不经意传输协议的安全性分析与改进
1. 引言
不经意传输(Oblivious Transfer,OT)协议在密码学领域有着重要的应用,它允许发送方传输信息,而接收方只能获取部分信息,同时发送方不知道接收方获取了哪些信息。然而,现有的一些OT协议存在着各种安全漏洞和效率问题。本文将对Rabin和den Boer的OT协议进行分析,指出它们的缺陷,并探讨如何改进这些协议以提高安全性和效率。
2. Rabin的不经意传输协议
Rabin的OT协议流程如下:
1. Alice选择 (n = pq),记住 ((p,q)),选择 (1 + Z_A) 并发送。
2. Bob选择 (r \in Z_n^*),并发送 (z \equiv r^2 \pmod{n}) 给Alice。
3. Alice从 (x) 的四个平方根中随机选择 (s) 并发送给Bob。
4. 如果 (s \neq \pm r),则Bob得出 ((0,0));否则,Bob使用 (\gcd(r \pm s, n)) 分解 (n),计算 (k = Q_n((-1)^v)),并得出 ((1, b))。
该协议存在两个主要缺陷:
- Bob可能以不同方式选择 (s),从而从协议中获取非法信息。解决方法是要求Bob零知识证明他已经知道 (x) 的一个平方根。
- Alice可能使用不是两个素数乘积的 (n) 进行作弊。因此,Alice也应该零知识证明 (n) 是两个素数的乘积。
此外,Rabin协议效率低下,它要求Alice为每个要传输的比特生成一个新的大Blum整数,并且比特 (b) 的保密性不是无条件的,它依赖于Bob无法确定二次剩余性。
3. den Boer的不经意传输协议
在Eurocrypt ’91上,den Boer提出了一个协议,该协议只需要生成一次两个素数的大乘积,并能无条件地确保比特1的保密性。与Rabin协议不同,den Boer协议假设Bob知道 (n) 的因子,而Alice不知道。
协议流程如下:
1. Bob选择 (n = pq),记住 ((p,q)),选择一个非剩余 (J),选择 (a \in Z_n^
),并将 ((n, J, a)) 发送给Alice。Bob零知识证明 (n) 是两个素数的乘积,(J) 是非剩余。
2. Alice选择 (c \in {0,1}) 和 (r \in Z_n^
),并设置 (P = J^c a)。Alice计算 (z = r^2 \pmod{n}) 并设置 (y = z^{-1} \pmod{n})。如果 (z < y),则Alice设置 ((u, v) = (z, y));否则,((u, v) = (y, z))。她将 ((u, v)) 发送给Bob。
3. Bob检查 (uv \neq J) 或 (uv \neq 2)。Bob计算 (Q_n(uv));如果为0,他输出 ((1, Q_n(u)))(“接收到 (Q_n(u))”);否则,他输出 ((0,0))(“未接收到任何信息”)。
该协议的根本缺陷是Alice可以在不知道 (z) 剩余性的情况下选择 (z),从而在不知道比特值的情况下有效地传输某些比特 (b)。即使该协议在仅使用一次时似乎是安全的,但这种微妙的缺陷使得它不能作为一个黑盒子程序使用。
例如,当Alice发送 (b_1) 后又发送 (b_2) 时,她可以通过观察Bob的行为来推断Bob是否接收到 (b_2),进而在第二次执行中作弊,计算出Bob是否接收到比特 (b_1)。
4. 为什么OT协议的定义一直不正确
到目前为止,要求Alice知道她发送的比特 (b) 这一条件并没有被明确提出。den Boer的BOER - OT协议正是因为这个原因而失败。而Rabin的OT协议能够幸存,是因为Alice知道 (n) 的因子,因此即使她非法生成数字,也可以计算出她发送的有效比特 (b)。
直观地说,Alice的虚张声势行为允许她观察到她自己无法预测的效果。如果我们设计一个协议,要求Alice的攻击是透明的(即Alice的有效比特 (b) 应该可以从她的视角预测),那么Alice在不知道其效果的情况下就无法进行微妙的操作,从而无法获得她无权获得的信息。
为了解决这个问题,我们引入了相对弹性(relative resilience)这一单一属性,它精确地定义了一个实际协议如何安全地实现一个理想规范,而无需列出单独的属性。
5. 安全性的定义和证明
我们定义了协议之间的一般安全归约,精确地说明了一个协议如何安全且容错地实现另一个协议。
