一个通用可组合的多会话不经意传输协议框架.pdf

资源描述

1、H J S F X Y X B1一一个通用可组合的多会话不经意传输协议框架景建笃(汉江师范学院数学与计算机科学学院,湖北十堰 4 4 2 0 0 0)摘要P e i k e r t等提出的通用可组合的不经意传输协议要求不同的协议实例使用不同的公共参考串,采用C a n e t t i的J U C技术虽然能够一定程度地解决这个问题,但是公共参考串的长度会随着协议实例的增加而线性增长.基于P e i k e r t的双模加密技术,提出了一个多重会话重复使用公共参考串的通用可组合安全的不经意传输协议框架,并给出了基于D DH和D L安全性假设的协议框架的具体实现.关键词不经意传输;通用可组合

2、安全;公共参考串;S i g m a协议 d o i1 0.1 9 5 7 5/j.c n k i.c n 4 2-1 8 9 2/g 4.2 0 2 3.0 3.0 0 1 中图分类号TN 9 1 8.1 文献标识码A 文章编号2 0 9 63 7 3 4(2 0 2 3)0 30 0 0 10 8 R a b i n1提出的不经意传输(O b l i v i o u st r a n s f e r,O T)协议作为一个基本的密码学原语被广泛使用于两方或多方安全计算协议2,3这种较复杂的密码学协议的构造中.K i l i a n4已证明不经意传输协议是完备的,这意味着给定一个计算不经意传输

3、协议的黑盒,我们能够安全地计算任何函数.一个O T协议,有两个参与者,分别是发送者和接收者.一般地,发送者拥有消息m0和m1,而接收者拥有0,1.协议运行结束后,接收者收到消息m,但不知道m1-,而发送者不知道.这样的O T协议称作O T21(即,2选1).另外,根据发送者持有的消息数和接收者一次获取的消息数不同,还有Z e n g等在文献5中讨论的O Tn1和O Tnh.基于计算复杂性的密码学理论在证明协议安全时所采用的标准方法是源自于G o l d w a s s e r的零知识证明6思想的i d e a l/r e a l模型.在这种模型中,把现实中敌手的攻击归约到有可信第三方参与的理想

4、世界,判断理想世界参与者的输出是否和现实世界参与者的输出计算不可区分.这种定义在有的文献7中被称作全仿真安全.C a n e t t i在文献8中提出了通用可组合的安全框架(U n i v e r s a l l y C o m p o s a b l e,U C).U C框架是一种对安全性要求更高的定义,满足U C安全的协议在和任意的协议并发组合运行时都能保证安全性.C a n e t t i已经证明9,在p l a i n模型下,即不存在初始可信的S e t u p时,不能实现任何理想函数的U C安全协议.U C框架下使用的可信的S e t u p主要有,公共参考串(C

5、o mm o nR e f e r e n c eS t r i n g,C R S),密钥注册1 0和防篡改硬件1 1等.O T协议提出后,由于其重要性,吸引了众多学者的注意.N a o r和P i n k a s1 2使用S C S实现了O T21,C h u和T z e n g1 3使用D D H假设实现了O Tnh,这两个实现都只是半仿真安全7.C a m e n i s c h等1 4使用y-P o w e rD D H和q-S t r o n gD H的实现适应性的O T协议,G r e e n和H o h e n b e r g e r1 5基于D B D H实现了O T21,L

6、 i n d e l l7基于D D H高效地实现了O T21,O s t r o v s k y在文献1 6中提出的黑盒轮最优的机制实现了O T21,他们的实现是全仿真安全.U C安全的不经意传输协议最早的实现是P e i k e r t等人1 7在C R Y P T O2 0 0 8提中出的基于双模加密的两轮协议.在协议的安全证明中,仿真器要根据被攻陷者的2 0 2 3年6月汉江师范学院学报J u n.2 0 2 3第4 3卷第3期J o u r n a l o fH a n j i a n gN o r m a lU n i v e r s i t yV o l.4 3 N o.3 收稿

