38、抗泄漏密码学与代理重加密方案的安全研究

抗泄漏密码学与代理重加密方案的安全研究

1. 抗泄漏密码学概述

现代密码学大多基于用户拥有使用完美随机性生成的秘密，且这些秘密对攻击者完全保密的假设，攻击者只能对用户程序进行黑盒（输入/输出）访问。然而，过去几十年出现的众多侧信道攻击表明，这两个假设在现实中都不成立。

这自然引出一个问题：是否有可能在基本的算法层面上，针对一般类型的信息泄漏来保障密码学的安全性（而不是针对特定攻击提供解决方案）？这正是抗泄漏密码学的目标。抗泄漏密码学旨在研究如何在信息可能泄漏的情况下，仍能保证密码系统的安全性。

2. 代理重加密（PRE）简介

2.1 PRE 定义与分类

代理重加密（PRE）由 Blaze、Bleumer 和 Strauss 在 1998 年的 Eurocrypt 会议上提出，它允许半可信代理将针对 Alice 的密文转换为针对 Bob 的密文，同时代理无法了解底层消息的任何信息。

根据转换方向，PRE 可分为：
- 双向 PRE：代理可以在 Alice 和 Bob 之间双向转换密文。
- 单向 PRE：代理不能进行反向的密文转换。

根据转换跳数，PRE 可分为：
- 多跳 PRE：密文可以从 Alice 转换到 Bob，再转换到 Charlie 等。
- 单跳 PRE：密文只能转换一次。

2.2 PRE 安全性需求与现有方案

早期的 PRE 方案，如 Blaze 等人提出的第一个双向 PRE 方案，以及 Ateniese 等人基于双线性映射提出的单向 PRE 方案，都只对选择明文攻击（CPA）安全。但实际应用通