49、可重构密码学：实现长期安全的灵活方法

可重构密码学：实现长期安全的灵活方法

1. 引言

1.1 动机

公钥密码学在互联网等广泛网络的安全和隐私保护中起着至关重要的作用。通常采用混合加密来建立安全通道，其中快速对称加密算法所需的会话密钥交换依赖于公钥基础设施（PKI）。这些PKI包含大量用户的公钥，例如OpenPGP用于加密和签署电子邮件的PKI大约有四百万个公钥，并且还在不断增长。

然而，大型PKI对安全事件的响应速度较慢。例如，若一个主要存储2048位RSA密钥的PKI，因密码分析技术的突然进步使2048位RSA密钥变得不安全，那么所有用户都必须生成新的密钥对并注册新的公钥。此外，当广泛使用的加密软件泄露密钥、系统需抵御的对手资源突然增加时，也需要进行昂贵的密钥刷新过程。

1.2 可重构密码学

本文提出了可重构密码学的概念。在可重构密码方案中，存在长期和短期的公钥与私钥。长期公钥和私钥为每个用户生成一次，并将长期公钥公布在PKI中。利用一个中央公共信息（公共参考字符串，即CRS），长期密钥可用于导出短期密钥，这些短期密钥用于实际操作。如果短期密钥变得不安全或泄露，只需更新（并认证）中央CRS，而无需更新长期密钥。长期私钥仅用于导出新的短期私钥，而不用于实际解密过程，因此可以安全地离线保存。

更新CRS的过程称为重新配置。可重构密码方案的攻击模型中，对手可以获取从PKI和任何已弃用的CRS导出的短期私钥，之后对手会面临一个新的短期密钥对的挑战。这表明短期密钥对不应泄露PKI中长期私钥的任何信息，因此在短期密钥泄露后，只需更新中央CRS即可挽救整个系统。需要注意的是，对于大多数此类方案，设置CRS的实体需要被信任，不会保留用于为所有用户和安全级别导出短