收藏 分销(赏)
立即下载 VIP下载

基于国密SM9的匿名标识广播加密方案.pdf

上传人:自信****多点 文档编号:637416 上传时间:2024-01-21 格式:PDF 页数:12 大小:6.09MB
下载 相关 举报
基于国密SM9的匿名标识广播加密方案.pdf_第1页
第1页 / 共12页
基于国密SM9的匿名标识广播加密方案.pdf_第2页
第2页 / 共12页
基于国密SM9的匿名标识广播加密方案.pdf_第3页
第3页 / 共12页
亲,该文档总共12页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

1、信息安全研究第9 卷第10 期2 0 2 3年10 月Journalof Information Security ResearchVol.9No.10Oct.2023DOl:10.12379/j.issn.2096-1057.2023.10.06基于国密SM9的匿名标识广播加密方案潘璇严芬(扬州大学信息工程学院江苏扬州225127)()Anonymous Identity-based Broadcast Encryption Scheme Based on SM9Pan Xuan and Yan Fen(College of Information Engineering,Yangzhou

2、University,Yangzhou,Jiangsu 225127)Abstract Identity-based broadcast encryption combines broadcast encryption with identity-basedencryption,which has the characteristics of broadcast encryption and avoids the certificatemanagement work that consumes a lot of resources.In order to meet the strategic

3、needs ofautonomous and controllable cryptography technology in China,Lai Jianchang et al.designed anefficient identity broadcast encryption scheme based on Chinas SM9 identity-based encryptionalgorithm for the first time,and gave IND-sID-CPA security analysis.However,so far,there isstill a lack of r

4、esearch on the anonymous identity-based broadcast encryption scheme based onSM9,which can effectively avoid data recipients having the ability to judge whether otherrecipients are legitimate.Therefore,drawing on the construction idea of generic anonymousidentity-based broadcast encryption scheme pro

5、posed by He et al.and using the bilinear pairtechnique,the first anonymous identity-based broadcast encryption scheme with IND-nID-CCA2security and ANO-ID-CCA2 security under the random oracle model based on SM9 is designed,which is more easily integrated with current systems based on SM9 identity e

6、ncryption algorithm.For the security of the designed scheme,the analysis process is given.Finally,the performanceanalysis shows that the scheme has good security and some desirable characteristics,that is,thelength and computational cost of the main public key,the main private key and the receiver p

7、rivatekey are constant,and the decryption computational cost is constant.Key words identity-based broadcast encryption;anonymous;SM9;IND-nID-CCA2 security;ANO-ID-CCA2 security摘要标识广播加密将广播加密与标识加密相结合,在具备广播加密特点的同时,避免了耗费大量资源的证书管理工作.为满足我国密码技术自主可控的战略需求,赖建昌等人首次设计了基于我国SM9标识加密算法的高效标识广播加密方案,并给出IND-sID-CPA安全性分析

8、.但目前为止,仍收稿日期:2 0 2 2-0 6-15基金项目:国家自然科学基金项目(6 2 17 2 353)通信作者:严芬()引用格式:潘璇,严芬。基于国密SM9的暨名标识广播加密方案J.信息安全研究,2 0 2 3,9(10):96 8-97 9968学术论文.ResearchPapers缺失基于SM9的匿名标识广播加密方案的研究,匿名标识广播加密能够有效避免数据接收者具备判断其他接收者是否合法的能力.因此,借鉴He等人的通用匿名标识广播加密方案的构造思想,利用双线性对技术,设计了第1个基于国密SM9的随机谕言模型下IND-nID-CCA2安全和ANO-IDCCA2安全的匿名标识广播加密

9、方案.该方案更易与当前基于国密SM9标识加密算法的系统相融合.对于所设计方案的安全性给出分析过程.性能分析表明方案安全性较好且具备一定的理想特性,即方案主公钥、主私钥、接收者私钥的长度与计算成本恒定,解密计算成本恒定.关键词标识广播加密;匿名;SM9;IND-n ID-CCA 2 安全;ANO-ID-CCA2安全中图法分类号TP309Fait等人1于1993年提出了广播加密(broad-cast encryption)的概念,并给出了具体方案.该方案可以根据选定的多个接收方加密数据,在公开信道广播后,只有预先选定的接收者,即接收者得到合法授权后方可正确解密,且非法接收者无法通过合谋获取加密内容