5.1 信息论安全
直观地说,如果任何允许的敌手 (A) 对协议 (\alpha) 的攻击对协议 (\beta) 造成的破坏与对 (\alpha) 造成的破坏相同,那么协议 (\alpha) 与协议 (\beta) 一样安全。为了实现这一点,我们给敌手 (A) 提供一个接口 (Z),该接口为 (A) 提供一个令人信服的 (\alpha) 环境,同时攻击 (\beta),试图在诚实参与者中诱导与 (A) 攻击 (\alpha) 时相同的结果。
定义1:设 (ADV_{\alpha}) 表示允许攻击协议 (\alpha) 的一类敌手。如果存在一个吝啬接口 (Z),使得对于所有 (A \in ADV_{\alpha}),都有 (Z(A) \in ADV_{\beta}),则协议 (\alpha) 在信息论上与协议 (\beta) 一样有弹性。
5.2 理想协议
理想协议包含一个或多个不可腐败的可信主机。所有理想的安全属性,从定义上来说,都是关于理想情况的观察。对于函数 (F) 的理想协议 (ID(F)) 由一个接受输入、计算 (F) 并返回输出的可信主机组成。理想的OT协议包含一个接受Alice的 (b) 并以相等概率将 ((1, b)) 或 ((0,0)) 发送给Bob的可信主机;任何一方都可以向主机发送退出消息以中止协议。
5.3 计算问题
在计算环境中,我们担心获取无法有效计算的信息,因此要求接口 (Z) 是多项式时间的。为了使从 (\alpha) 到 (\beta) 的映射准确,我们要求敌手 (A) 不能发现其有效输入,而必须知道它们。为此,我们需要一个翻译器 (\tau),它将 (A) 的视图的渐进阶段映射到 (Z) 在 (\beta) 中发送和接收的消息。
定义2:透明接口是一个接口 - 翻译器对 ((Z, \tau))。协议 (\alpha) 在计算上与 (\beta) 一样有弹性,记为 (\alpha \preceq \beta),如果存在一个透明接口 ((Z, \tau)) 使得:
- (Z(A) \in ADV_{\beta});
- (Z(A)) 是概率多项式时间的;
- (Z) 是吝啬的;
- (\tau) 是概率多项式时间的;
- 对 (\alpha) 的攻击效果与对 (\beta) 的攻击效果相匹配:([A, \alpha, \tau] \approx [Z(A), \beta]) 且 ([A, \alpha]_I \approx [Z(A), \beta]_I)。
定义3:我们说 (\alpha) 实现了 (\beta),如果 (\alpha \preceq \beta) 且 (\beta \preceq \alpha)。
定义4:协议 (\alpha) 是函数 (F) 的弹性协议,如果它实现了函数 (F) 的理想协议。协议 (N) 是弹性OT协议,如果它实现了OT的理想协议。
6. 寻找和修复安全漏洞
在尝试找到一个将对BOER - OT协议的攻击映射到对理想OT协议的攻击的透明接口时,出现了两个问题:
-
问题一
:接口 (Z) 如何得到要发送给可信主机的比特 (b)?接口 (Z) 可以通过扮演Bob的角色为操纵Alice的敌手 (A) 创建一个“环境”。问题是 (Z) 只有一半的时间能从 (A) 那里得到比特 (b),所以它可能不得不“重置” (A),直到得到 (A) 发送的比特 (b)。然后 (Z) 可以将这个比特发送给可信主机,在理想协议中,Bob有概率 (\frac{1}{2}) 接收到它。显然,(Z) 是多项式时间的。
-
问题二
:即使 (Z) 可以以与 (A) 相同的概率向可信主机发送比特(从而在理想场景中诱导出正确的最终输出分布),它也不能使 (A) 的攻击透明:(A) 可能无法计算出它实际发送的比特 (b)。可以证明,没有多项式时间的机器 (M) 可以根据 (A) 的视图确定 (Z) 向可信主机发送的是0还是1。
因此,要么二次剩余假设(QRA)不成立,BOER - OT协议无效;要么QRA成立,该协议不安全,因为Alice的视图不可翻译,即它允许Alice在不知道 (b) 的情况下进行“虚张声势”攻击。
7. 修复den Boer协议
为了修复den Boer协议,我们必须要求Alice证明她知道 (Q_n(u)) 或 (Q_n(v))。可以采用直接的数论方法让Alice在不透露 (u) 是 (x) 还是 (y) 的情况下证明这种知识。
