3、信息安全与密码学前沿研究

信息安全与密码学前沿研究

在当今数字化时代，信息安全和密码学的重要性日益凸显。本次会议聚焦于多个关键领域的研究成果，涵盖了传统密码学的可证明安全性、蓝牙组合器的相关性分析以及数字现金系统的改进等方面。这些研究不仅为信息安全提供了理论支持，也为实际应用中的安全设计提供了重要的参考。

传统密码学的可证明安全性

传统密码学的可证明安全性一直是研究的热点。通过引入去相关理论，为处理传统密码学中的可证明安全性问题提供了便捷的工具。

基本定义与性质

• d - 维分布矩阵 ：对于从集合 M1 到集合 M2 的随机函数 F 和整数 d，定义“d - 维分布矩阵” [F]d，其元素 [F]d(x1,…,xd),(y1,…,yd) 表示 Pr[F(x1) = y1, …, F(xd) = yd]。
• d - 维去相关距离 ：给定度量结构 D，可定义两个随机函数 F 和 G 对应的矩阵之间的“d - 维去相关距离”。若 G 是均匀分布的随机函数 F ，则该距离称为“函数 F 的 d - 维去相关偏差”，记为 DecFdD(F)；若 F 是置换 C，G 是均匀分布的置换 C ，则称为“置换 F 的 d - 维去相关偏差”，记为 DecPdD(F)。
• 区分器 ：用于区分两个随机函数 F 和 G 的 oracle 图灵机 AO，其优势为 AdvA(F, G) = Pr[AF = 1] - Pr[AG = 1]。考虑不同类型的区分器，如非自适应区分器 Cldna、自适应区分器 Clda 和可查询函数及其逆的区分器 Clds。

性质

• 乘法性质 ：若 F 和 G 是独立的随机函数，F 从 M2 到 M3，G 从 M1 到 M2，则 [F ◦ G]d = [G]d × [F]d。使用矩阵范数 ||.|| 时，有 DecFd||.||(F ◦ G) ≤ DecFd||.||(F) · DecFd||.||(G)，置换情况同理。
• 区分器优势与去相关距离的关系 ：|||[F]d - [G]d|||∞ = 2 · BestAdvCldna(F, G)，||[F]d - [G]d||a = 2 · BestAdvClda(F, G)，当 F 和 G 是置换时，||[F]d - [G]d||s = 2 · BestAdvClds(F, G)。

密码原语设计的随机性

• Luby - Rackoff 结果 ：对于 Feistel 结构，使用四个独立的均匀分布随机函数 F 1, F 2, F 3, F 4，有 DecFd||.||a(Ψ(F 1, F 2, F 3)) ≤ 2d2 · 2 - m/2，DecPd||.||a(Ψ(F 1, F 2, F 3)) ≤ 2d2 · 2 - m/2，DecPd||.||s(Ψ(F 1, F 2, F 3, F 4)) ≤ 2d2 · 2 - m/2。
• 一般方法 ：通过证明组合引理和使用标准证明方法，可对随机函数的去相关偏差进行上界估计。例如，对于随机函数 F，若存在子集 Y 和正实数 ϵ1 和 ϵ2 满足一定条件，则 DecFd||.||a(F) ≤ 2ϵ1 + 2ϵ2。
• 随机置换集合 ：Zheng - Matsumoto - Imai 研究了广义 Feistel 变换的伪随机性，提出了三种类型的变换（type - 1、type - 2 和 type - 3），并给出了相应的去相关偏差上界。此外，还有其他改进和扩展的结果，如 Pieprzyk、Patarin、Lucks、Naor 和 Reingold 等人的工作。

操作模式与类似构造

• CBC - MAC ：将块密码函数 C 转换为消息认证码 MAC 的构造，当 ℓ 固定时，对于均匀分布的随机函数 F*，有 DecFd||.||a(MAC) ≤ dℓ(dℓ - 1)2 - m。当 F 是伪随机时，DecFd||.||a(MAC) ≤ DecFdℓ||.||a(F) + dℓ(dℓ - 1)2 - m。
• 类似结果 ：可以从单块输入（SBI）MAC 构造固定输入长度（FIL）MAC，也可以从 FIL - MAC 构造可变输入长度（VIL）MAC，还可以进行 VIL - 加密等构造。例如，对于两个独立的随机函数 F1 和 F2，定义的 MAC 满足 DecFd,q||.||a ≤ DecFq||.||a(F1) + DecFd||.||a(F2) + q(q - 1)2 - m。

