80、多指定接收者签名公钥加密：原理、应用与安全分析

最新推荐文章于 2025-08-15 08:15:00 发布

sun99

最新推荐文章于 2025-08-15 08:15:00 发布

阅读量38

点赞数

CC 4.0 BY-SA版权

分类专栏：密码学前沿：理论与应用文章标签： MDRS-PKE PKEBC 多指定接收者签名

本文链接：https://blog.youkuaiyun.com/sun99/article/details/151030367

密码学前沿：理论与应用专栏收录该内容

100 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

多指定接收者签名公钥加密：原理、应用与安全分析

在当今数字化的世界中，信息安全至关重要。多指定接收者签名公钥加密（MDRS - PKE）作为一种新兴的加密方案，为安全通信提供了强大的保障。下面将详细介绍MDRS - PKE的相关概念、应用场景以及与之相关的安全方案。

1. MDRS - PKE的特性与构造

MDRS - PKE具有以下几个关键特性：
- 一致性 ：当Bob解密密文c得到三元组 (spkDonald, (pkBob, pkCharlie), m) 时，Charlie解密同一密文也应得到相同的三元组。
- 不可伪造性 ：攻击者Eve无法伪造出看似来自诚实发送者（如Alice）给接收者（如Bob和Charlie）的密文。
- 机密性 ：诚实发送者Alice向诚实接收者Bob和Charlie加密消息m时，攻击者Eve无法得知消息m的内容。
- 匿名性 ：若Alice向Bob加密发送消息m，攻击者Eve无法确定发送者是Alice，也无法确定接收者是Bob，最多只能知道有人向单个接收者发送了消息。
- 离线不可抵赖性 ：假设Alice向Bob、Charlie和Donald发送消息，即使Donald不诚实，试图说服Eve是Alice发送了某条消息，Eve也不应被说服。

MDRS - PKE的构造主要是利用MDVS方案对消息进行签名，然后使用PKEBC方案对签名后的消息及其MDVS签名进行加密。由于MDRS - PKE是MDVS方案的扩展，具备身份隐私和机密性，因此任何MDRS - PKE方案都能产生具有身份隐私的MDVS方案。

2. MDRS - PKE在安全消息传递中的应用

MDRS - PKE的一个主要应用是安全消息传递，特别是安全群组消息传递。

2.1 双方安全消息传递

假设Alice和Bob使用安全消息应用程序进行聊天，他们期望该应用程序提供以下保障：
- 正确性 ：如果Alice向Bob发送消息，Bob应能收到该消息。
- 机密性 ：除Alice和Bob外，其他人不应得知消息内容。
- 真实性 ：如果Alice读取到消息m，那么该消息必须是Bob发送的。
- 匿名性 ：假设Charlie和Dave也在同时聊天，当第三方Eve截获Alice和Bob聊天的密文c时，Eve无法通过检查密文内容获取关于发送者和接收者身份的额外信息。
- 离线不可抵赖性 ：如果Bob将聊天密文存储在外部存储服务中，即使Eve访问了这些存储的密文，也无法判断这些密文是Alice发送的真实消息对应的密文，还是Bob或其他人伪造的密文。

此外，还有一个相关的特性是前向保密性。前向保密性保证即使Eve存储了Bob接收的密文，并且后来破解了Bob的计算机获取其私钥，Eve也无法得知之前截获密文的解密内容。与离线不可抵赖性不同，前向保密性假设Bob是诚实的，并且与保存聊天历史不兼容。

2.2 安全群组消息传递

当Alice、Bob和Charlie进行群组聊天时，与多个双方聊天的关键区别在于一致性。即使Charlie不诚实，他也不能在Alice和Bob之间造成关于他是否向群组发送消息的混淆。为了在群组消息传递中实现离线不可抵赖性，需要考虑参与群组聊天的任何子集的各方都可能不诚实，这一特性也被称为任意子集离线不可抵赖性。

3. 相关工作

与MDRS - PKE密切相关的加密方案包括广播加密（BE）方案、双接收者加密方案以及多指定验证者签名（MDVS）方案。

方案名称	特点
广播加密（BE）方案	主要目标是使密文长度尽可能短，理想情况下密文大小与接收者数量无关，但不提供PKEBC方案的一致性保证。
双接收者加密方案	允许发送者向两个（且仅两个）接收者发送消息，通过限制接收者数量，可从标准假设实现高效构造，具有相对较短的密文和公钥。
多指定验证者签名（MDVS）方案	提供一致性、真实性、离线不可抵赖性，有时还提供匿名性，但现有具有隐私的MDVS方案需要发送者和其他指定接收者的公钥来验证签名，且在接收者获取这些信息方面存在隐私问题。