修复后的协议BB - OT流程如下:
1. Bob选择 (n = pq \in BLUM),记住 ((p,q)),选择 (a \in Z_n^
),并将 ((n,a)) 发送给Alice。Bob零知识证明 (n \in BLUM)。
2. Alice选择 (c \in {0,1}) 和 (r \in Z_n^
),并设置 (z = (-1)^c a)。Alice计算 (z = (-1)^c r^2 \pmod{n}) 并设置 (y = z^{-1} \pmod{n})。如果 (z < y),则Alice设置 ((u, v) = (z, y));否则,((u, v) = (y, z))。她将 ((u, v)) 发送给Bob,并零知识证明她知道 (u) 或 (v) 的剩余性。
3. Bob检查 (uv \neq J) 或 (uv \neq 2)。Bob计算 (Q_n(uv));如果为0,他输出 ((1, Q_n(u)))(“接收到 (Q_n(u))”);否则,他输出 ((0,0))(“未接收到任何信息”)。
通过上述改进,我们可以找到一个透明接口,并证明修改后的版本是安全的。这表明存在一个高效的、计算上有弹性的OT协议。
综上所述,现有的OT协议存在各种安全漏洞和效率问题,通过引入相对弹性的概念和对协议进行改进,可以提高OT协议的安全性和效率,使其更适合实际应用。
下面是Rabin和den Boer协议的对比表格:
| 协议 | 安全性假设 | 效率 | 保密性 | 缺陷 |
| ---- | ---- | ---- | ---- | ---- |
| Rabin | 依赖Bob无法确定二次剩余性 | 低,需为每个比特生成新的大Blum整数 | 非无条件 | Bob可能获取非法信息,Alice可能使用非素数乘积的 (n) |
| den Boer | 假设Bob知道 (n) 的因子 | 高,只需生成一次大乘积 | 无条件确保比特1的保密性 | Alice可在不知比特值情况下传输信息 |
mermaid流程图展示den Boer协议流程:
graph TD;
A[Bob选择n = pq, J, a并发送给Alice] --> B[Alice选择c, r计算z, y并发送(u, v)给Bob];
B --> C[Bob检查uv并计算Qn(uv)];
C --> D{Qn(uv)=0?};
D -- 是 --> E[输出(1, Qn(u))];
D -- 否 --> F[输出(0, 0)];
通过以上分析和改进,我们对不经意传输协议的安全性和效率有了更深入的理解,为密码学领域的进一步发展提供了有价值的参考。
不经意传输协议的安全性分析与改进(续)
8. 改进后协议的优势与挑战
8.1 优势
- 安全性提升 :修复后的BB - OT协议通过要求Alice证明她知道 (Q_n(u)) 或 (Q_n(v)),有效避免了Alice进行“虚张声势”攻击的可能性。这使得协议在面对恶意参与者时更加健壮,确保了比特传输的安全性和可靠性。
- 效率优化 :与Rabin协议相比,BB - OT协议不需要为每个要传输的比特生成新的大Blum整数,而是只需要生成一次两个素数的大乘积,大大提高了协议的执行效率。同时,虽然增加了Alice证明知识的步骤,但可以通过并行处理来减少额外的时间开销。
- 适用性增强 :改进后的协议满足了相对弹性的要求,能够作为一个安全的黑盒子子例程使用,适用于更广泛的密码学应用场景,如多方计算、安全通信等。
8.2 挑战
- 复杂度增加 :要求Alice证明她知道 (Q_n(u)) 或 (Q_n(v)) 显著增加了协议的轮复杂度和消息复杂度。尽管可以并行处理多个证明,但仍然需要额外的计算和通信资源。
- 假设依赖 :协议的安全性仍然依赖于二次剩余假设(QRA)。如果QRA不成立,协议的安全性将受到威胁。因此,需要对QRA的有效性进行持续的研究和验证。
- 实现难度 :实现零知识证明和数论计算需要一定的专业知识和技术,这对于开发者来说是一个挑战。同时,确保协议在实际环境中的高效运行也需要进行优化和调试。
9. 实际应用中的考虑
9.1 多方计算
在多方计算场景中,不经意传输协议可以用于安全地传输敏感信息,使得参与方在不泄露信息的情况下完成计算任务。BB - OT协议的改进版本可以作为一个安全的子协议,确保信息传输的安全性和隐私性。例如,在一个多方投票系统中,选民可以使用OT协议将自己的投票信息安全地传输给计票方,而计票方只能获得最终的投票结果,无法得知每个选民的具体投票内容。