7、日期2 0 2 2-1 1-2 0 基金项目湖北省教育厅科学技术研究计划指导性项目“通用可组合安全的不经意传输机制研究”(项目编号:B 2 0 1 8 2 1 0)资助.作者简介景建笃(1 9 7 4-),男,山西芮城人,汉江师范学院数学与计算机科学学院硕士,副教授,主要从事计算复杂性密码学、安全协议的可组合理论研究.H J S F X Y X B2不同来选择不同的C R S,显然这意味着不同的协议实例使用不同的C R S,当大量的实例并发运行时,为不同的实例选择C R S是一笔不小的开销.也就是说P e i k e r t协议只是实现了理想函数FO T.虽然采用C

8、a n e t t i的J U C技术1 8虽然能够一定程度地解决这个问题,但是公共参考串的长度会随着协议实例的增加而线性增长.G a r a y等人1 9采用投币产生C R S的方式解决了P e i k e r t机制中共享C R S的问题,但他们的协议需要五轮.本文仍然是在P e i k e r t论文的基础上,使用双模加密技术,提出了一个U C安全的四轮O T协议实现理想函数FMO T.主要思想是,扩展P e i k e r t的C R S,我们机制中的C R S由两部分组成,这实际上就是给仿真器提供了发送者被攻陷和接收者被攻陷都时能完成仿真所需的陷门.1 基础知识首先说明文章中的符号

9、表示及其含义.N表示自然数集合;表示选取的安全参数;c表示计算不可区分;s表示统计不可区分;xS表示从S中均匀随机地选取x;对于一个概率算法A,yA(x)表示以r为随机数,x为输入,运行A(x,r)得到输出y.C R S的理想函数表示为FC R S.1.1 U C安全框架 U C框架本质上是一种协议安全性的定义,将挑战协议置于和任意其他协议并发运行的环境中来研究挑战协议的安全性,如果挑战协议被证明是U C安全的,那么挑战协议可以和任意的协议进行组合都达到同样的安全,也就是挑战协议的安全性不再依赖于它的运行环境.在U C框架中,首先要定义一个协议的“理想函数”,然后证明运行在一个给定环境下的这个

10、协议的一个具体实现安全地实现这个理想函数.现实协议的运行涉及的基本实体有:n个协议的参与者P1,Pn,一个敌手A和一个环境Z.在给定敌手A和环境Z的情况下,一个协议的现实运行就是这些实体的活动序列.这里,环境Z首先被激活,给其他的参与者产生特定的输入,然后通过敌手A和参与者及环境Z之间交换消息协议继续运行.最后,环境输Z出一个b i t,这是协议的输出.理想协议是一个分布式算法,它涉及的基本实体有:n个协议的参与者P1,Pn,一个敌手S和一个环境Z,还有一个另外的实体,即理想函数F.本质上,理想函数F是一个不能被攻陷的可信第三方,我们可以对它进行编程以执行给定任务的功能.理想协议中的参与者之间

11、不相互通信,因此被称为哑参与者,这些哑参与者仅仅秘密地提供各自的输入给可信方和秘密地从可信方出得到各自的输出.敌手S仅被允许和理想函数F交互,不和任何参与者交互.和现实协议一样,环境Z也输出一个b i t,它是理想协议的输出.这里R E A L,A,Z(x)表示环境Z、敌手A和现实协议在输入x交互后环境Z输出的随机变量,I D E A LF,A,Z(x)表示环境Z、敌手S和理想函数F代表的协议在输入x交互后环境Z出的随机变量.总体R E A L,A,Z(x)x 0,1*表示为R E A L,A,Z,I D E A LF,A,Zx0,1*表示为I D E A LF,A,Z.U C安全定义:设和F

12、是两个P P T协议.如果有ASZI D E A LF,S,ZcR E A L,A,Z(1)成立,则说U C-e m u l a t e sF.其中,所有的A、S和Z都要求是概率多项式时间的算法.文章中要实现的是一个多会话的O T的理想函数,即现实协议在运行时多个实例可以并发进行,且不是子例程不相关的,即多个实例共用一个C R S.图1给出的是多会话O T理想函数FMO T.其中FMO T发送私有延迟输出(r e c e i v e,s i d,s s i d,Pi,Pj,mb)给S是指,FMO T先发送消息(r e c e i v e,s i d,s s i d,Pi,Pj)给敌手S,在得到