10、.广播加密是一种1对多的加密技术,可以有效地减少数据交流过程中的计算成本和通信负载.另一种相似的概念是由Beak等人2 在2 0 0 5年提出的多接收方加密,加密在1组接收者标识而不是单一标识上进行,本文将其和广播加密视为相同的概念。标识密码(identity-based cryptosystem)是密码学中的另一个重要研究领域,此概念在198 4年由 Shamir3首次提出.标识密码以接收者的唯一信息作为公钥,取代传统公钥加密中证书的功能.2001年,Boneh等人4提出了第1个可证明安全的标识加密(identity-based encryption,IBE)方案.标识广播加密(identi

11、ty-based broadcast encryp-tion,IBBE)的概念在2 0 0 7 年由Delerable5与Sakai等人6 分别提出,将广播加密与标识加密相结合,避免了耗费大量资源的证书管理工作.随后,对照传统的广播加密,针对IBBE的研究逐渐深人,其功能性和安全性得以不断完善.在现实应用中,数据的合法接收者通常并不愿意将其身份暴露给其他接收者.因此在2 0 0 1年,Bellare等人7 首次提出了加密方案中的匿名概念.而在一般的IBBE方案中,往往将合法接收者的身份作为广播数据的一部分对所有接收者广播,所以并不具备匿名性.因此,对于IBBE方案的暨名性也有诸多研究8-18.

12、在2 0 16 年,He等人16 提出了一种通用匿名IBBE方案,方案可以利用满足安全条件的IBE方案构造出具备抵御适应性选择密文攻击(adaptively chosen ciphertext attacks,CCA2)的不可区分性和匿名性的IBBE方案,相较于抵御选择明文攻击(chosen plaintext attacks,CPA)的CPA安全,CCA2安全能够有效应对攻击者的主动攻击.这也是首个基于非对称双线性群的CCA2安全的不可区分性和匿名性的IBBE方案,但在文献18 中被证明不具备内部匿名性.2020年1月1日,中华人民共和国密码法正式开始施行,其支持我国商用密码算法的自主可控,

13、鼓励从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力.而我国在2008年自主设计了标识密码SM9,2 0 16 年成为我国密码行业标准19,并在2 0 2 0 年正式成为我国的国家标准.之后,SM9各部分也陆续成为国际标准,并在2 0 2 1年全体系纳入ISO/IEC标准。目前,基于国密SM9的研究有诸多成果.其中,赖建昌等人2 0 借鉴Delerablee5的方案,在2 0 2 1年首次设计出基于SM9标识加密算法的高效IBBE方案,并给出IND-sID-CPA安全性分析.但目前为止,仍缺失基于SM9标识加密算法的匿名IBBE方案的研究.本文借鉴文献16 方案的构造思想,

14、首次结合国密SM9标识加密算法构造出随机谕言模型下的 IND-nID-CCA2安全和 ANO-ID-CCA2安全的IBBE方案.本文方案最大程度保留了SM9标识加密方案的结构,所生成的私钥与密文的sklD和clD部分(见后文)以及对应解密部分均与SM9标识加密算法一致,更易与当前基于国密SM9标识加密算法的系统相融合.同时,给出本文方案的安全性分析和性能分析.性能分析表明,本文方案具备一定的理想特性且安全性较好.网址http:/ 卷第10 期2 0 2 3年10 月Journalof Informatien Security ResearchVol.9No.10Oct.2023随机选择的EZ,

15、给定元组(g,g ,g,h o,(h 1,基础知识.(hh.+aa)(其Q1.1双线性群双线性群可以用五元组(N,G1,G 2,G T,e)描述,其中N是1个大质数,G1,G2,G均是阶为N的乘法循环群(在基于椭圆曲线的双线性群构造中G1,G2是加法群,本文方案的设计与分析均以加法群表示),e为双线性映射e:GiXG2GT.如果Gi=G2,则为对称双线性群,否则为非对称双线性群.令g,g 分别为G1,G2的生成元,满足以下3个性质:1)双线性(bilinearity).对于任意的PEG1,QEG2,a,bEZN,有e(aP,bQ)=e(P,Q)ab.2)非退化性(non-degeneracy)

