22、抗泄漏非交互式密钥交换与密码基认证密钥交换新框架

抗泄漏非交互式密钥交换与密码基认证密钥交换新框架

抗泄漏非交互式密钥交换

在密钥交换的安全研究中，模拟和游戏理论是重要的分析工具。由于ADBDH - 2的模拟是完美的，所以有AdvGame5(A) = AdvGame4(A)。

在Game 6中，挑战者ADBDH - 2从目标群GT中随机选择T。此时T与挑战比特完全独立，因此AdvGame5(ACLR - NIKE) = 0。Game 5和Game 6在攻击者ADBDH - 2无法区分e(g1, g2)abc和随机元素时是相同的，所以|AdvGame6(A) − AdvGame5(A)| ≤ Advdbdh - 2ADBDH - 2,G2(κ)。

综合Game 0到Game 6的表达式，可得AdvCLR - CKS - heavyCLR - NIKE,A(κ) ≤ q2H[2ϵ + AdvcollA,ChamH(κ) + Advdbdh - 2ADBDH - 2,G2(κ)]。

下面来看我们的CLR - NIKE协议的泄漏容忍度。群G1、G2和GT的阶为p。在LRS方案Λn,1Z∗q中令m = 1。研究表明，如果m < n/20，LRS方案的泄漏参数λΛ = (0.3n log p, 0.3n log p)，其中λΛ表示LRS方案容忍的泄漏量。当n = 21时，λΛ = (6.3 log p, 6.3 log p)比特。

根据相关研究，如果m/3 ≤ n且n ≥ 16，LRS方案Λn,1Z∗p的刷新协议Refreshn,1Z∗p每次能容忍（连续）泄漏最多λRefresh = λΛ/2 = (3.15 log p, 3.15 log p)比特。当我们协议的秘密密钥s（大小为log p比特