13、敌手的确认消息后,再把(r e c e i v e,s i d,s s i d,Pi,Pj,mb)发送给接收者Pj.图1多会话O T理想函数景建笃:一个通用可组合的多会话不经意传输协议框架H J S F X Y X B31.2 两个语句或合成的S i g m a协议对于一个二元关系R,有R0,1*0,1*,可以定义一个语言集合LR=x|(x,w)R.这里可以把x看作一些计算问题的实例,又称作语句,w是问题的解,称w为xLR的证据.另外,若证明者和验证者拥有公共输入(x0,x1),证明者想要给验证者证明他知道证据w,满足(x0,w)R或者(x1,w)R,这种证明要求是两个语

14、句的或合成.S i g m a协议2 0是一个3轮诚实验证者零知识协议,即HV Z K.这3轮分别是证明者的承诺、验证者的挑战和证明者的响应,用元组(a,e,z)表示.一个S i g m a协议必须满足的三个属性是:完备性、特别正确性和特别诚实验证者零知识属性(s HV Z K).把一个S i g m a协议转换为一个Z K协议的方法是,验证者首先发送对挑战的承诺,然后在协议的第三轮验证者打开承诺.对于语句的或合成的证明可以使用S i g m a协议来构造,构造后的证明也是一个S i g m a协议.设(P,V)是一个S i g m a协议,S是仿真器.(PO R,VO R)是或合成

15、语句的S i g m a协议,SO R是该协议的仿真器,下面是其抽象的过程.证明者PO R选取随机数r和e1,计算a0P(x0,r),(a1,z1)S(x1,e1),发送(a0,a1)给验证者VO R;VO R选取随机的挑战e发送给PO R;PO R计算e0=ee1,z0P(x0,r,e0),发送响应(e0,z0,e1,z1)给VO R;VO R验证e=?e0e1,V(a0,e0,z0)=?1,V(a1,e1,z1)=?1,如果都成立,则接受,否则拒绝.1.3 可歧义的承诺机制 C h o i在文献2 1中定义的可歧义承诺如下.定义1 设(Kc o m,c o m)是一个使用C R S的

16、非交互的承诺机制,Kc o m是C R S的产生算法,c o m是承诺算法.如果存在一个P P T算法元组(Sc o m1,Sc o m2,Sc o m3)满足下列属性,那么我们说这个承诺机制是可歧义的承诺机制.计算绑定性设M和R是承诺机制隐含定义的消息空间和随机空间,对于N和所有非均匀的多项式时间的敌手A,下列概率是可忽略的.P rc r sKc o m(1);(m,m,r,r)A(c r s):mma n dC o m(c r s;m,r)=C o m(c r s;m,r)模式的不可区分性 c r sKc o m(1):c r sN cc r sSc o m1(1):c r sN(2)歧

17、义性对于N,(c r s,t)S u p p o r t(Sc o m1(1)和所有的敌手A,下面两个总体的分布相等.mA(c r s);rR;c=C o m(c r s;m,r):(m,r,c)(3)mA(c r s);(c,s)=Sc o m2(t);rSc o m3(s,m):(m,r,c)(4)1.4 双模加密系统 P e i k e r t在文献1 7中引入了一个双模加密系统(D u a l-M o d e).该系统使用一个由可信第三方产生的系统参数来初始化,这个系统参数也叫做c r s.对于任何被选定的参数,该系统可被初始化成两种模式之一:混杂模式(m e s s y)和解密模式(

18、d e c r y p t i o n).对于任一种模式,密钥产生算法有一个称作可解密分支的输入参数0,1,当加密一个消息时,加密算法同样要指定一个消息加密分支b0,1.只有当b=时,被加密的消息才能用对应的私钥解密.在混杂模式下,当b时,在分支b上对消息进行加密将是不可解密的,即丢失被加密的消息,这种情况称作混杂.在知道c r s陷门的情况下,对于混杂模式下产生的任何公钥,很容易计算出其混杂分支.在解密模式下,给定c r s的陷门,我们可以产生(p k,s k0,s k1),则任何加密分支的消息都可以解密.D u a l-Mo d e双模加密系统包含下列六个概率算法,0,1l是双模加密系统的

