详解密钥封装协议(KEM)

最新推荐文章于 2025-03-20 16:51:58 发布
最新推荐文章于 2025-03-20 16:51:58 发布
阅读量1.5k 收藏 28
点赞数 20
分类专栏: 经典密码 文章标签: 密钥封装
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/forest_LL/article/details/144517771
版权

目录

一. 写在前面

二. 引入

三.密钥封装机制 

3.1 密钥生成算法

3.2 封装算法

3.3 解封装算法

3.4 小结

四. 混合加密

4.1 方案介绍

4.2 效率分析

4.3 参数实例化

五. 安全性分析

5.1 CPA安全

5.2 CCA安全

一. 写在前面

本文会用到的几个缩写:

KEM: key-encapsulation mechanism 密钥封装机制

DEM: data-encapsulation mechanism 数据封装机制

CPA: Chosen plaintext attack 选择性明文攻击安全

CCA: Chosen-Ciphertext Attack 选择性密文攻击安全

PPT: Probabilistic polynomial time 概率多项式时间算法

二. 引入

对于加密方案,名称上的一点说明:

公钥加密方案=非对称加密方案;

私钥加密方案=对称加密方案

在一般意义上,我们会认为私钥加密方案比公钥加密方案效率更高(不外加优化条件)。这是由于公钥加密方案会使密文扩张(ciphertext expanision)。

为了进一步优化算法,还可以将公钥加密方案与私钥加密方案进行级联,来形成混合加密方案(hybrid encryption)。如下图:

左边图:pk代表公钥,Enc代表公钥加密方案,k代表密钥,c是k的密文;

右边图:m是明文,Enc'是私钥加密方案,利用k对m进行加密形成c';

在如上图的混合方案中,相当于利用公钥加密方案来形成共享密钥k,接着在私钥加密方案中,利用密钥k对明文m进行加密。

在接收端,利用非对称的私钥解密c得到公钥密钥k,接着使用k来解密恢复出原始信息m(message)。

由于发送端和接收端不需要提前共享密钥(secret key),所以这个方案其实更接近一个公钥加密方案(full-fledged public-key encryption)。

三.密钥封装机制 

在刚才的方案中,简单总结密钥k的作用:

(1)发送端一般均匀且随机的选取k

(2)发送端使用公钥加密方案来对k进行加密

那么这个过程其实就是密钥封装机制(key-encapsulation mechanism,KEM)。

与公钥加密方案类似,密钥封装机制也有三个PPT时间算法(Gen, Encaps, Decaps)。

3.1 密钥生成算法

Gen算法

输入:安全参数1^n

输出:公私钥对(pk,sk)

一般认为n的具体取值由公钥pk决定(也就是由发送者决定)。通常情况下,公钥pk与私钥sk的比特长度都大于n。来看看官方表达:

3.2 封装算法

Encaps算法,总结为表达式:

输入:公钥pk

输出:密钥k\in\lbrace0,1\rbrace^{l(n)},对应的密文c。其中l(n)代表k的比特长度。

同时看看官方表达:

3.3 解封装算法

解封装算法Decaps是一个确定性算法,可总结为:

输入:私钥sk,密文c

输出:密钥k

需要注意的是,如果解封装失败的话,则会输出特殊的终止符号⊥。算法的官方表达:

3.4 小结

需要注意的是Gen算法与Encaps算法都具有随机性。

正确性要求:Encaps算法输出(c,k),Decaps输入c,输出k。

在以上算法中,有的时候会做一点点修改,比如可以认为输出的密钥k是固定长度l的.

将公钥加密方案的明文,替换成一个随机的密钥k,也就是直观的KEM方案。

四. 混合加密

4.1 方案介绍

发送者调用Encaps算法来获得密文c以及密钥k。接着在私钥加密方案中,利用密钥k来加密明文m。

在这个过程中,私钥加密方案也可以看成数据封装机制(Data encapsulation mechanism, DEM).

实际接收者可以得到两个密文c与c',具体过程如下图:

在整个方案中涉及到两个解密私钥sk与k,具体的方案如下:

4.2 效率分析

现在,我们尝试回答一个问题:这样的混合加密其中包含了KEM,有什么好处吗?