16、.满足e(g,g)1.3)可计算性(efficiency).对于任意的PEG1,QEG2,存在多项式时间算法,可以高效地计算e(P,Q).SM9标识密码算法使用非对称双线性群,且存在同态映射山:G2G1,使得(g)=g.1.2困难性假设以下假设均定义在双线性群(N,G1,G2,GT,e)上,设g,g 分别是Gi,G的生成元(关于假设2,3,4的详细内容可参见文献2 1).假设 1.ADBDH(asymmetric decision bilinearDiffie-Hellman)假设:对于随机选择的 a,b,c EZ和ZEGr,给定元组(g,ag,cg,g ,a g ,b g,Z),判断Z 是否

17、等于e(g,g)a b e 是困难的.假设 2.t-BCA1(bilinear collision attack)假设:对于正整数t和随机选择的EZ,给定元组(g.g.ag,ho.(h1h.+ag)是随机选取),计算e(g,g )a l(h o+)是困难的.假设 3.DBIDH(d e c is io n b ilin e a r in v e r s io nDiffie-Hellman)假设:对于随机选择的a,b EZ和ZEGT,给定元组(g,g ,a g,b g,Z),判断Z是否等于e(g,g )/b 是困难的.假设4.Gap-t-BCA1假设:对于正整数和9701中h;EZ(iE(1,

18、2,t)且是随机选取)和1个可以解决1个给定DBIDH问题的DBIDH谕言机,计算e(g,g )a(h o+a)是困难的.1.3标识广播加密IBBE方案可以用算法元组(Setup,K e y G e n,Encrypt,Decrypt)描述,方案需引人密钥生成中心(keygeneration center,K G C).由于本文方案采用混合加密方案,所以数据封装机制(data en-capsulation mechanism,D EM)可以选用 ISO/IEC18033-2中的DEM2或DEM3等方案,本文只进行简要描述,不重点讨论.(Setup,K e y G e n,En-crypt,De

19、crypt)的具体细节描述如下:1)Se t u p(1).算法由KGC执行.以系统安全参数入为输人,输出系统主公钥mpk和主私钥msk.mpk作为主公钥,其整体或部分均可以隐性地作为其他算法的输人参数.2)K e y G e n(m s k,I D).算法由KGC执行.以msk和接收者标识ID为输入,输出接收者标识ID所对应的私钥skID.3)En c r y p t(S,M).算法由加密者执行.以接收者标识集合S=(I D 1,I D 2,,I D)和明文消息M为输入.首先生成封装密文C和对称密钥K.加密方以K作为加密算法DEM.Enc的密钥生成密文CM,广播(C,CM).4)D e c

20、r y p t(C,C M,s k I D).算法由解密者执行.输人C,CM以及对应的skID.如果解密成功输出K,否则输出错误符号工.如果输出的是K,接收者可以利用K和DEM的解密算DEM.Dec解密CM.IBBE方案的正确性要求:对于任意的(mpk,,(h 2h2+一msk)-Setup(1),sk ID-KeyGen(msk,ID),(C,K)Encrypt(S).当 ID E S 时,Decrypt(C,skID)=K.1.4安全模型本节所述的安全模型主要针对密钥封装机制(key encapsulation mechanism,KEM).1.4.1IND-nID-CCA2不可区分性安全

21、模型初始化:攻击者A给出欲攻击的接收者标识集合S*的大小s.学术论文.ResearchPapers系统建立:挑战者C运行Setup算法,然后,发送mpk给攻击者A并秘密保存msk.询问1:攻击者A适应性地向挑战者C询问以下问题.私钥询问:输入ID,挑战者C运行KeyGen算法返回skID给攻击者A.解密询问:输入ID和C,挑战者C运行Key-Gen算法获得sk ID,而后运行Decrypt算法返回解密结果给攻击者A.挑战:攻击者A确定询问1结束后,任意选择欲攻击的接收者标识集合 S*,要求|S*=s,且攻击者A没有在询问1阶段中对标识IDES*进行私钥询问.挑战者C利用Encrypt算法生成挑