蓝牙组合器的相关性分析

蓝牙组合器是蓝牙流密码 E0 的重要组成部分，其相关性分析对于理解和改进蓝牙加密算法具有重要意义。

相关定理

• 定义与符号 ：考虑域 GF(2n) 作为线性空间，定义向量的内积和线性函数。使用与文献中相同的布尔函数相关性定义，即 c(f, g) = 2 - n(#{x ∈ GF(2n) | f(x) = g(x)} - #{x ∈ GF(2n) | f(x) ≠ g(x)})。
• 相关定理 ：给出了两个相关定理，用于分析迭代结构和具有公共输入的变换组合中相关性的传播。定理 3 可视为文献中引理 2 的推广，定理 4 考虑了具有部分公共输入的两个函数之和的布尔函数的相关性。

组合生成器

组合生成器的输出位 zt 由新鲜输入 xt 和内存更新 ct 的异或和计算得到，即 zt = ⊕i = 1n xi t ⊕ c0 t，内存更新 ct = f(xt - 1, ct - 1, …, ct - d)。相关攻击旨在通过新鲜输入位和输出位之间的相关性来恢复确定新鲜输入生成的密钥。

蓝牙组合器

蓝牙加密算法 E0 由四个 LFSR 和非线性内存更新函数 f 组成，f 是非线性函数 f1 和线性映射 T 的组合。
- 映射 T ：T 由 T0、T1 和 T2 三个映射组成，在矩阵形式下，T0 = T1 = I（2 × 2 单位矩阵），T2 = [0 1; 1 1]。不同的 T0、T1 和 T2 选择会导致系统的相关性不同。
- 相关性分析 ：分析了形式为 c(w · st + 1, u · xt ⊕ v · ct) 的相关性，其中 u ∈ GF(24)，v = (v1, v0) ∈ GF(22)。通过计算得到了最强的相关性关系 c(c0 t ⊕ c0 t - 1 ⊕ c0 t - 3, 0) = - 1/16，进而得到 c(zt ⊕ zt - 1 ⊕ zt - 3, ⊕i = 14 xi t ⊕ ⊕i = 14 xi t - 1 ⊕ ⊕i = 14 xi t - 3) = - 1/16。

替代映射

研究了映射 T 的选择对蓝牙组合器相关性的影响。当 t3 2 = 1 时，只需两次迭代近似即可建立输入和输出之间的相关性；当 t3 2 = 0 时，至少需要三次近似。例如，T2 = I 时，计算 c(c0 t, c0 t - 4) 的相关性需要多次近似，且结果显著小于之前的相关性。

终极分治攻击

当给定的密钥流长度超过最短 LFSR 的周期 p 时，分治攻击成为可能。若存在线性组合的移位寄存器输出位和密钥流位之间的非零相关性 ρ，则在周期 p 上的相关性强度至少为 ρ2。对于蓝牙 E0 组合器，计算其周期性相关性，得到 c(c0 t ⊕ c0 t - 1 ⊕ c0 t - 3 ⊕ c0 t + p ⊕ c0 t + p - 1 ⊕ c0 t + p - 3, 0) ≥ 2 - 7。