19、景建笃:一个通用可组合的多会话不经意传输协议框架H J S F X Y X B4消息空间.S e t u p(1n,):n是安全参数,0,1是初始化的模式,算法的输出是(c r s,t),t是陷门信息.为了表示上更清楚,S e t u p M e s s y(1n):=S e t u p(1n,0)是混杂模式的初始化算法;S e t u p D e c(1n):=S e t u p(1n,0)是解密模式的初始化算法.下面其他算法的第一个默认输入是c r s.K e y G e n():是分支,输出(p k,s k).E n c(p k,b,m):在分支b上对消

20、息m0,1l使用公钥p k进行加密,输出密文.D e c(s k,c):使用s k对密文c进行解密,输出消息m0,1l.F i n d M e s s y(t,p k):给定陷门t和公钥p k,输出公钥p k的混杂分支b0,1.T r a p K e y G e n(t):给定陷门t,输出(p k,s k0,s k1),p k是公钥,s k0和s k1分别是分支0和1的解密私钥.定义2 一个双模加密系统是满足下列属性的上述算法元组.解密分支的完备性:对于所有的0,1,(c r s,t)S e t u p(1n,),0,1,(p k,s k)K e y G e n(),m0,1l,D e

21、 c(s k,E n c(p k,m)=m.模式的不可区分性:S e t u p M e s s y(1n)cS e t u p D e c(1n).混杂模式下混杂分支的陷门可识别性:对于所有的(c r s,t)S e t u p M e s s y(1n)和所有的p k,F i n d M e s s y(t,p k)输出b0,1,满足对于任意的m0,m10,1l,E n c(p k,b,m0)sE n c(p k,b,m1).解密模式下两个分支可解密密钥的陷门可产生性:对于所有的(c r s,t)S e t u p D e c(1n),(p k,s k0,s k1)

22、T r a p K e y G e n(t),且对于每个0,1,(p k,s k)sK e y G e n().2 一个4轮OT21协议的框架 P e i k e r t的方案是一个2轮的O T21协议框架,他们实现的是单会话的理想函数FO T,当多个协议实例并发运行时,每个实例必须有各自的C R S.在P e i k e r t的方案的基础上,下面是我们提出的实现多会话理想函数FMO T的协议框架.2.1 协议框架设(Kc o m,c o m)是一个可歧义的承诺机制,(PO R,VO R)是一个或合成语句的HV Z K协议,D u a l-Mo d e是一个双模加密系统.使

23、用这些组件,在c r s模型上我们构造一个4轮的O T21协议框架.其中是Pi发送者,Pj是接收者.公共参考串:c r s0S e t u p M e s s y(1),c r s1S e t u p M e s s y(1),c r sc o mKc o m(1),则c r sO T=(c r sc o m,c r s0,c r s1).下面是我们构造的4轮O T21协议框架.参与者的输入:发送者Pi持有消息(m0,m1)0,1l,接收者Pj持有一个位0,1.R 1:作为协议的发起者,Pj做下列工作:随机选择rR0,1,计算(p k0,s k0)K e y G e n(c r s0;,r),

24、(p k1,s k1)K e y G e n(c r s1;,r);对于语言L*=(p k0,p k1):(r,)s.t.(p k0,s k0)K e y G e n(c r s0;,r),(p k1,s k1)K e y G e n(c r s1;,r),随机选择rR0,1和r R0,1,计算aPO R(p k0,p k1),r),cC o m(c r sc o m;a,r);Pj发送消息(p k0,p k1,c)给Pi;R 2:当收到消息(pk0,pk1,c)后,Pi选择e0,1,发送挑战e给Pj;R 3:Pj计算zPO R(p k0,p k1),r,e),发送(r,a,z)给Pi;R 4

