抗泄漏與相關密鑰攻擊的簽名方案的研究.pdf

1、自70年代后期以來，現(xiàn)代密碼學飛速發(fā)展，各種各樣的密碼原語被提出并構造出來，例如眾所周知的公鑰加密方案、數(shù)字簽名方案和基于身份的加密方案等等。在現(xiàn)代密碼學安全定義中，一個很重要的假設就是允許敵手將系統(tǒng)看做一個黑盒來處理，即敵手僅能獲得一個密碼系統(tǒng)運行時的輸入和輸出狀態(tài)。對于密碼系統(tǒng)內(nèi)部使用的秘密信息，敵手是無法探測到的。然而在現(xiàn)實生活中，敵手不僅可以獲得系統(tǒng)運行時的輸入及輸出結果，還可以通過觀察密碼系統(tǒng)在物理設備上運行時的狀態(tài)獲得其他一

2、些與秘密信息相關的額外信息。在這些額外信息的幫助下，敵手是有可能攻破傳統(tǒng)意義下安全的密碼系統(tǒng)的。這就是近年來興起的側信道攻擊。
　　如今針對密碼設備的攻擊可以分為被動攻擊和主動攻擊。被動攻擊，就是上述提到的側信道攻擊，在密碼設備運行時觀察其運行時的狀態(tài)（例如設備運行的時間、溫度，釋放的能量，電磁信息等），這些狀態(tài)有可能泄漏系統(tǒng)內(nèi)部使用的秘密信息。主動攻擊，即敵手可以主動對系統(tǒng)內(nèi)部秘密信息進行篡改（例如加熱設備，注入錯誤等），觀察篡

3、改之后系統(tǒng)輸出結果，進而幫助敵手分析并攻擊整個密碼系統(tǒng)。近幾年來大量文獻被提出來分別抵抗上述兩種攻擊。在此兩種攻擊下，傳統(tǒng)密碼方案的安全性不再保證。如何在這兩種攻擊下仍能保證方案安全性成為一大熱點。
　　本文主要致力于研究如何在相關密鑰攻擊（RKAs）的作用下構造可以抵抗選擇明文攻擊的抗泄漏(leakage-resilient)簽名方案。本文首先給出了在無隨機數(shù)泄漏的情況下可以抵抗泄漏及RKA攻擊的簽名方案及其安全性證明。方案中，

4、主要利用抽取器extractor輸出隨機的特點及相關輸入hash函數(shù)(CI hash function)的特性來處理密鑰的泄漏，使其隨機化，進而使敵手無法獲得密鑰的相關信息。
　　由于簽名與加密不同，在公鑰加密方案中，使用公鑰對消息進行加密，因此在加密過程中，即使隨機數(shù)泄漏給敵手，對敵手獲得私鑰攻破加密方案并無很大幫助。然而在簽名方案中，使用的是簽名者的秘密信息對消息進行簽名，此時，如果存在隨機數(shù)的泄漏，則敵手有可能從隨機數(shù)的泄漏