抗选择密文攻击公钥密码体制及其相关问题的研究.ppt

抗选择密文攻击公钥密码体制及其相关问题的研究 专业:通信与信息系统 方向:信息系统安全 导师: 何大可 博士生:梅其祥 一 研究的意义 在公钥密码体制中，攻击者拥有公钥，他可以随便选择明文进行加密，攻击者还有机会获得密文，而且还可能利用各种途径来获得解密，为此，公钥密码体制应该不会泄露其他密文的的明文信息，这就要求该密码体制能抗选择密文攻击。 抗选择密文攻击密码体制是一种安全性很高的体制。现在它已是被密码学家们普遍接受的概念，研究表明，利用抗选择密文攻击密码体制，可以设计许多安全强度很高的重要的密码协议， 密钥传输，密钥交换，公平交换协议等等， Bellare和Rogaway提出的OAEP（1994）体制就成为SET协议的新的加密标准。 抗选择密文攻击是当今公钥加密侯选标准的最重要的要求之一，2004年的最新的几个候选标准的原型就是几个重要的抗选择密文攻击公钥加密密码方案。 二. 抗选择密文攻击密码体制概念介绍 公钥密码体制按照可能的攻击目标，可以分为： 单向性（OW）安全：由密文不能恢复相应的明文。 不可区分性（IND）安全：对已知给定的的两个明文，加密者随机一致的选择其中一个进行加密，攻击者无法从密文中知道是对哪个明文的加密。 非延展性（NM）安全：攻击者无法构造与已给密文相关的新密文。 以上安全性概念依次加强：NM比IND强，IND比OW强。 。 按照可能的攻击模型可分为： 选择明文（CPA）攻击：攻击者可以先适应性选择明文，获得相应的密文 非适应性选择密文（CCA1）攻击：攻击者除了可以适应性选择明文攻击外，在给定Challeng密文前，还可以选择密文获得相应的解密。 适应性选择密文（CCA2）攻击：攻击者的唯一限制就是不可以直接用Challeng密文获得相应的明文，即还可以在给定Challeng密文，选择密文获得相应的解密。 同时考虑攻击目标和攻击模型，可以获得不同的安全，其中最重要的是IND-CCA2和NM-CCA2安全，而二者被证明是等价的[5]，所以加密中通常所说的选择密文安全是指IND-CCA2安全。 三 研究现状 1.IND-CCA2概念的提出 ：Rackoff 和Simon1991 2.几个重要的IND-CCA2方案 1994年，Bellare和Rogaway提出的OAEP（Optimal Asymmetric Encryption Padding）体制,将任意陷门置换转化为IND-CCA2 ，第一次将较弱的体制转化为IND-CCA2； 1998年Cramer和Shoup才又提出了一种实际的IND-CCA2，而且是“真实世界”（在标准的数论假设下）的（而不是“Random Oracle Model”意义下的）；其安全性基于DDH假设。 Fujisaki—Okamoto 1999 将IND-CPA加密转化为其IND-CCA2，解密中的验证过程要求重新加密。 Pointchaval 2000 提出了将单向陷门函数转化为IND-CCA2的方法，但解密中的验证过程要求重新加密。 2000年，Shoup对CS98方案进一步改进，一方面，当DDH假设成立，该方案在真实世界依然是IND-CCA2安全的，另一方面，当DDH假设成立不成立，该方案在Random Oracle Model中，在CDH假设下，是IND-CCA2安全的，而且效率较CS98高。2001年Cramer和Shoup，对CS98,S00,进一步改进提高，并加以推广。 2001，Okamoto和Pointchaval 的 REACT 提出公钥和私钥相结合的方法，将OW-PCA(在明密文检测攻击下单向性安全的)加密转化为IND-CCA2，其解密验证不需重新加密，效率很高，但密文较长，另外，OW-PCA假设的可信性还值得怀疑。 2001，Abdalla, Bellare, Rogway.提出的DHIES ，将EI Gama加密转化为IND-CCA2，其效率非常高，不需要Random Oracle，其安全性基于Oracle Diffie-Hellman假设。 3 与门限密码学结合 1998 Shoup 和Gennero 提出了一种抗选择密文攻击密码门陷体制 1999 Canetti和Goldwasser 也提出了一种门陷IND-CCA2. 4 与基于身份的密码体制结合 Boneh, Franklin(2001) 利用双线性映射，构造了一个基于身份的密码体制，然后，利用Fujisaki—Okamoto 1999方法，转化为基于身份的IND-CCA2体制，掀起了基于身份的密码体制研究的新高潮。 5．与签名结合，构造（CCA2-CMA）签密 Zhengyuliang 1997提出了签密的概念，并提出了两中高效的方案