25、:Pi验证VO R(p k0,p k1),e,z)=?1,且c=?C o m(c r sc o m;a;r).在两式都相等的情况下,对于b0,1,计算y0,b E n c(pk0,b,mb)和y1,bE n c(p k1,b,mb),然后发送消息(y0,0,y0,1,y1,0,y1,1)给Pj.接收者的输出:Pj计算m D e c(s k0,y0,),mD e c(s k1,y1,),如果m=m那么输出m,否则输出.定理1 设(Kc o m,c o m)是一个可歧义的承诺机制,(PO R,VO R)是一个或合成景建笃:一个通用可组合的多会话不经意传输协议框架H J S F X Y X B5语句

26、的HV Z K协议,D u a l-Mo d e是一个双模加密系统,那么针对静态敌手,在Fc r s-h y b r i d模型上协议U C安全地实现了理想函数FMO T.2.2 定理1的证明要证明定理1成立,就是证明ASZID E A LF,S,ZcR E A L,A,Z,即公式(1)成立.过程分为两步:构造仿真器S,然后证明不可区分性.2.2.1 仿真器的构造初始化假设:仿真器S产生公共参考串C R S,(c r sc o m,tc o m)Sc o m1(1),(c r s0,t0)S e t u p M e s s y(1),(c r s1,t1)S e t u p

27、 M e s s y(1),则c r sO T=(c r sc o m,c r s0,c rs1),对应的陷门是(tc o m,t0,t1).仿真敌手A和一个环境Z之间的通信.当收到来自环境Z的输入,S把这个输入写在A的输入带上(好像输入来自环境Z);当S收到来自的A输出,S把同样的输出卸载环境的输出带上(好像输出来自敌手A).C a s e:Pi和Pj都诚实时的仿真当收到来自FMO T的私有延迟输出(r e c e i v e,s i d,s s i d,Pi,Pj)时,S代表诚实的Pj计算(p k0,s k0)K e y G e n(c r s0;0,r),(p k1,s

28、k1)K e y G e n(c r s1;0,r),aPO R(pk0,pk1),r),c C o m(c r sc o m;a,r),发送消息(s i d,s s i d,p k0,p k1,c)给敌手A.仿真器S代表诚实的Pi产生随机的挑战e,发送(s i d,s s i d,e)给A.S代表诚实的Pj计算zPO R(p k0,p k1),r,e),发送(s i d,s s i d,r,a,z)给A.b0,1,计算y0,bE n c(p k0,b,0l)和y1,bE n c(p k1,b,0l),发送(s i d,s s i d,y0,0,y0,1,y1,0,y1,1)给敌手A.C a

29、s e:恶意的Pi和诚实的Pj的仿真当收到来自FMO T的(r e c e i v e,s i d,s s i d,Pi,Pj)时,S代表诚实的Pj计算(pk0,s k0)K e y G e n(c r s0;0,r),(p k1,s k1)K e y G e n(c r s1;1,r),(c,s)=Sc o m2(tc o m),发送消息(s i d,s s i d,pk0,pk1,c)给敌手A.当收到敌手A的挑战e时,S计算(a,z)SO R(p k0,p k1),e),rSc o m3(s,a),发送(s i d,s s i d,r,a,z)给A.当收到来自敌手A的消息(s

30、i d,s s i d,y0,0,y0,1,y1,0,y1,1)时,S计算m0 D e c(s k0,y0,0),m1 D e c(sk1,y1,1),发送(s e n d,s i d,s s i d,Pi,Pj,m0,m1)给FMO T,否则输出.C a s e:诚实的Pi和恶意的Pj的仿真当收到来自敌手A的消息(s i d,s s i d,pk0,pk1,c)时,计算b F i n d M e s s y(t0,pk0),发送(r e c e i v e,s i d,s s i d,Pi,Pj,1-b)给FMO T,收到来自FMO T的消息(r e c e i v e,s i d,s

31、s i d,Pi,Pj,m1-b).S代表诚实的Pi产生挑战e.当收到来自敌手A的消息(s i d,s s i d,r,a,z)时,S验证c=?C o m(c r sc o m;a;r)且VO R(p k0,p k1),e,z)=?1成立,使用m1-b和0l计算y0,bE n c(p k0,b,0l),y1,bE n c(pk1,b,0l),y0,1-b E n c(pk0,1-b,m1-b),y1,1-b E n c(pk1,1-b,m1-b),发送(s i d,s s i d,y0,0,y0,1,y1,0,y1,1)给敌手A.C a s e:恶意的Pi和恶意的Pj的仿真这种情况的仿真很简