22、战密文C*和对称密钥K,同时挑战者C从密钥空间中随机另选1个密钥K,选择1个比特E(0,1),设K,=K,所选随机密钥为K1-,最后将(C*,Ko,K1)发送给攻击者A.询问2:与询问1类似,但私钥询问和解密询问不得涉及挑战阶段中的IDES*和C*.猜测:攻击者A输出对的猜测.定义攻击者A的优势为AduNca2(a)=12PrLa=J-1l.(1)在模型的初始化阶段若需指定具体欲攻击的接收者标识集合,则为选择身份安全模型,记作IND-sID-CCA2.若无初始化阶段,则为完全安全模型,记作IND-ID-CCA2.若在询问2 阶段无解密询问,则为选择密文模型,记作IND-nID-CCA1.若在询

23、问1,2 阶段均无解密询问,则为选择明文模型,记作IND-nID-CPA.匿名性安全模型的相关概念与上述类似,后续不再赘述.1.4.2ANO-ID-CCA2匿名性安全模型系统建立:与IND-nID-CCA2安全模型类似.询问1:与IND-nID-CCA2安全模型类似.挑战:攻击者A确定询问1结束后,任意选择欲攻击的接收者标识集合S。和S1给挑战者C.要求|S。=Sil,且攻击者A没有以IDE(S。US1一S。n Si)在询问1中发起过私钥询问.然后,挑战者C随机选择1个比特E(0,1),利用S和Encrypt算法返回挑战密文C*给攻击者A.询问2:与询问1类似,但不得对 IDE(S。US1-S

24、。n Si)进行私钥询问和以IDE(S。U S1一S。n Si)对挑战密文C*进行解密询问.猜测:攻击者A输出对的猜测.定义攻击者A的优势为AdAMcA2(a)=|2Pr La=11.(2)2具具体方案本节所使用的符号借鉴于国密SM9标准文档.对于数据类型间的转换,可以按照国家标准GB/T38635.12020中7.2 节给出的方法进行.设1个强一次性签名方案为Z=(G e n,Si g,Ve r).具体方案如下:1)Se t u p(1).首先,生成双线性群(N,G i,G2,GT,e),随机选择生成元gEG1,gEG2随机选择,EZ,计算g1=g,g2=g,g3=e(g2,g).选择哈希函

25、数 H1:(0,1)*G2,H2:Gr0,1),H3:(0,1)*Z 和用1B表示的加密私钥生成函数识别符hid.选择密钥派生函数KDF:(0,l)*klen,其中klen是封装的对称密钥的长度.设置主公钥mpk=(G1,G2,GT,e,g,g1,g2,g3,g,Hi,H2,Hs,hid,KDF),主密钥msk=(,).2)K e y G e n(m s k,I D).首先,计算 sk=Hi(I D).而后,在有限域F上计算ti=H:(I Dhid,N)十,若ti=O,则重新生成msk,计算和公开mpk,并更新已有接收者的解密私钥,否则计算t2=ti,计算接收者的解密私钥sklD=t2g.输出

26、ID对应的私钥skID=(s k p,s k l D).3)En c r y p t(S,M).首先,生成1个签名密钥对(suk,s s k)G e n(1).然后,随机选择 rEZ,计算 T=rg.对于每个 IDES,计算ci=H(e(g 1,Hi(ID).随机选择rEZ,令q=H(I D lhid,N)g+g2,计算 clD=rq.设C,=(clD,clD,)II(ciD2clD,).(c i D,,c l D,),计算=g3,生成密文C=(s u k,T,C i,o),其中=Sig(s s k,T llCi).最后,计算 K=KDF(Cllw,klen),如果 K 为全0 比特串,则重新

27、计算.以K作为对称密钥加密明文得到密文CM=DEM.Enc(K,M).4)D e c r y p t(C,C m,s k i D).首先,解析C=(suk,T,Ci,),验证Ver(suk,TllCi,o)=1是否成立.若不成立,则返回工,否则计算c%=H2(e(T,sk).如果c%c,(jE(1,2,s),则返回工,否则对于c=cip,最小的j,计算w=e(clD,,网址http:/ 卷第10 期2 0 2 3年10 月Journalof Informatien Security ResearchVol.9No.10Oct.2023sklD),K=KDF(C llw ,k le n).最后,

