抗选择密文攻击公钥密码体制及其相关问题的研究

抗选择密文攻击公钥密码体制及其相关问题的研究专业:通信与信息系统方向:信息系统安全导师:何大可博士生:梅其祥一研究的意义•在公钥密码体制中，攻击者拥有公钥，他可以随便选择明文进行加密，攻击者还有机会获得密文，而且还可能利用各种途径来获得解密，为此，公钥密码体制应该不会泄露其他密文的的明文信息，这就要求该密码体制能抗选择密文攻击。•抗选择密文攻击密码体制是一种安全性很高的体制。现在它已是被密码学家们普遍接受的概念，研究表明，利用抗选择密文攻击密码体制，可以设计许多安全强度很高的重要的密码协议，•密钥传输，密钥交换，公平交换协议等等，•Bellare和Rogaway提出的OAEP（1994）体制就成为SET协议的新的加密标准。•抗选择密文攻击是当今公钥加密侯选标准的最重要的要求之一，2004年的最新的几个候选标准的原型就是几个重要的抗选择密文攻击公钥加密密码方案。二.抗选择密文攻击密码体制概念介绍•公钥密码体制按照可能的攻击目标，可以分为：•单向性（OW）安全：由密文不能恢复相应的明文。•不可区分性（IND）安全：对已知给定的的两个明文，加密者随机一致的选择其中一个进行加密，攻击者无法从密文中知道是对哪个明文的加密。•非延展性（NM）安全：攻击者无法构造与已给密文相关的新密文。•以上安全性概念依次加强：NM比IND强，IND比OW强。•。•按照可能的攻击模型可分为：•选择明文（CPA）攻击：攻击者可以先适应性选择明文，获得相应的密文•非适应性选择密文（CCA1）攻击：攻击者除了可以适应性选择明文攻击外，在给定Challeng密文前，还可以选择密文获得相应的解密。•适应性选择密文（CCA2）攻击：攻击者的唯一限制就是不可以直接用Challeng密文获得相应的明文，即还可以在给定Challeng密文，选择密文获得相应的解密。•同时考虑攻击目标和攻击模型，可以获得不同的安全，其中最重要的是IND-CCA2和NM-CCA2安全，而二者被证明是等价的[5]，所以加密中通常所说的选择密文安全是指IND-CCA2安全。三研究现状1.IND-CCA2概念的提出：Rackoff和Simon19912.几个重要的IND-CCA2方案•1994年，Bellare和Rogaway提出的OAEP（OptimalAsymmetricEncryptionPadding）体制,将任意陷门置换转化为IND-CCA2，第一次将较弱的体制转化为IND-CCA2；•1998年Cramer和Shoup才又提出了一种实际的IND-CCA2，而且是“真实世界”（在标准的数论假设下）的（而不是“RandomOracleModel”意义下的）；其安全性基于DDH假设。•Fujisaki—Okamoto1999将IND-CPA加密转化为其IND-CCA2，解密中的验证过程要求重新加密。•Pointchaval2000提出了将单向陷门函数转化为IND-CCA2的方法，但解密中的验证过程要求重新加密。•2000年，Shoup对CS98方案进一步改进，一方面，当DDH假设成立，该方案在真实世界依然是IND-CCA2安全的，另一方面，当DDH假设成立不成立，该方案在RandomOracleModel中，在CDH假设下，是IND-CCA2安全的，而且效率较CS98高。2001年Cramer和Shoup，对CS98,S00,进一步改进提高，并加以推广。•2001，Okamoto和Pointchaval的REACT提出公钥和私钥相结合的方法，将OW-PCA(在明密文检测攻击下单向性安全的)加密转化为IND-CCA2，其解密验证不需重新加密，效率很高，但密文较长，另外，OW-PCA假设的可信性还值得怀疑。•2001，Abdalla,Bellare,Rogway.提出的DHIES，将EIGama加密转化为IND-CCA2，其效率非常高，不需要RandomOracle，其安全性基于OracleDiffie-Hellman假设。3与门限密码学结合•1998Shoup和Gennero提出了一种抗选择密文攻击密码门陷体制•1999Canetti和Goldwasser也提出了一种门陷IND-CCA2.4与基于身份的密码体制结合•Boneh,Franklin(2001)利用双线性映射，构造了一个基于身份的密码体制，然后，利用Fujisaki—Okamoto1999方法，转化为基于身份的IND-CCA2体制，掀起了基于身份的密码体制研究的新高潮。