32、单,S内部运行敌手A,最后S给环境Z输出A的所有输出.2.2.2 不可区分性下面我们来证明现实协议和理想协议之间的不可区分性.证明的过程是通过一系列渐进的混合实验完成.H y b r i d 0:在Fc r s-h y b r i d模型上的现实协议的执行R E A L,A,Z.H y b r i d 1:在这个混合实验中,仿真器S1得到诚实接收者Pj的输入b0,1,仿真器S1产生(c rs0,c r s1),保存相应的陷门信息(t0,t1).对于恶意发送者Pi诚实接收者Pj的仿真,由于仿真器S1有诚实接收者Pj的输入,这种情况和H y b r i d 0等价.对于诚实发送者Pi恶意接收者P

33、j的仿真,如上小节仿真器的构造过程中的C a s e .对于这种情况下的H y b r i d 0和H y b r i d 1的可区分性做如下判断.情况1:接收者Pj的证明被发送者Pi接受,即VO R(p k0,p k1),e,z)=1,c=C o m(c r sc o m;a;r),仿真器抽取到恶意接收者Pj的输入值b,但是(p k0,s k0)K e y G e n(c r s0;b,r),(pk1,sk1)K e y G e n(c r s1;1-b,r).由于(PO R,景建笃:一个通用可组合的多会话不经意传输协议框架H J S F X Y X

34、 B6VO R)的正确性,这种情况产生的概率是可忽略的.情况2:和情况1一样,除了接收者Pj诚实产生(pk0,s k0)K e y G e n(c r s0;b,r),(pk1,s k1)K e y G e n(c r s1;b,r).这种情况下H y b r i d 0和H y b r i d 1的区别在于,H y b r i d 0中计算y0,1-b E n c(pk0,1-b,m1-b)和y1,1-b=E n c(pk1,1-b,m1-b),而H y b r i d 1中计算y0,1-bE n c(p k0,1-b,0l)和y1,1-bE n c(p k1,1-b,0l).根据双

35、模加密系统的定义E n c(p k,b,m0)sE n c(p k,b,m1),对于这种情况,H y b r i d 0和H y b r i d 1统计不可区分.情况3:VO R(p k0,p k1),e,z)1.这种情况下,发送者Pi在H y b r i d 0和H y b r i d 1都输出中止,因此H y b r i d 0和H y b r i d 1的分布相等.综上所述,H y b r i d 0和H y b r i d 1统计不可区分.H y b r i d 2:在C R S的仿真上,除了和H y b r i d 1一样产生(c r s0,c r s1

36、)外,H y b r i d 2中,仿真器S2使用可歧义承诺的Sc o m1计算c r sc o m,即(c r sc o m,tc o m)Sc o m1(1).对于恶意发送者Pi诚实接收者Pj的仿真和诚实发送者Pi恶意接收者Pj的仿真和H y b r i d 1一样,又由于可歧义承诺的模式不可区分性,即公式(2),所以可得H y b r i d 1和H y b r i d 2计算不可区分.H y b r i d 3:在C R S的仿真上,和H y b r i d 2完全一样.对于恶意发送者Pi诚实接收者Pj,和H y b r i d 2不一样的是,在H y b r

37、i d 3中,对于(pk0,pk1),仿真器S3计算(c,s)=Sc o m2(tc o m),当收到来自恶意发送者的挑战e后,仿真器S3计算(a,z)SO R(p k0,p k1),e),rSc o m3(s,a),发送(s i d,s s i d,r,a,z)给A.从S i g m a协议的特别正确性零知识属性看,这里的(a,e,z)和由PO R产生的脚本是统计不可区分的;从承诺机制的歧义性上看这里Sc o m2和Sc o m3的(c,a,r)和由C o m(c r sc o m;a,r)使用和产生的是同等分布的.所以H y b r i d 2和H y b r i d 3是统计不可区

