现的问题:
graph LR
classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;
A([开始]):::startend --> B(组合ID - AKE和PK - AKE):::process
B --> C{是否抵抗UKS攻击?}:::decision
C -->|否| D(存在UKS攻击风险):::process
C -->|是| E{是否保证已知密钥安全?}:::decision
E -->|否| F(存在已知密钥安全问题):::process
E -->|是| G(方案可能安全):::process
D --> H([结束]):::startend
F --> H
G --> H
新协议的描述
新的无证书密钥协商协议是一个一轮协议,其消息交换与Mandt和Tan的协议相同,但采用了Xia等人提出的技术的改进版本来抵御攻击。
协议的具体步骤如下:
1.
初始化
:系统生成公共参数,包括一个循环群$G$,一个生成元$g$,以及一些哈希函数等。
2.
密钥生成
:
- 密钥生成中心(KGC)为每个用户$ID$生成部分私钥$d_{ID}$。
- 用户$ID$自己生成私钥$x_{ID}$,并计算公钥$X_{ID}=g^{x_{ID}}$。
3.
会话开始
:
- 用户$A$和$B$分别随机选择临时值$r_A$和$r_B$。
- $A$计算$T_A = g^{r_A}$,并将$T_A$发送给$B$。
- $B$计算$T_B = g^{r_B}$,并将$T_B$发送给$A$。
4.
密钥计算
:
- $A$计算会话密钥$K_A = H_1(T_B^{x_A + d_A}, T_A, T_B, ID_A, ID_B)$。
- $B$计算会话密钥$K_B = H_2(T_A^{x_B + d_B}, T_A, T_B, ID_A, ID_B)$。
其中,$H_1$和$H_2$是哈希函数,用于确保会话密钥的唯一性和安全性。
下面是协议步骤的表格总结:
| 步骤 | 操作 | 参与方 |
| ---- | ---- | ---- |
| 初始化 | 生成公共参数 | 系统 |
| 密钥生成 | KGC生成部分私钥,用户生成私钥和公钥 | KGC、用户 |
| 会话开始 | 双方选择临时值并交换 | 用户A、用户B |
| 密钥计算 | 双方根据对方的消息计算会话密钥 | 用户A、用户B |
安全证明
证明新协议的安全性是基于随机预言机模型,假设计算Diffie - Hellman假设和计算双线性Diffie - Hellman假设成立。
在证明过程中,主要考虑了以下几种攻击情况:
1.
基本假冒攻击
:如果对手不知道用户$A$的私钥,就无法正确计算出$T_A$和会话密钥$K_A$,因此无法假冒$A$。
2.
未知密钥共享(UKS)攻击
:由于协议中使用了哈希函数和双方的私钥信息,对手很难干扰双方的密钥计算过程,使得双方计算出不同的共享对象的密钥。
3.
已知密钥安全
:每次会话的临时值$r_A$和$r_B$都是随机选择的,并且哈希函数的使用确保了不同会话的密钥是唯一的,即使对手获取了部分会话密钥,也无法破解其他会话的安全性。
4.
弱完美前向保密性(wPFS)
:在会话和其匹配会话干净的情况下,即使对手获取了双方的私钥,由于临时值的随机性,对手仍然无法区分会话密钥与随机密钥。
5.
密钥泄露假冒(KCI)攻击
:如果对手获取了一方的私钥,但由于协议中使用了部分私钥和临时值的组合,对手仍然无法正确计算出会话密钥,从而无法假冒该方。
通过以上的安全证明,可以得出结论:只要每一方至少有一个未被泄露的秘密,新的无证书密钥协商协议在随机预言机模型中是安全的。
结论
通过对高效可追踪签名和强安全无证书密钥协商的研究,我们看到了密码学领域在保障信息安全方面的不断发展和创新。
高效可追踪签名的Groth密钥生成协议和安全性证明为我们提供了一种可靠的签名方案,能够有效抵御误识别攻击。而强安全无证书密钥协商协议的提出,解决了现有方案存在的安全问题,提供了更强大的安全保证。
未来,随着信息技术的不断发展,密码学领域还将面临更多的挑战和机遇。我们需要不断研究和改进这些技术,以适应日益复杂的安全需求。同时,对于新的安全威胁和攻击方式,我们也需要及时进行分析和应对,确保信息的安全性和隐私性。
扫一扫
8
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
