26、组密钥建立：以一轮通信为代价添加完美前向保密性

组密钥建立：以一轮通信为代价添加完美前向保密性

在当今数字化时代，网络安全至关重要，尤其是在不安全网络中为一组用户建立共同会话密钥这一基本密码学任务。本文将深入探讨如何在现有组密钥建立协议的基础上添加完美前向保密性。

1. 引言

在不安全网络中为一组用户建立共同会话密钥是一项基础的密码学任务。通常，组密钥建立中最基本的安全要求是在存在适当形式化对手的情况下，会话密钥具有语义安全性。为了解决长期秘密泄露的问题，这一基本安全要求常被扩展，以提供完美前向保密性，即即使所有长期秘密被泄露，会话密钥在计算上仍与从会话密钥空间中随机选择的元素不可区分。

目前，关于组密钥建立协议模块化设计的工作很多，例如增强被动安全协议以抵御主动对手和恶意内部人员的攻击，或者将两方解决方案扩展到多方解决方案。然而，关于如何系统地实现完美前向保密性的工作却不多。我们也未发现有可证明的通用技术能将给定的组密钥建立协议提升为具有完美前向保密性的协议。虽然有一轮组密钥建立的构造方法，但没有具有完美前向保密性的解决方案。将一轮构造与高效编译器相结合，以通用方式添加前向保密性，似乎是一种有吸引力的模块化设计方法，可用于识别新的两轮组密钥建立协议。

本文提出了一种编译器，在随机预言模型下，它可以为任何至少有一轮通信的安全认证组密钥建立协议 P 添加完美前向保密性。该编译器不修改会话标识符，也不要求对底层公钥基础设施进行更改。它基于一个安全的、无认证的一轮两方密钥建立协议 Q（具有完美前向保密性），将协议 P 转换为一个具有完美前向保密性的认证组密钥建立协议，且比协议 P 多一轮通信。

2. 技术预备知识

为了形式化组密钥建立的任务，我们使用了 Bohli 等人