38、分的.H y b r i d 4:在C R S的仿真上,和H y b r i d 3完全一样.对于恶意发送者Pi诚实接收者Pj,和H y b r i d 2不一样的是,在H y b r i d 4中,对于诚实接收者Pj的输入值b,仿真器S4计算(pk0,s k0)K e y G e n(c r s0;b,r),(pk1,s k1)K e y G e n(c r s1;1-b,r).由于S i g m a协议的HV Z K属性,可得H y b r i d 3和H y b r i d 4是统计不可区分的.H y b r i d 5:在C R S的仿真上,和H y b r i d 4完

39、全一样.和H y b r i d 4不一样的是,这里所有诚实接收者Pj的输入不再转发给仿真器S5.这样,对于恶意发送者Pi诚实接收者Pj的仿真就是仿真器构造中的C a s e.H y b r i d 4和H y b r i d 5是等价的.显然H y b r i d 5就是I D E A LFMO T,S,Z.定理1得证.3 协议的实现3.1 难题假设一个随机算法GD DH和安全参数,(G,p,g)GD DH(1)输出一个群,其中 G是群的描述,p是群的阶,g是群的生成元.D DH难题假设:如果对于所有的P P T算法A,存在着可忽略的函数n e g l(),使得(5)

40、式成立,则相对于群 G,D DH问题是困难的.|P rA(G,p,g,ga,gb,gc)=1-P rA(G,p,g,ga,gb,ga b)=1|n e g l()(5)D L难题假设:如果对于所有的P P T算法A,存在着可忽略的函数n e g l(),使得(6)式成立,则相对于群 G,D L问题是困难的.P rD L o gA,G()=1n e g l()(6)在下面的三个构造中我们使用统一的参数.一个随机算法GD D H和安全参数,(G,p,q,g)GD D H(1)输出一个群,其中G是群的描述,p是一个素数,q是p-1的素因子,g是群*p中阶为q的元素.3.2 基于D DH的双模加密系统

41、 S e t u p M e s s y(1):g0,g1,x0,景建笃:一个通用可组合的多会话不经意传输协议框架H J S F X Y X B7x1 q,对于b0,1,hb=gxbb,则陷门t0=(x0,x1),c r s0=(g0,h0,g1,h1),输出(c r s0,t0).S e t u p D e c(1):g0,x,yq,g1=gy0,对于b0,1,hb=gxb,则陷门t1=y,c r s1=(g0,h0,g1,h1),输出(c r s1,t1).K e y G e n():r q,计算g=gr,h=hr,p k=(g,h),s k=r,输出(p k,s k).E n c(p k

42、,b,m):分解公钥p k为元组(g,h),设p kb=(gb,hb,g,h),选择随机s,t q,计算ugsbhtb,vgsht,输出密文(u,vm).D e c(s k,c):分解密文c为(c0,c1),输出c1/cs k0为明文.F i n d M e s s y(t,p k):分解混杂模式的陷门t为(x0,x1),其中x0 x1,分解公钥p k为(g,h).如果hgx0,输出b=0作为M e s s y分支,否则若h=gx0gx1,则输出b=1作为混杂分支.T r a p K e y G e n(t):分解解密模式的陷门t为y q,选择随机r q,计算p k(gr0,hr0),输出(p

43、 k,r,r/y).3.3 两个语句或合成的S i g m a协议 S c h n o r r身份标识协议是基于D L难题假设的一个具体的S i g m a协议.下面我们用这个S c h n o r r协议来构造两个语句或合成的S i g m a协议.为了表示的方便,我们将S e t u p D e c(1n)产生的c r s1表示为(g0,h0,g1,h1).则接收者Pj以0,1 为输入产生的(p k0,p k1)中,在Pj诚实的情况下,p k0=(gr,hr),pk1=(gr,hr).为了证明(p k0,p k1)L*,只需要证明r满足p k0p k1=(g0g0h0h0)rp k0p k