28、解密得到M=DEM.Dec(K,CM).3安安全性分析对于本文所设计方案,首先可以明确的是方案中的c%和clD部分相对独立.c%中不包含r,对解密clp没有帮助,clD及其解密结果w中不包含r,对判断身份也没有帮助.因此,以下分析中对c%和clD的分析仍然是相对独立的.避免了文献16 的方案中cl的解密结果会使得合法接收者的身份暴露、从而失去内部匿名性的问题.3.1IND-nID-CCA2 安全性分析定理1.如果H3,K D F是随机谕言机,Gap-t-BCA1假设成立,那么本文所构造的基于国密SM9的匿名IBBE方案是IND-nID-CCA2安全的.证明.设攻击者A欲攻击的接收者标识集合为S

29、*且1S*=s.首先给出2 个游戏,并证明Gameo和Gamei在计算上无法区分.Gameo:按照IND-nID-CCA2安全模型进行.Gamei:与Gameo相同,但是挑战者在挑战阶段后拒绝所有对含有相同验证密钥suk*的(ID,C)解密询问.引理1.如果签名方案Z是一个强一次性签名方案,那么Gameo和Gamei在计算上无法区分.证明.定义事件F为攻击者A对(ID,C=(s u k,T,C i,o))进行合法解密询问,其中Ver(s u k,TlCi,o)=1 且 suk=suk*,(TCi),o)(T*C*),o*).如果事件F发生,则易构造1个多项式时间算法C为挑战者,其可以利用攻击者

30、A破坏底层的签名方案Z.系统建立:对挑战者C给定1个验证密钥suk*,然后运行Setup算法生成(mpk,m s k).而后,将mpk返回给A,秘密保存msk.询问1:攻击者A可以适应性地发出私钥询问和解密询问.挑战者C利用msk进行回复.挑战:攻击者A向挑战者C给出合乎要求的S*.挑战者C运行Encrypt算法,获得(T*,C*),而后通过1个签名谕言机获得。*,生成C*=(suk*,T*,C*,o*)和K*.最后,返回(C*,Ko,Ki)给攻击者A.询问2:攻击者A继续适应性地发起如下询问.9721私钥询问:与询问1阶段类似,但所询问的IDS*.解密询问:与询问1阶段类似,对(ID,C)进

31、行解密询问,但不得以IDES*对挑战密文C*进行解密询问.挑战者C将密文C解析为(suk,T,Ci,o),如果 Ver(suk,TllCi,o)=l,suk=sk*且(T I C i),)(T*C*),o*),则挑战者C认为(T Ci),o)是伪造的并拒绝回复.猜测:攻击者A输出1个猜测E(0,1).可以观察到,当事件F不发生时,Gamei和Gameo 是相同的.如果事件F以一个不可忽略的概率发生,那么挑战者C就可以以一个不可忽略的优势对有效签名进行伪造.由于签名方案是一个强一次性签名方案,因此事件F发生的概率可以忽略.因此,Gameo和Gamei在计算上是无法区分的.证毕.由于Gameo和G

32、amei在计算上无法区分,所以关于加密方案的安全性分析,即定理1的证明在Gamei上进行.如果存在1个攻击者A能够以一个不可忽略的优势e(a)取得IND-nID-CCA2安全模型的胜利,攻击期间进行了q1十1次H:询问、q2次KDF询问、qD次解密询问.那么,易构造1个多项式时间算法C作为挑战者,其可以利用攻击者A解决Gap-t-BCA1问题.给定1个Gap-t-BCA1问题实例(g,g,g,g)(其中h;EZ(iE(1,2,q1)且是随机选取)和1个DBIDH谕言机.系统建立:挑战者C生成主公钥mpk=(G 1,G2,Gr,e,g,g1,g,e(rg,g),g,Hi,H2,H3,hid,KD

33、F),主私钥msk=(,),将mpk返回给A,秘密保存msk.随机谕言机H:和KDF由挑战者C控制.挑战者C随机选择s个互不相同的I;(1I,.ResearchPapers战者C从Gap-t-BCA1问题实例随机选择未被选择过的h;(i 0),将(ID1,,h i,l)加人H3.list,回复hi.如果不是第I;个,则挑战者C从Gap-tBCA1问题实例随机选择未被选择过的h;(i0),将(ID.,h h,+g)加人 H.list,回复 h.KDF询问:输人(C,w),挑战者C维护1个列表KDF.list=(C,w,K)),当攻击者A以(C;,W,)发起询问时,挑战者C按如下方式回复.如果KD