首先固定k的比特长度为n。

假定密钥封装后的c的长度为\alpha,那么可以认为密钥封装的开销(cost)为\alpha

对于私钥加密方案Enc'的每比特明文所生成的密文长度为\beta,也就是cost per bit of plaintext。在私钥加密方案中可认为明文的长度大于密钥k的长度,也就是|m|>n(这样效率更高)。

在混合加密方案中,每比特明文所对应的密文长度有两部分c与c',由此可计算为:

可以观察到,当m的长度足够大时,该值趋近于\beta。换句话说,当明文长度足够大时,混合加密的开销与私钥加密的开销一致。那么,混合加密方案虽然披着公钥加密的框架,但是效率却可以接近私钥加密方案,这是混合加密方案的优势之一。

4.3 参数实例化

假定密钥k的长度为n,密文c的长度为L,密文c'的长度为n+|m|。那么,在混合加密方案中,密文总长度为:

如果我们直接使用公钥加密方案会怎么样?

加密n比特的消息,假定密文长度为L。

按照线性比列关系,加密|m|比特长度的消息,密文长度为:

考虑明文长度|m|足够大时,混合加密可以提升极大地效率。

举一个简单的例子。假定密钥k的长度n=128-bite。假设公钥加密之后的c的长度为256-bit。如果使用基础的公钥加密方案,当消息为1MB时,密文则为2MB。

接下来我们计算使用KEM的混合加密方案的效率。跟刚才一样,利用β代表私钥加密方案的每比特计算量,可以假设:

\beta\approx \frac{\alpha}{2^{11}}

利用之前的公式,当消息为1MB时,混合加密的计算消耗为:

原始的公钥加密方案计算消耗为:

\alpha\cdot \lceil 2^{20}/128\rceil\approx 8200\alpha

那么很明显计算效率提升16倍,密文长度优化了2倍。

备注:以上计算中使用到了1MB\approx 2^{20} \ Bit

五. 安全性分析

很显然,混合加密方案的安全性依赖于密钥封装机制与私钥加密方案的安全性。此处可简单给出两个密钥封装协议的CPA与CCA安全。

5.1 CPA安全

假定KEM是CPA安全的,私钥加密方案符合基本的安全性,那么混合加密方案则也是CPA安全的。

实际上,我们可以感受到密钥封装协议可以保证密钥k的安全,且足够随机,每次加密k只使用一次,所以只要KEM满足CPA安全即可。

进一步,可以将KEM方案看成一个伪随机生成器(pseudorandom generator),那么则可以形成流密码。

5.2 CCA安全

假定KEM是CCA安全的,私钥加密方案也是CCA安全,那么混合加密方案则也是CCA安全的。

KEM (Key Encapsulation Mechanism) 密钥封装机制
tuxintai的博客
12-15 244
KEM是现代密码系统中的重要组成部分,它提供了一种高效、安全的方式来传输对称密钥,是构建安全通信系统的基础。
【后量子密码】CRYSTALS-KYBER 算法(二):密钥封装 KEM(附源码分析)
听雨草堂
09-06 4050
Kyber 算法是一种满足 IND-CCA2 安全的密钥封装机制(key-encapsulation mechanism,KEM),其安全性依赖于MLWE 问题的困难性。Kyber 算法构建采用了两阶段的方法:首先引入了一种IND-CPA 安全的公钥加密方案,用于加密长度为32字节的消息,称之为;然后使用改进的 Fujisaki-Okamoto(FO)变换来构建满足 IND-CCA2 安全KEM,称之为。
密钥封装机制
Fafakarry的博客
03-29 3419
文章目录一、密钥封装机制是什么二、密钥封装机制模型三、KEM的安全性定义 一、密钥封装机制是什么 绝大多数密钥封装机制采用非对称的加密方法。在密钥封装机制中,发起方运行一个封装算法产生一个会话密钥以及与之对应的密文,也称为会话密钥封装,随后将会话密钥封装发送给接收方;接收方运行解封装算法得到与发起方相同的会话密钥。在这个过程中,要保证双方获得的会话密钥必须是一致和新鲜的,同时不会泄露会话密钥的相关信息。 二、密钥封装机制模型 设 n=n(λ)n=n( \lambda )n=n(λ) 是一个多项式,引入发
KEM(密钥封装机制)与混合加密的区别(附简单的公钥加密与私钥加密解释)
CCCYYY090的博客
05-23 6428
KEM(密钥封装机制)与混合加密的区别(附简单的公钥加密与私钥加密解释) 概念: 公钥加密方案(非对称加密方案): 密钥一与密钥二不同的加密方案,即加解密时要使用不同的密钥。 私钥加密方案(对称加密方案): 密钥一与密钥二相同的加密方案,即加解密时要使用相同的密钥KEM( key-encapsulation mechanism)密钥封装机制,一种同时公钥加密方案和私钥加密方案对消息进行加密的技术。 混合加密 因为单纯使用的公钥加密系统相对于对称加密来说传输信息效率不高。对称加密由于加解密时使用的密
rust-sike-超奇异基因密钥封装(SIKE)协议密钥封装机制KEM)和公共密钥加密(pke)方案的实现-Rust开发
05-27
rust-sike是基于SIKE基于异构的密钥封装套件(SIKE 1)的Rust实现,提交给NIST标准的后量子候选者rust-sike是基于SIKE基于异构的密钥封装套件(SIKE 1)的Rust实现。 ),提交给NIST标准化流程的量子后候选人2.为什么会生锈? SIKE提交中已经包含参考实现,包括针对不同平台的优化版本。 可以使用Microsoft和Cloudflare的其他实现。 所有这些库都是用C编写的,偶尔还会有特定于平台的汇编指令,这使它们可以访问m
Java 21 新特性 - 密钥封装机制 API
qq_33240556的博客
07-22 660
Java 21 引入了一个重要安全相关的特性,即密钥封装机制(Key Encapsulation Mechanism, KEM)API,这通常是通过一个或多个Java Enhancement Proposals (JEPs)实现的。:该API设计的目的是简化密钥封装和解封装过程,提供清晰、安全的方法来处理密钥材料,减少直接操作底层加密原语的复杂性和潜在错误。:通过整合KEM到Java标准库中,可以确保实现遵循最佳实践,提供经过审查的、安全的默认配置,减少因不当使用而导致的安全漏洞。
密码库LibTomCrypt学习记录——(2.29)分组密码算法的工作模式——KeyWrap密钥封装模式
热门推荐
云与山的彼端
01-03 2万+
密钥封装(Key Wrap) 密钥封装是为了对密钥进行保护,比如密钥存储在不太安全的存储设备中,或者密钥需要在网络中传输。 早在2001年,NIST就发布了AES Key Wrap Specification。2002年,IETF在RFC 3394中也描述了密钥封装算法AES-KeyWrap Algorithm,电信行业协会发布了使用TDES的密钥封装算法。2008年,美国标准认可委员会(Acc...
密码学理论11:公钥加密
weixin_51271794的博客
04-29 3052
