隨機預言機模型下可證明安全性關鍵問題研究.pdf

1、隨著電子商務、政務等網絡應用的蓬勃開展，設計安全并且高效的密碼學方案成為密碼學的一個重要課題?？勺C明安全理論(Provable Security)是在預先精確設定的安全模型下，用來驗證一個設計好的密碼學方案是否能抵御現(xiàn)實中自適應攻擊者的形式化分析方法。早期的可證明安全體制一般是基于標準模型(StandardModel)下，將攻擊者成功破解方案的概率可轉化為攻破某已知困難問題的優(yōu)勢。但基于標準模型的密碼學方案往往需要大量的計算，難以實用。

2、隨機預言機模型(RandomOracleModel)一經提出，便成為了平衡密碼學方案的可證安全性和實用性的重要途徑。在隨機預言機模型當中，基于一個公共可訪問的隨機預言機，攻擊者的能力仍然可以規(guī)約到某個困難問題，同時方案的計算開銷也會因為隨機預言機模型下許多緊規(guī)約技巧而大大降低。實際中，廣泛使用的密碼學方案和標準大都是基于隨機預言機模型下可證安全的。 雖然基于隨機預言機模型設計方案具有高效率優(yōu)勢，該模型自身的安全性問題也不容忽視，

3、許多負面例子說明現(xiàn)有廣泛使用的偽隨機函數、散列函數等并不能替換方案證明中所使用的隨機預言機，甚至有研究結果表明替換后的方案會失去可證安全性。如何設計一個實際的，安全的散列函數，來替換模型中所使用的隨機預言機，成為了近年來該領域的研究熱點問題。我們對隨機預言機模型的已有成果及其存在的安全性問題進行了總結和分析。首先我們針對基于分組密碼的散列函數給出了相應的與隨機預言機的白盒不可區(qū)分性(Indifferentiability)。 1

4、.我們給出了對基于分組密碼的散列函數的白盒不可區(qū)分性的進一步分析，并給出了一個更加精確的對應基于分組密碼的散列函數的白盒不可區(qū)分性攻擊者的形式化定義。白盒不可區(qū)分性的優(yōu)勢對應于散列函數是否keyed的情況加以了區(qū)分。我們指出了Chang等人對于4種PGV和PBGV方案給出可區(qū)分性攻擊存在缺陷，而且給出對應的形式化證明來表明4種PGV和PBGV構造實際上在使用Prefix-FreePadding、HMAC/NMAC和ChopConstru

5、ction等改進型MD構造后，并同樣基于壓縮函數滿足限定長度的隨機預言機的性質，那么這些散列函數與隨機預言機是滿足白盒不可區(qū)分性的。 2.基于密鑰長度是分組長度兩倍情況的分組密碼，我們更進一步地對速率(Rate)為1的雙倍分組長度散列函數的構造方法和安全性加以研究。研究工作可分為以下三個方面：首先，我們給出了針對Hirose提出的兩個作為公開問題的例子的攻擊，該攻擊證實Hirose給出的例子并不能達到最優(yōu)化抵抗原像和二次原像攻擊

6、，同時給出三個反例證明Hirose給出的最優(yōu)化抗碰撞的兩個必要條件并不完善。其次，基于上述攻擊和反例，我們形式化的分析了由Satoh等人在文獻中定義的速率為1的雙倍分組長度散列函數，來找尋是否存在速率為1并且達到最優(yōu)化安全的雙倍分組長度散列函數。在上述分析之后，我們進一步給出了該類型下速率為1的雙倍分組長度散列函數達到最優(yōu)化安全的必要條件。特別地是，我們針對兩個基于新的必要條件下的有代表性的例子給出了白盒不可區(qū)分性的形式化證明。

7、 其次，對于隨機預言機模型下的可證明安全性，選擇合適的緊致規(guī)約證明技巧來達到安全性與效率的平衡，在方案設計中也是十分重要的。將協(xié)議中使用的散列函數理想化為隨機預言機，同時基于若干實用性簽名方案的設計與規(guī)約證明，我們通過這些簽名方案的可證明安全來介紹隨機預言機模型下最有效的幾種證明技巧。這些技巧都具有推廣性和啟發(fā)性，因而被廣泛用在其他協(xié)議的設計、證明過程中。 1.我們首先介紹了部分盲簽名的基本概念及其安全性定義，隨后基于離散對數問

8、題給出了一種高效率的部分盲簽名的方案(DLP-PBS)的設計與安全性分析，與以往若干方案相比，DLP-PBS方案的計算和存儲開銷均有降低。由于LFSR序列在替換表示有限域元素上的優(yōu)勢，我們基于n階LFSR序列和DLP-PBS方案給出了另一種高效率的部分盲簽名方案。我們所給出的兩種部分盲簽名方案均是在隨機預言機模型下證明了其安全性。與有限域上的方案相比，基于LFSR的部分盲簽名長度有所減少。特別的是，兩種方案證明中都使用分叉引理作為安全性