34、F.list中存在(Ci,w i,K,),则挑战者C回复K,.否则,首先解析C;=(s u k;,T;,C1.i,6;)并验证.如果Ver(suk;,T;llCi.i,o;)=0,挑战者C在对称密钥空间中随机选择K;,将(Ci,w i,K,)加人KDF.list,回复K.如果Ver(suk;,T;llC1.i,o;)=1,则密文合法,所以密文C.对应1个挑战者C已知的接收者标识集合S.对于S;中的每个标识,挑战者C在H3.list中查找,如果不存在,则发起H:询问,得到对应的sklp.如果sklp=工,则查找下一个标识.如果S;中所有的标识对应的sklp均为工,任取S;中的1个标识,分别在C;

35、中找到对应的clD、在H3.list找到对应的h,构造(ag,g ,(h 十)g,c l D,w;)向DBIDH谕言机发起询问.如果DBIDH谕言机返回1,则查看Dec.list(见后文)中是否存在(Ci,K,),如果存在,则挑战者C将(Ci,w i,K,)加人KDF.list,并回复K,.如果不存在,则挑战者C在对称密钥空间中随机选择K;,将(Ci,w i,K,)加人KDF.list,将(Ci,K,)加人Dec.list,回复K,.若DBIDH谕言机返回O,则挑战者C在对称密钥空间中随机选择K;,将(C;,K,)加人Dec.list,回复Ki.如果存在sklD工,则挑战者C在对称密钥空间中随

36、机选择K,将(Ci,w i,K,)加KDF.list,回复K.询问1:攻击者A适应性地发起如下询问.私钥询问:当攻击者A以ID;发起询问时,挑战者C在H3.list中查找,如果不存在,则发起H:询问,得到对应的sklD;.如果sklD;工,则回复sklD否则,挑战者C中止游戏(事件E1).解密询问:挑战者C维护1个列表Dec.list=(C,K),当攻击者A以(ID,C)发起询问时,挑战者C按如下方式回复.首先解析C,=(s u k;,T;,C1,i,o;)并验证.如果Ver(s k;,T;llC 1.i,o;)=O,则挑战者C回复工.如果Ver(suk;,T;l l C1.i,o,)=1,则

37、密文合法,所以密文C;对应1个挑战者C已知的接收者标识集合S.如果ID;S;,挑战者C回复工.如果ID;ES;,对于 S;中的每个标识,挑战者 C在H3.list中查找,如果不存在,则发起H:询问,得到对应的sklD.如果sklD=工,则查找下一个标识.如果存在 sklD工,则在C,中找到其对应的clD,计算w;=e(c l D,s k l D),然后构造对应的(C;,w,)发起KDF询问,挑战者C回复K;如果S;中所有的标识对应的sklp均为工,如果Dec.list中存在(C;,K,),挑战者C回复K.如果Dec.list中不存在,挑战者C在对称密钥空间中随机选择K;,将(Ci,K,)加人D

38、ec.list,回复K.挑战:攻击者A向挑战者C给出合乎要求的S*.首先,挑战者C运行Gen(1)生成(suk*,ssk*).如果攻击者A对于每个IDES*没有发起过H:询问,挑战者C进行询问.如果存在IDES*对应的sklD工,挑战者C中止游戏(事件E2).否则,挑战者C随机选择EZ,对于S*中的ID=IDl,计算相应的clDi,=yg,通过解密可得到对应的W,挑战者C生成S*中其他标识对应的可以计算出的clD.再生成T*,计算所有标识对应的ciD,组成Ci,i,运行Sig(s s k*,T*Il Ci,)生成。*,得到C*=(s k*,T*C i,i,o*).如果在询问1阶段对(IDES*

39、,C*)进行过解密询问,则重新选择y.询问2:首先解析C,=(s u k;,T;,C1.i o;),如果suk;=s u k*,挑战者C回复工.后续操作与询问1阶段类似,其中中止游戏的事件已经包含安全模型对询问2 的限制。猜测:攻击者A输出1个猜测E0,1).一旦攻击者A输出其猜测,挑战者C按如下方式回答 Gap-t-BCA1 问题.对于KDF.list中的每个(C*,w j,K,),挑战者 C构造(g,g,(h。十)g,yg,w;)发起 DBIDH询问.如果DBIDH谕言机返回1,则挑战者C回复wj/%.如果在KDF.list中没有找到,挑战者C挑战失败(事件E3).网址http:/1973