44、1=(g1g1h1h1)r.在S i g m a协议中,O T中接收者Pj是证明者,发送者Pi是验证者角色.协议的交互过程:证明者Pj选择随机的s0 q,计算a0=(ghgh)s0,随机选择1,z1q,计算a1=(g1-h1-g1-h1-)z1(ghgh)-1),发送(a0,a1)给验证者Pi;验证者Pi发送随机的挑战eR0,1t,这里t是确定的,且2tq;证明者Pj计算01e,z0=s0+r 0,发送响应(z0,z1)给验证者Pi.验证者Pi首先检查01=?e,若成功继续;依据g z=a A=gsg()rs检查下列两个等式是否都成立,若都成立则接受,否则拒绝;(ghgh)z0(

45、ghgh)s0(grhrgrhr)0m o dp(g1-h1-g1-h1-)z1(g1-h1-g1-h1-)s1(g1-rh1-rg1-rh1-r)1m o dp3.4 可歧义的承诺机制 P e d e r s e n2 2承诺机制是计算绑定完美隐藏的,它的计算绑定性是基于D L难题假设.对于参数(G,p,q,g),s q,h=gs,为了承诺消息x q,发送者计算c=grhxm o d p.在知道陷门s的情况下,可以歧义承诺c.即为了把c解释为对消息x的承诺,输出r=r+x s-xsm o dp.C h o i2 1所定义的可歧义承诺就是选取冲突抵抗的哈希函数H:0,1*q,对于任意长度的消息

46、m,承诺c=grhH(m)m o d p.4 结束语文章中分析了P e i k e r t提出的高效可组合的O T21协议的局限性.在他们协议的核心技术双模加密系统的基础上,针对他们的问题,我们引入了双C R S机制,提出了一个协议框架实现了FMO T.对于恶意发送者输入的抽取使用了两个C R S的各自陷门,对于恶意接收者输入的抽取使用了双模加密系统的混杂模式.为了保证接收者输入的正确性,文中采用了两个语句或合成的S i g m a协议和可歧义承诺机制来完成.最后给出了我们提出的协议框架在D DH假设上的实现.进一步的工作是考虑2轮的基于双模加密系统可实现FMO T的协议框架和基于其他安全

47、假设的具体实现.景建笃:一个通用可组合的多会话不经意传输协议框架H J S F X Y X B8 参考文献1R A B I NM O.H o wt o e x c h a n g e s e c r e t sb yo b l i v i o u s t r a n s f e rR.A i k e nC o m p u t a t i o nL a b o r a t o r y:H a r v a r d U n i v e r s i t y,1 9 8 1.2G O L D R E I CH O,M I C A L IS,a n dW I G D E R S ON A.H o w t

48、o p l a ya n y m e n t a lg a m eo rac o m p l e t e n e s st h e o r e m f o rp r o t o c o l sw i t hh o n e s tm a j o r i t yC.S T O C1 9 8 7,1 9 8 7:2 1 82 2 9.d o i:1 0.1 1 4 5/2 8 3 9 5.2 8 4 2 0.3YAOA C-C.H o wt og e n e r a t ea n de x c h a n g es e c r e t sC.F O C S1 9 8 6,T o r o n t o,

49、ON,C a n a d a,1 9 8 6:1 6 21 6 7.d o i:1 0.1 1 0 9/S F C S.1 9 8 6.2 5.4K I L I AN J.F o u n d i n g c r y p t o g r a p h o n o b l i v i o u st r a n s f e rC.S TO C1 9 8 8,C h i c a g o,U S A,1 9 8 8:2 03 1.d o i:1 0.1 1 4 5/6 2 2 1 2.6 2 2 1 5.5Z E N G B,T A R T A R Y C,X U P,e ta l.A p r a c t

50、 i c a lf r a m e w o r kf o rh-o u t-o f-no b l i v i o u st r a n s f e rw i t hs e c u r i t ya g a i n s t c o v e r t a d v e r s a r i e sJ.I E E ET r a n s a c t i o n so nI n f o r m a t i o nF o r e n s i c sa n dS e c u r i t y,2 0 1 2,7(2):4 6 54 7 9.d o i:1 0.1 1 0 9/T I F S.2 0 1 2.2 1

展开阅读全文