4. 预备知识

在介绍后续的加密方案之前，先明确一些符号和约定：
- 用 |⃗x| 表示向量 ⃗x 的元数，用 xi 表示向量 ⃗x 的第 i 个元素。
- 用 α ∈ ⃗x 表示存在 i ∈ [1, …, |⃗x|] 使得 α = xi。
- 用 Set(⃗x) 表示由向量 ⃗x 诱导的集合，即 Set(⃗x) := {xi | xi ∈ ⃗x}。

在本文中，通常用大写字母表示参与方的向量，用小写字母表示诸如公钥、消息、随机硬币序列等人工制品的向量。如果 ⃗V 是参与方的向量，那么 ⃗v 表示 ⃗V 对应的公钥向量。例如，对于向量 ⃗V := (Bob, Charlie)，⃗v := (pkBob, pkCharlie) 是 ⃗V 对应的公钥向量。

5. 广播公钥加密方案（PKEBC）

PKEBC方案 Π 是一个由四个概率多项式时间算法（PPT）组成的四元组 Π = (S, G, E, D)，其中：
- S ：输入 1k，生成公共参数 pp。
- G ：输入 pp，生成接收者密钥对。
- E ：输入 (pp, ⃗v, m)，其中 ⃗v 是预期接收者的公钥向量，m 是消息，生成密文 c。
- D ：输入 (pp, sk, c)，其中 sk 是接收者的私钥，使用 sk 解密 c，并输出解密后的接收者向量/消息对 (⃗v, m)，如果密文解密不正确则输出 ⊥。

6. PKEBC方案的安全性

PKEBC方案的安全性主要包括正确性、健壮性、一致性、IND - CCA - 2 安全性和 IK - CCA - 2 安全性，下面通过一些游戏和预言机来定义这些安全性。

6.1 预言机定义

公共参数预言机（OP P） ：
1. 第一次调用时，计算并存储 pp ← S(1k)，输出 pp。
2. 后续调用时，输出之前生成的 pp。
私钥生成预言机（OSK(Bj)） ：
1. 如果之前已经对 Bj 进行过查询，直接查找并返回之前为 Bj 生成的密钥。
2. 否则，存储 (pkj, skj) ← G(pp) 作为 Bj 的密钥对，并输出 (pkj, skj)。
公钥生成预言机（OP K(Bj)） ：
1. (pkj, skj) ← OSK(Bj)。
2. 输出 pkj。
加密预言机（OE(⃗V, m)） ：
1. ⃗v ← (OP K(V1), …, OP K(V|⃗V |))。
2. 创建并输出新鲜的加密结果 c ← Epp, ⃗v(m)。
解密预言机（OD(Bj, c)） ：
1. 查询 OSK(Bj) 以获取相应的私钥 skj。
2. 使用 skj 解密 c，(⃗v, m) ← Dpp, skj(c)，然后输出解密后的接收者向量/消息对 (⃗v, m)，如果 (⃗v, m) = ⊥，则表示密文相对于 Bj 的私钥无效。