40、信息安全研究第9 卷第10 期2 0 2 3年10 月Journalof Informatien Security ResearchVol.9No.10Oct.2023因为KDF是随机谕言机,容易观察出,PrLu=E3-号:因此PrL=PrL=|E3PrE3+PrL=|E3PrE3(c,c 1B,)lH询问:挑战者C维护1个列表H2.list=.I(cD,clb,).令c=(ciD,clD,)=(H2(e(g1,((X,).输人X,当X,存在于H2.list中时,返Hi(ID,))),c l D,)是与标识ID,相关的挑战密文回,否则随机选择 0,1),更新H2.list.挑战部分.者C将 返

41、回给攻击者A.Game1:与Gameo相同,但是挑战者在挑战阶挑战者C维护1个列表List=(C,K),每段后拒绝所有对含有相同验证密钥suk*的(ID,当挑战者C生成密文C时,同时生成对称密钥K,C)的解密询问.并以此更新List列表.Game2:c被替换为(R,clD.),其中R(0,询问1:攻击者A适应性地发起如下询问.1)”且随机.私钥询问:输入ID,挑战者C首先对标识IDGame3:c 被替换为(R,clD.).进行H1询问,并得到元组(ID,Q,q,).如果=Game4:c 被替换为(H2(e(g1,Hi(ID.),1,挑战者C中止游戏,否则挑战者C计算sk%=clD。),即此时c

42、是在ID。上加密产生的.qg1.然后计算得到sklD.挑战者C返回skID=Game:与Game4 相同,但挑战者在挑战阶段(skiD,s k l D)给攻击者A.后不拒绝对(ID,C)的解密询问,其中C包含相同解密询问:输入(ID,C),挑战者C将密文C9741的验证密钥suk*.此时,C*是在S1上加密产生的.下文利用几个引理,证明上文所述的游戏相邻之间在计算上无法区分.通过游戏间传递性,可得Gameo和Games在计算上无法区分.Gameo中((1一PrE3,的C*是在S。上加密产生,Games中的C*是在S1上加密产生的.根据ANO-ID-CCA2安全模型,可知基于国密SM9的匿名IB

43、BE方案是ANO-ID-CCA2安全的.引理2.如果签名方案是一个强一次性签名方案,那么Gameo和Gamel在计算上无法区分.与引理1证明类似.引理3.如果ADBDH假设成立,那么Gamei和Game2在计算上无法区分.证明.如果存在1个攻击者A能够以一个不可忽略的优势区分Gamei和Game2.那么,易构造1个多项式时间算法C作为挑战者,其可以利用学术论文.ResearchPapers解析为(suk,T,Ci,o),其中Ci=(c i D,,c l D,)l(ciD?cl D,)I.(ciD,clD,).如果Ver(suk,T ICi,c)=0,挑战者C输出工,否则C对ID进行H1查询以获

44、得元组(ID,Q,q,).当=1时,挑战者C计算sklD.对于每个clD,(jE(1,2,s)依次计算wj,K,=KDF(Cllj,klen),并与List 列表对比,直至找到正确的对称密钥返回给攻击者A,否则输出工.当=0 时,挑战者C计算sk=qg1,计算sklD.而后,对e(T,s k)进行H询问,获得ci=H2(e(T,sk).如果ciDciD,(jE(1,2,s),返回工,否则对于最小的i使得c%=ciD,计算 w,K=KDF(Cllw,klen).挑战者 C返回对称密钥K给攻击者A.挑战:攻击者A向挑战者C给出2 个不同的接收者标识集合So,S1,攻击者A没有在询问1阶段对接收者标