数字现金系统的改进

大多数数字现金系统在双重花费情况下具有身份揭示能力，但这种能力可能被银行滥用。提出了一种方法，既能提供身份揭示能力，又能防止银行诬陷。

Brands 方案的特点

• 系统设置 ：银行随机生成生成元组 (g, g1, g2) 和数 x ∈ Z*q，选择两个抗碰撞哈希函数 H 和 H0，生成元组和哈希函数为公共密钥，x 为私有密钥。
• 开户 ：用户随机生成 u1 ∈ Zq，计算 I = g1u1，若 Ig2 ≠ 1，将 I 发送给银行并保留 u1 秘密。银行将 I 与用户识别信息存储在数据库中，计算 z = (Ig2)x 并发送给用户。
• 取款协议 ：银行生成 w ∈ Zq，发送 a = gw 和 b = (Ig2)w 给用户。用户生成 s ∈ Z*q，x1, x2 ∈ Zq，计算 A = (Ig2)s，B = gx1 1 gx2 2 和 z′ = zs，生成 u, v ∈ Zq 计算 a′ = augv，b′ = bsuAv，计算挑战 c′ = H(A, B, z′, a′, b′)，发送盲化挑战 c = c′/u mod q 给银行。银行发送响应 r = cx + w mod q 给用户并扣除用户账户余额。用户接受条件为 gr = hca 且 (Ig2)r = zcb，若满足则计算 r′ = ru + v mod q。
• 支付协议 ：用户将 (A, B, Sign(A, B)) 发送给商店。若 A ≠ 1，商店计算并发送挑战 d = H0(A, B, IS, date/time)。用户计算并发送响应 r1 = d(u1s) + x1 mod q 和 r2 = ds + x2 mod q。商店接受条件为 Sign(A, B) 有效且 gr1 1 gr2 2 = AdB。
• 存款协议 ：商店执行与支付协议相同的程序，银行接受条件为 Sign(A, B) 有效，gr1 1 gr2 2 = AdB 且 A 未存储过。若 A 已在存款数据库中，银行可通过计算 g(r1 - r′ 1)/(r2 - r′ 2) 1 找到双重花费者的身份。

协议设计概念

在 Brands 方案中，用户的一个秘密 u1 承担了双重花费检测和防止银行诬陷的两个角色。为了同时实现身份揭示和防止诬陷的功能，将 u1 分离为 u1 和 u2，u1 用于揭示用户身份，u2 在双重花费时不被揭示，用于防止银行诬陷用户进行 n(> 2) - 花费。

隐私增强数字现金系统

• 系统设置 ：与 Brands 方案相同，但调整了两个哈希函数 H 和 H0 的域以适应新增功能。
• 开户 ：除 u1 外，用户还有另一个秘密 u2 和相应的账户信息 I2。银行返回受其秘密 x 限制的账户信息。I1 = gu1 1，I2 = gu2 1，z1 = (I1g2)x，z2 = (I2g2)x。
• 取款协议 ：用户分别用 s1 和 s2 对与 u1 和 u2 相关的账户信息进行盲化。取款协议完成后，用户得到硬币 (A, B, C, Sign(A, B, C))。
• 支付协议 ：用户生成 deal1, deal2 ∈ Z*q 计算 D = gdeal1 1 gdeal2 2，发送 (A, B, C, D, Sign(A, B, C)) 给商店。若 A ≠ 1，商店计算并发送挑战 d = H0(A, B, C, D, IS, date/time)。用户计算并发送响应 r1 = d(u1s1) + x1 mod q，r2 = ds1 + x2 mod q，r3 = d(u2s2) + deal1 mod q，r4 = ds2 + deal2 mod q。商店接受条件为 Sign(A, B, C) 有效，gr1 1 gr2 2 = AdB，gr3 1 gr4 2 = CdD。
• 存款协议 ：银行检查硬币的有效性，通过比较 (A, C) 与数据库中的条目检查双重花费。若发现匹配，银行可通过计算 g(r1 - r′ 1)/(r2 - r′ 2) 1 提取账户信息。由于 deal1 ≠ deal′ 1 和 deal2 ≠ deal′ 2，即使发生双重花费，g(r3 - r′ 3)/(r4 - r′ 4) 1 也不会揭示 I2。

总结

本次会议的研究成果涵盖了传统密码学、蓝牙组合器和数字现金系统等多个领域。去相关理论为传统密码学的可证明安全性提供了系统的方法，有助于理解和改进伪随机性结果和 MAC 构造。蓝牙组合器的相关性分析表明，通过修改内存更新函数可以降低相关性，提高安全性。数字现金系统的改进方案通过引入两个秘密，实现了双重花费检测和防止银行诬陷的功能，具有重要的实际应用价值。这些研究为信息安全和密码学的发展提供了新的思路和方法。

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px

    A(传统密码学):::process --> B(可证明安全性):::process
    A --> C(密码原语设计):::process
    A --> D(操作模式与构造):::process
    E(蓝牙组合器):::process --> F(相关性分析):::process
    E --> G(替代映射):::process
    E --> H(终极分治攻击):::process
    I(数字现金系统):::process --> J(Brands方案):::process
    I --> K(协议设计概念):::process
    I --> L(隐私增强系统):::process

研究领域	关键成果
传统密码学	引入去相关理论，改进伪随机性结果和 MAC 构造
蓝牙组合器	通过修改内存更新函数降低相关性
数字现金系统	引入两个秘密实现双重花费检测和防止诬陷