具体操作步骤如下:
1. 初始化:计票方(相当于Bob)选择 (n = pq \in BLUM),选择 (a \in Z_n^
),并将 ((n,a)) 发送给所有选民(相当于Alice),同时进行零知识证明 (n \in BLUM)。
2. 投票信息加密:每个选民选择 (c \in {0,1}) 和 (r \in Z_n^
),根据自己的投票信息设置 (z = (-1)^c a),计算 (z = (-1)^c r^2 \pmod{n}) 和 (y = z^{-1} \pmod{n}),确定 ((u, v)) 并发送给计票方,同时证明自己知道 (u) 或 (v) 的剩余性。
3. 计票:计票方检查 (uv) 并计算 (Q_n(uv)),根据结果确定每个选民的投票信息,最终统计出投票结果。
9.2 安全通信
在安全通信中,OT协议可以用于密钥交换,使得通信双方在不泄露密钥的情况下建立安全的通信通道。例如,在一个即时通讯应用中,用户A和用户B可以使用OT协议交换加密密钥,确保通信内容的保密性。
操作步骤如下:
1. 用户B(相当于Bob)选择 (n = pq \in BLUM),选择 (a \in Z_n^
),将 ((n,a)) 发送给用户A(相当于Alice)并进行零知识证明。
2. 用户A选择 (c \in {0,1}) 和 (r \in Z_n^
),计算 (z) 和 (y),确定 ((u, v)) 并发送给用户B,同时证明自己知道 (u) 或 (v) 的剩余性。
3. 用户B根据 (Q_n(uv)) 确定加密密钥,双方使用该密钥进行安全通信。
10. 未来研究方向
10.1 降低复杂度
进一步研究如何降低BB - OT协议的轮复杂度和消息复杂度,减少额外的计算和通信开销。可以探索新的数论方法和密码学技术,优化证明过程,提高协议的执行效率。
10.2 弱化假设
尝试弱化协议对二次剩余假设(QRA)的依赖,寻找更弱的安全性假设或不依赖特定假设的协议。这样可以提高协议的通用性和安全性,降低因假设不成立而导致的风险。
10.3 扩展应用场景
研究如何将不经意传输协议应用到更多的领域,如云计算、物联网等。在这些新兴领域中,数据的安全性和隐私性至关重要,OT协议可以为其提供有效的解决方案。
11. 总结
本文对Rabin和den Boer的不经意传输协议进行了详细的分析,指出了它们存在的安全漏洞和效率问题。通过引入相对弹性的概念和对den Boer协议进行改进,我们得到了一个计算上有弹性的OT协议BB - OT。该协议在安全性、效率和适用性方面都有了显著的提升,但仍然面临着复杂度增加、假设依赖和实现难度等挑战。
在实际应用中,BB - OT协议可以用于多方计算和安全通信等场景,为信息的安全传输提供了保障。未来的研究方向包括降低协议复杂度、弱化假设和扩展应用场景等。通过不断的研究和改进,不经意传输协议将在密码学领域发挥更加重要的作用,为信息安全提供更强大的支持。
下面是修复前后den Boer协议的对比表格:
| 协议 | 安全性 | 效率 | 证明要求 | 缺陷 |
| ---- | ---- | ---- | ---- | ---- |
| den Boer | 存在“虚张声势”攻击风险 | 只需生成一次大乘积 | 无 | Alice可在不知比特值情况下传输信息 |
| BB - OT | 避免“虚张声势”攻击 | 只需生成一次大乘积 | Alice证明知道 (Q_n(u)) 或 (Q_n(v)) | 复杂度增加 |
mermaid流程图展示BB - OT协议在多方投票系统中的应用流程:
graph TD;
A[计票方选择n, a并发送给选民] --> B[选民选择c, r计算z, y并发送(u, v)给计票方];
B --> C[选民证明知道u或v的剩余性];
C --> D[计票方检查uv并计算Qn(uv)];
D --> E{Qn(uv)=0?};
E -- 是 --> F[计票方记录投票信息];
E -- 否 --> G[计票方忽略该投票];
F --> H[计票方统计投票结果];
通过以上对不经意传输协议的深入分析和改进,我们为密码学领域的信息安全提供了一个更加可靠和高效的解决方案,同时也为未来的研究和应用奠定了基础。
扫一扫
30
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