5．与签名结合，构造（CCA2-CMA）签密•Zhengyuliang1997提出了签密的概念，并提出了两中高效的方案，2002年，Baek等对该方案进行严格的分析，分析表明，在RandomOracle模型中，在GapDiffie-Hellman假设下，该方案对隐私性来说，可以抗适应性选择密文（IND-CCA2）攻击，对于认证性来说，可以抗适应性选择明文（CMA）攻击。从此，构造（CCA2-CMA）签密也成为一个热点方向。6．探讨与与其他问题的关系(应用CCA2设计其他协议)•密钥传输、认证密钥交换的关系（Bellare等1993，1995，1998，2000），•与其它公钥加密概念之间的关系（Bellare等1998）•与安全（认证且保密）信道的关系（R.CanettiH.Krawczk2001,2002），•与公平交换的关系（N.Asokan等1998、2000）7．对已有标准的攻击：•1998,Bleichenbacker对原先的RSA标准进行了有效的攻击。•2000，Shoup指出OAEP在一般情形是不安全的，并提出了OAEP+•2001，Fujisaki等指出虽然OAEP一般情形是不安全的，但由于RSA的特殊代数结构，OAEP-RSA是安全的。8．提交新的公钥候选标准。2004年的最新的几个候选标准的原型就是几个重要的抗选择密文攻击公钥加密密码方案,其中包括•BR94(RSA-Based)，•CS98和CS01(EIGamal-Based)，•FO99和OP01(EPOC-Based)，•ABR01(EIGamal-Based)。四．研究目标、研究内容、拟解决的关键问题抗选择密文攻击密码体制的研究是一个非常重要方向，这里面还有很多工作可做，我准备侧重于以下一些方面进行研究。•1.构造新的cca2-cma签密方案；•2.对国内外相关协议的攻击与分析，对一些重要的相关协议进行评估，为实际相关部门提供咨询；•3.构造适合于某些特殊应用的加密体制，特别是考虑适合于密钥交换的加密体制；•4.对已有的加密体制进行进一步严格证明；•5.对已有加密体制进行优化，提高他们的执行速度或减少密文扩展。五．拟采取的研究方法、技术路线、试验方案及其可行性研究•1.目前，已写了关于一篇关于cca2-cma签密的文章（已投）,其安全性基于CDH假设，而Zheng97是基于GDH假设。•2.目前，已写了关于一篇关于相关协议的攻击文章（已投），对曹珍富2003的一篇文章进行攻击和改进；准备写一篇综述，全面的介绍已有的CCA2公钥加密体制以及CCA2的应用。•3.抗选择密文攻击加密体制中，一般都有一个冗余检测，其中一个方法是使用认证码，在密钥交换中，为了保证认证性，也有一个方法是利用认证码，我想经过适当的处理，将二者合在一起，从而降低通信和计算复杂度。•4.1998年，Tsiounis和Yung提出了一个加密方案，是在EIGamal加密后加一个知识证明，但是，ShoupandGennaro指出，Tsiounis和Yung的方案不能严格证明，我经过仔细分析，发现Tsiounis和Yung的方案可以在更强的GDH假设下严格证明。•5.对已有的抗选择密文攻击加密体制进行详细的比较、分析，综合，试图对某些进行优化。•6.进一步收集最新文章，发现新的问题，产生新的想法。六．课题的创新性•课题的创新性主要体现在•对已有方案的安全性进行评估、进一步论证、优化改进。•构造合乎特殊需求的抗选择密文攻击加密体制，并构造相应的应用方面的协议，寻求新的应用背景。•七．计划进度、预期进展和预期成果•本课题的成果主要以论文的形式体现，希望能在一级期刊上发表四篇文章。•2002.9---2003.9收集、消化文献；•2003.10---2004.3完成前两个目标，投稿两篇文章；•2004.4---2004.9完成第三、四目标的部分，投稿两篇；•2004.10—2005.1继续实现第三、四目标，并部分实现第五目标，投稿一篇以上；•2005.2—2005.6主要是卷写博士学位论文，若时间许可，继续收集最新文章，发现新的问题，产生新的想法，进一步投稿。谢谢