信息安全与密码学前沿研究

传统密码学研究的深入剖析

传统密码学在可证明安全性方面的研究成果，为密码系统的设计和分析提供了坚实的理论基础。去相关理论的引入，使得对密码原语的随机性和安全性分析更加系统和深入。

从密码原语设计的随机性来看，Luby - Rackoff 结果为 Feistel 结构的安全性提供了量化的评估标准。通过对不同轮数和随机函数的组合，能够有效地控制去相关偏差，从而提高密码系统的伪随机性。例如，在实际应用中，可以根据具体的安全需求选择合适的轮数和随机函数，以达到最佳的安全性能。

在操作模式与类似构造方面，CBC - MAC 的构造为消息认证提供了一种可靠的方法。其安全性依赖于块密码函数的安全性和输入长度的固定性。当输入长度可变时，需要采用其他的构造方法，如从 FIL - MAC 构造 VIL - MAC。这些构造方法的研究，为不同场景下的消息认证提供了多样化的选择。

蓝牙组合器研究的实际意义

蓝牙组合器的相关性分析对于蓝牙加密算法的安全性至关重要。通过对蓝牙组合器的深入研究，发现了其存在的相关性问题，并提出了相应的改进措施。

相关定理的提出，为分析蓝牙组合器中相关性的传播提供了理论工具。通过对组合生成器和蓝牙组合器的具体分析，揭示了相关性与密钥恢复之间的关系。例如，通过找到新鲜输入位和输出位之间的相关性，可以进行相关攻击来恢复密钥。

替代映射的研究表明，通过选择合适的映射 T，可以有效地降低蓝牙组合器的相关性。例如，当 t3 2 = 0 时，需要至少三次近似才能建立相关性，这大大增加了攻击的难度。这种改进方法可以在不增加算法复杂度的情况下，提高蓝牙加密算法的安全性。

终极分治攻击的研究则提醒我们，在使用蓝牙组合器时，需要限制密钥流的长度，以防止分治攻击的发生。当密钥流长度超过最短 LFSR 的周期时，分治攻击的复杂度会显著降低，从而威胁到蓝牙通信的安全性。

数字现金系统改进的重要性

数字现金系统在现代电子支付中扮演着重要的角色，其安全性直接关系到用户的财产安全。大多数数字现金系统在双重花费情况下的身份揭示能力可能被银行滥用，因此改进数字现金系统具有重要的现实意义。

Brands 方案为数字现金系统的设计提供了一个基础框架。然而，该方案中用户的一个秘密 u1 承担了双重角色，容易导致银行诬陷用户的问题。通过将 u1 分离为 u1 和 u2，分别用于双重花费检测和防止银行诬陷，可以有效地解决这一问题。

隐私增强数字现金系统的设计，不仅实现了双重花费检测和防止银行诬陷的功能，还具有其他优点。例如，一次花费的硬币不会揭示用户的身份，双重花费检测后不需要重新开户等。这些优点使得该系统在实际应用中更加安全和便捷。

未来研究方向展望

虽然本次会议的研究成果为信息安全和密码学的发展提供了重要的支持，但仍有许多问题需要进一步研究。

在传统密码学方面，可以进一步研究去相关理论的应用，探索更高效的密码原语设计方法。例如，如何在保证安全性的前提下，减少随机函数的使用数量，提高密码系统的效率。

对于蓝牙组合器，虽然已经提出了一些改进措施，但还需要进一步研究如何在实际应用中实现这些改进。例如，如何在不影响蓝牙设备性能的情况下，修改内存更新函数。

在数字现金系统方面，可以进一步研究如何将该系统与其他支付系统进行集成，提高支付的便捷性和安全性。同时，还可以研究如何应对新的攻击手段，如量子攻击等。

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px

    M(未来研究方向):::process --> N(传统密码学):::process
    M --> O(蓝牙组合器):::process
    M --> P(数字现金系统):::process
    N --> Q(去相关理论应用):::process
    N --> R(高效密码原语设计):::process
    O --> S(实际应用改进):::process
    P --> T(系统集成):::process
    P --> U(应对新攻击手段):::process

研究方向	具体内容
传统密码学	去相关理论应用、高效密码原语设计
蓝牙组合器	实际应用改进
数字现金系统	系统集成、应对新攻击手段

综上所述，信息安全和密码学的研究是一个不断发展和创新的领域。本次会议的研究成果为该领域的发展提供了新的思路和方法，未来还需要不断地进行深入研究，以应对日益复杂的安全挑战。