6.2 安全性定义

正确性 ：考虑一个游戏，在攻击者 A 和游戏系统 GCorr 之间进行。如果存在对 OE 和 OD 的两个查询 qE 和 qD，其中 qE 的输入为 (⃗V, m)，qD 的输入为 (Bj, c)，满足 Bj ∈ ⃗V，qD 的输入 c 是 qE 的输出，qD 的输出为 ⊥ 或 (⃗v′, m′) 且 (⃗v, m) ≠ (⃗v′, m′)，并且 A 没有对输入 Bj 查询 OSK，则 A 赢得游戏。攻击者 A 在正确性游戏中的优势 AdvCorr(A) 是 A 赢得游戏 GCorr 的概率。
健壮性 ：考虑另一个游戏，在攻击者 A 和游戏系统 GRob 之间进行。如果存在对 OE 和 OD 的两个查询 qE 和 qD，其中 qE 的输入为 (⃗V, m)，qD 的输入为 (Bj, c)，满足 Bj ∉ ⃗V，qD 的输入 c 是 qE 的输出，qD 的输出为 (⃗v′, m′) 且 (⃗v′, m′) ≠ ⊥，并且 A 没有对输入 Bj 查询 OSK，则 A 赢得游戏。攻击者 A 在健壮性游戏中的优势 AdvRob(A) 是 A 赢得游戏 GRob 的概率。
一致性 ：考虑一个游戏，在攻击者 A 和游戏系统 GCons 之间进行。如果存在一个密文 c，使得 OD 对输入 (Bi, c) 和 (Bj, c) 进行查询，且之前没有对 Bi 或 Bj 查询 OSK，OD(Bi, c) 输出 (⃗v, m) 且 (⃗v, m) ≠ ⊥，其中 pkj ∈ ⃗v（pkj 是 Bj 的公钥），而 OD(Bj, c) 不输出 (⃗v, m)，则 A 赢得游戏。攻击者 A 在一致性游戏中的优势 AdvCons(A) 是 A 赢得游戏 GCons 的概率。
IND - CCA - 2 安全性 ：考虑一个游戏，在攻击者 A 和游戏系统 GIND - CCA - 2 b（b ∈ [0, 1]）之间进行。如果 b′ = b 且每个查询 OE(⃗V, m0, m1) 满足 |m0| = |m1|，则 A 赢得游戏。攻击者 A 在 IND - CCA - 2 游戏中的优势定义为 AdvIND - CCA - 2(A) := |Pr[AGIND - CCA - 2 0 = win] + Pr[AGIND - CCA - 2 1 = win] - 1|。
IK - CCA - 2 安全性 ：考虑一个游戏，在攻击者 A 和游戏系统 GIK - CCA - 2 b（b ∈ [0, 1]）之间进行。如果 b′ = b 且每个查询 OE(⃗V0, ⃗V1, m) 满足 |⃗V0| = |⃗V1|，则 A 赢得游戏。攻击者 A 在 IK - CCA - 2 游戏中的优势定义为 AdvIK - CCA - 2(A) := |Pr[AGIK - CCA - 2 0 = win] + Pr[AGIK - CCA - 2 1 = win] - 1|。

下面是PKEBC方案安全性相关的流程：

graph TD;
    A[开始] --> B[定义预言机];
    B --> C[定义正确性游戏];
    B --> D[定义健壮性游戏];
    B --> E[定义一致性游戏];
    B --> F[定义IND - CCA - 2游戏];
    B --> G[定义IK - CCA - 2游戏];
    C --> H[判断攻击者是否赢得正确性游戏];
    D --> I[判断攻击者是否赢得健壮性游戏];
    E --> J[判断攻击者是否赢得一致性游戏];
    F --> K[判断攻击者是否赢得IND - CCA - 2游戏];
    G --> L[判断攻击者是否赢得IK - CCA - 2游戏];
    H --> M[计算正确性优势];
    I --> N[计算健壮性优势];
    J --> O[计算一致性优势];
    K --> P[计算IND - CCA - 2优势];
    L --> Q[计算IK - CCA - 2优势];
    M --> R[结束];
    N --> R;
    O --> R;
    P --> R;
    Q --> R;

通过以上介绍，我们对MDRS - PKE及其相关的PKEBC方案有了较为全面的了解。这些加密方案在安全通信领域具有重要的应用价值，能够为信息的安全传递提供可靠的保障。

7. PKEBC方案安全性的深入分析

7.1 正确性与健壮性的实际意义

正确性和健壮性主要针对诚实方而言。在实际应用中，正确性确保了消息能够准确无误地被预期接收者解密，避免了因解密错误导致的信息丢失或误解。而健壮性则防止了非预期接收者对密文进行有效解密，保护了消息的机密性。

我们选择较弱的定义方式有两个主要原因：一是已有研究证明，针对计算有界且不获取诚实方私钥的对手定义的类似PKE方案的正确性和健壮性概念，能够推导出相应的可组合安全概念；二是由于PKEBC的其他安全概念（如IND - CCA - 2安全性）也是针对无法获取诚实方私钥的计算有界对手定义的，所以强化正确性和健壮性的安全概念并无优势。不过，如果PKEBC方案所基于的PKE方案能满足针对无界对手的正确性，那么PKEBC方案的构造也能满足更强的正确性和健壮性安全概念。