一方(接收方)生成一对密钥(pk,sk),分别称为公钥和私钥。发件人使用公钥加密消息;接收方使用私钥解密生成的密文。当 Alice 得知 Bob 想与她通信时,她可以生成 (pk, sk)(假设她还没有这样做),然后将 pk明文发送给 Bob。Alice 独立于任何特定的发送者预先生成 (pk, sk)。然后她公开发布pk。1. 公钥加密(在某种程度上)解决了密钥分发问题,因为通信双方不需要在通信之前秘密共享密钥。即使他们之间的所有通信都被监视,两方也可以秘密通信。
【5G核心网密钥】:3GPP 38.331协议深度剖析与最佳实践
![【5G核心网密钥】:3GPP 38.331协议深度剖析与最佳实践]...EDGE%20Layer%201%20General%20Requirements%20(3GPP%20TS%2044.0
C#实现抗量子密码技术:liboqs-dotnet包装器详解
它提供了一套通用的API来支持各种后量子密钥封装机制KEM)和数字签名方案。liboqs旨在为研究和实验提供一个平台,以便安全社区可以测试和集成新的量子安全算法。 4. liboqs-dotnet: liboqs-dotnet是为C#提供的...
[密码学实战]Java实现抗量子Kyber512与Dilithium2算法及详解
最新发布
曼岛_的博客
03-20 301
[密码学实战]Java实现抗量子Kyber512与Dilithium2算法及详解
【信息安全工程师】:RSA密钥生成最佳实践与应用技巧
本文综述了RSA加密技术的基础知识、密钥生成的理论与原理、最佳实践和在信息安全中的应用。首先,介绍了RSA算法的发展和原理,以及它与对称和非对称加密的对比。接着深入探讨了RSA加密所需的数学基础,包括大数分解...
SM9学习笔记与图解——第4章 密钥封装和加解密
云与山的彼端
06-25 2万+
A.4 第4部分——密钥封装和加解密 A.4.1 密钥封装(User A) K是用户A的生成密钥,C是封装信息,用于对方解封得到相同的密钥K。 A.4.2 密钥解封(User B) A.4.3 密钥封装原理 从以上推导可知,双方计算出来的w相等,C是一样的,所以KDF计算值相等 A.4.4 加密(User A)   流加密 ...
OpenSSL对RSA密钥参数封装
新时代农民工
07-07 407
1. BIGNUM *n:存储 RSA 的模数(modulus)。- 模数是两个大素数的乘积,决定了 RSA 的密钥空间。2. BIGNUM *e:存储 RSA 的公共指数(public exponent)。- 公共指数通常为固定值,用于加密操作。3. BIGNUM *d:存储 RSA 的私有指数(private exponent)。- 私有指数用于解密操作。4. BIGNUM *p:存储 RSA 的第一个大素数(prime1)。- 大素数 p 是用于计算 RSA 的私钥的一部分。
国密SM9算法C++实现之六:密钥封装解封算法
yaoyuanyylyy的专栏
07-07 4141
国密SM9算法C++实现之五:密钥封装解封算法 国密SM9算法C++实现之五:密钥封装解封算法 密钥封装算法流程 密钥封装密钥封装算法实现 密钥解封算法流程 密钥解封算法实现 密钥封装算法流程 SM9标准文档中描述的密钥封装算法流程如下所示: 其流程图为: 根据算法描述,定义接口函数: /** * 密钥封装 * ...
山东大学软件工程应用与实践——GMSSL开源库(八)——SM9密钥封装机制与公钥加密算法
m0_51588039的博客
10-25 3660
2021SC@SDUSC 文章目录概念符合及辅助算法密钥封装与公钥加密的算法流程密钥封装算法密钥解封算法密钥解封算法的正确性证明公钥加密算法解密算法小结 概念 密钥封装操作模式是NIST制定的最新的一类分组密码工作模式。密钥封装模式使用AES或三种DES作为底层加密算法。 密钥封装的目的是为通信双方安全地交换对称密钥,而通信双方事先已共享有一组称为密码加密密钥的对称密钥。 通常一个协议需要调用不同层次的密钥,其中低级密钥使用频率高,为了抵抗攻击需要频繁更换。而高级密钥使用频率低,受到密码攻击的威胁相对较少。
抗泄露公钥体制----《密码学中的可证明安全性》图示小结
密码小仙女
08-13 1237
抗泄露公钥体制----《密码学中的可证明安全性》 密码学可证明安全推荐书目(系列博客内容为这两本书学习笔记与内容小结): 《密码学中的可证明安全性》杨波 清华大学出版社 《Introduction to Security Reduction》Fuchun Guo;Willy Susilo;Yi Mu Springer 抗泄露模型图示 有界泄露模型:泄露预言机所泄露的内容,...
KE、AKE、KEM 概念随笔
qq_48163378的博客
09-08 1614
KE、AKE、KEM 概念随笔
密钥封装模式 wrap
beebeeyoung的博客
03-06 3175
密钥封装模式: 保密防篡改、适用于加密少量数据,比如密钥;分为填充模式和非填充模式; RFC3394 RFC 相关标准 RFC3217 Triple-DES and RC2 Key Wrapping RFC3394 Advanced Encryption Standard (AES) Key Wrap Algorithm RFC5649 Advanced Encryption Standard (AES) Key Wrap with Padding Algorith...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

唠嗑!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值