45、识IDE(I D,I D.)进行私钥询问.挑战者C首先运行Gen(1)算法生成(suk*,ssk*)并设置T*=cg.然后,C对ID,进行H1查询,获得元组(IDQ,q,).如果=0,则挑战者C中止游戏,否则挑战者C计算X,=Z%.挑战者C对所有 ID;ES。/I D,进行Hi查询,获得相应的元组(ID;,Q;,q i,,).如果存在,=1,挑战者C中止游戏,否则随机选择rEZ,计算X=(e(arg,g)le(rg-cg,ag)i.由于X)=(e(arg,g)/e(rg-cg,ag)i=(e(arg,g)/le(rc)g,ag)i=(e(arg,g)/e(ar一ac)g,g)i=(e(acg(

46、ar-ac)g,g)/e(ar-ac)g,g)i=(e(acg,g)e(ar-ac)g,g)/e(ar-ac)g,g)i=(e(acg,g)i=e(ag,qig),所以,X满足c中e(g1,Hi(ID)的结构.同时,对于所有的 ID;ES。,挑战者C对 X进行H询问,获得c,=H(X).接下来,对于所有的ID;ES。,挑战者C计算(clD,,w*).令C=(cD,cD,)I(cD,c1D,)I.I(cD,clD,).计算对称密钥K*=KDF(C*l*I ls u k*,k le n).最后,挑战者C运行Sig(s s k*,T*C*)生成。*,并将C*=(ssk*,T*,Ci,o*)返回给攻击

47、者 A.询问2:攻击者A继续适应性地发起如下询问.私钥询问:与询问1阶段类似,但所询问的ID&(ID.,ID.).解密询问:对(ID,C)进行解密询问,但不能以IDE(I D,I D 对挑战密文C*进行解密询问.挑战者 C解析 C=(s u k,T,C1,o).如果 suk=suk*挑战者C输出工,否则挑战者C按照询问1阶段回复攻击者A.猜测:攻击者A输出1个猜测E(0,1).容易观察出,当Z=e(g,g )a b c 时,是对 Gamel适当的模拟,否则是对Game2适当的模拟.因此,如果攻击者A能够以一个不可忽视的优势区分Gamei 和Game2,那么挑战者C也能以一个不可忽视的优势解决A

48、DBDH问题,违背了ADBDH假设.因此,Gamei和Game2在计算上无法区分.证毕.引理4.如果Gap-t-BCA1假设成立,那么Game2和Game3是在计算上无法区分的.证明.如果存在1个攻击者A能够以一个不可忽略的优势(入)区分Game2和Game3,攻击期间进行了Q1+1次H:询问、q2次KDF询问、qD次解密询问.那么,容易构造1个多项式时间算法C作为挑战者,其可以利用攻击者 A解决 Gap-tBCA1问题.给定2 个Gap-T-BCA1问题实例:(g,g,ag ho,(h1hi+ag)(hq1(h2,h2+(iE(1,2,q1)且是随机选取)和1个DBIDH谕言机系统建立:与定

49、理1证明类似.但挑战者C随机选择互不相同的I和I2(1 I,O),将(IDi,h i,h,+g)加人H.list,回复 hi.KDF询问:与定理1证明类似.询问1:与定理1证明类似。挑战:攻击者A向挑战者C给出2 个不同的接收者标识集合S。S1,攻击者A没有在询问1阶段对接收者标识IDE(I D,I D.)进行私钥询问.首先,挑战者C运行Gen(1)生成(suk*,s s k*).如果攻击者A对于IDE(I D,I D 没有发起过H:询问,则挑战者C进行询问.如果存在IDE(ID,ID.)对应的sklD工,挑战者C中止游戏(事件E2).否则,挑战者C随机选择S*=S,(E(0,1),随机选择E

50、Z,对于S*中的ID,=ID1;,计算相应的clt,=y g,通过解密可得其对应的W,挑战者C生成S*中其他标识对应的可以计算出的clD.再生成T*,设置ciDt,=R,计算其他所有标识对应的cD;,组成Ci.i,运行Sig(s s k*,T*llCi.,)生成。*,得到C*=(s u k*,T*,Ci.i,*).如果在询问1阶段对(IDE(I D,I D。,C*)进行过解密询问,则重新选择y.询问2:与定理1证明类似.猜测:攻击者A输出1个猜测E(0,1).一旦攻击者A输出其猜测,挑战者C按如下方式回答 Gap-t-BCA1问题.对于KDF.list中的每个(C*,j,K,):如果C*是在S

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 学术论文 > 论文指导/设计

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服