7.2 一致性的重要性

一致性在多接收者场景中尤为重要。它保证了即使存在不诚实的发送者，诚实的接收者之间也不会对是否接收到特定消息产生混淆。例如，在一个群组聊天中，如果没有一致性保证，不诚实的成员可能会误导其他成员，造成信息混乱。

与正确性、健壮性类似，一致性也是针对诚实接收者的安全属性。已有研究表明，类似的MDVS方案的一致性概念能够推导出可组合安全。并且，如果PKEBC方案所基于的PKE方案能满足针对无界对手的正确性，那么PKEBC方案也能满足更强的一致性概念，即允许对手查询任何一方的私钥。

7.3 IND - CCA - 2和IK - CCA - 2安全性的作用

IND - CCA - 2安全性和IK - CCA - 2安全性是多接收者版本的重要安全概念。IND - CCA - 2安全性确保了攻击者无法区分加密的是哪一个消息，即使攻击者可以进行适应性选择密文攻击。IK - CCA - 2安全性则进一步考虑了接收者集合的选择，攻击者同样无法区分是对哪一组接收者的公钥进行的加密。

这两个安全概念在实际应用中能够有效保护消息的机密性和接收者集合的隐私性，防止攻击者通过分析密文获取有用信息。

8. MDRS - PKE与PKEBC方案的比较与联系

方案名称	特点	应用场景
MDRS - PKE	具有一致性、不可伪造性、机密性、匿名性和离线不可抵赖性等特性，通过MDVS签名和PKEBC加密构造，适用于安全消息传递，特别是群组消息传递。	安全聊天、群组通信等需要保护消息完整性、机密性和发送者/接收者身份隐私的场景。
PKEBC	由四个概率多项式时间算法组成，提供正确性、健壮性、一致性、IND - CCA - 2和IK - CCA - 2安全性，主要用于广播消息的加密。	广播消息、多接收者通信等场景。

MDRS - PKE是在MDVS方案基础上扩展而来，增加了身份隐私和机密性，而PKEBC方案则是MDRS - PKE构造中用于加密签名消息的重要组成部分。两者相互配合，共同为安全通信提供保障。

9. 实际应用中的考虑因素

在实际应用MDRS - PKE和PKEBC方案时，需要考虑以下几个因素：

9.1 性能问题

PKEBC方案的密文大小会随着接收者数量的增加而呈二次方增长，这可能会对系统的性能产生影响。在设计系统时，需要根据实际的接收者数量和性能要求，合理选择加密方案。

9.2 隐私保护

虽然MDRS - PKE和PKEBC方案提供了一定的隐私保护，但在实际应用中，还需要考虑如何进一步增强隐私性。例如，在获取发送者和接收者公钥的过程中，需要避免信息泄露。

9.3 安全性与可用性的平衡

在追求高安全性的同时，也不能忽视系统的可用性。过于复杂的加密方案可能会导致系统响应时间过长，影响用户体验。因此，需要在安全性和可用性之间找到一个平衡点。

10. 未来发展方向

随着信息技术的不断发展，MDRS - PKE和PKEBC方案也有一些值得探索的未来发展方向：

10.1 优化密文大小

研究如何优化PKEBC方案的密文大小，使其能够在不影响安全性的前提下，适应更多接收者的场景。

10.2 增强隐私保护

探索新的隐私保护技术，进一步增强MDRS - PKE和PKEBC方案的匿名性和身份隐私保护能力。

10.3 与其他技术的融合

考虑将MDRS - PKE和PKEBC方案与其他安全技术（如区块链、零知识证明等）相结合，提供更强大的安全保障。

下面是未来发展方向的流程：

graph TD;
    A[开始] --> B[优化密文大小];
    A --> C[增强隐私保护];
    A --> D[与其他技术融合];
    B --> E[研究新技术];
    C --> E;
    D --> E;
    E --> F[应用到实际系统];
    F --> G[评估效果];
    G --> H[调整优化];
    H --> F;
    H --> I[结束];

综上所述，MDRS - PKE和PKEBC方案在安全通信领域具有重要的应用价值。通过深入理解它们的特性、安全性和应用场景，我们可以更好地利用这些方案来保护信息的安全。同时，关注未来的发展方向，不断探索和创新，将有助于进一步提升这些方案的性能和安全性。