现代密码学(中山大学)Lecture14
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• • • • CPA+one time NIZK Cramer-Shoup 98 “smooth hash function” DHIES or DHAES From selective CPA secure ID based encryption CCA2 • Plaintext Awarness
m0, m1 Adv
b 0,1 : randomly selected
c E (mb )
b’ : guess ofb
The probability of correctly guessing (b = b’) is negligible
17
Chosen Ciphertext Attack (CCA)
OW-CPA
IND-CPA
NM-CPA
OW-CCA1
IND-CCA1
NM-CCA1
OW-CCA2
IND-CCA2
NM-CCA2
19
How to Construct an Encryption Scheme with IND-CCA2in random oracle
• Based on truly random function (random oracle model) – Bellare-Rogaway : OAEP (1994)..PKCS#1(Ver.2)1998 – Fujisaki-Okamoto (1999) , Pointcheval (2000) – Okamoto-Pointcheval : REACT (2001) – Practical (using practical one-way functions in place of random functions)
• CCA2 (Rackoff –Simon 91)
– C0 is given to the attacker, before the active attack starts.
18
Relationships among Security Definitions
Target
Attack Passive attack (CPA) Active CCA1 attack (Chosenciphertext attack) CCA2 (CCA) One-way (OW) Semantically secure (IND) Non-malleable (NM)
随机预言模型
• 随机预言模型是由Bellare和Rogaway于1993 年从Fiat和Shamir的建议中提出的,它是一 种非标准化的计算模型。在这个模型中, 任何具体的对象例如哈希函数,都被当作 随机对象。它允许人们规约参数到相应的 计算,哈希函数被作为一个预言返回值, 对每一个新的查询,将得到一个随机的应 答。
课程总结
• 密码学引论 • 古典密码学及其分析 • 完善保密理论:概率论与Shannon理论 • 密码学的代数基础:群,环,域(有限域),数 论 • 私钥密码体制:加密原理与方法,MAC, 实用构 造(DES, AES)-可证安全
• 公钥密码体制:原理,加密与签名,安全定义与 构造(公钥体制的可证安全) • 安全协议介绍
Ciphertext C0 Public-key
C 1,
Cn
Decryption oracle
Attacker
Information on Plaintext P0
Biblioteka Baidu
P1,
Pn
(
Rule: C0≠C1,
,Cn
)
• CCA1 (Lunch time attack, Naor-Yung 90)
– C0 is given to the attacker, after the active attack is completed.
21
OAEP
OAEP
RSA-OAEP:de facto standard format of the RSA encryption ・・・used in SSL(PKCS#1) and SET
m 00…0
G (r) s
G
r
H(s) t
H
f (•) :one-way permutation
(Example) RSA-OAEP
• Attacks
– Passive attacks (Cosen Plaintext Attacks: CPA) – Chosen-ciphertext attacks(Cosen Ciphertex Attacks: CCA)
16
Semantic Security (IND : Indistinguishability)
现代密码学
Modern Cryptography
张方国 中山大学信息科学与技术学院
isszhfg@mail.sysu.edu.cn
第十四讲 随机预言模型与标准 模型
• • • • 随机预言模型 随机预言模型中的签名--FDHRSA 标准模型 CCA2安全公钥加密的构造
可证明安全性
• 可证明安全性是指这样一种“归约”方法 :首先确定密码体制的安全目标,例如, 加密体制的安全目标是信息的机密性,签 名体制的安全目标是签名的不可伪造性; 然后根据敌手的能力构建一个形式化的安 全模型,最后指出如果敌手能成功攻破密 码体制,则存在一种算法在多项式时间内 解决一个公认的数学困难问题。
n bits
011001 ・・・・1 ・・
random
H
・・0
x1
Random oracle Random function H
H(x1)
xk
H(xk)
User 1
User 2
8
数字签名的安全性
FDHRSA证明
(t,e)-security
• Prove that there does not exist any adversary which (t,e)-breaks a scheme • I.e. No algorithm exists which can break the scheme in time t with advantage e. • TIGHT • t’/e’ = t/e • LOOSE • t’/e’ >> t/e
C= f s t
C s t e mod n
( )
23
OAEP+
m F(m||r)
G (r) s
G
r
H(s) t
H
f (•) :one-way permutation
(Example) RSA-OAEP+
C= f s t
C s t e mod n
( )
24
满足IND-CCA2 在标准模型下的 构造方法主要以下几类
J.-S. Coron, On the Exact Security of Full Domain Hash, M. Bellare (Ed.): CRYPTO 2000, LNCS 1880, pp. 229–235, 2000.
标准模型
Security of Public-Key Cryptosystems
• Target
– One-wayness (OW) : hard to invert – Semantically secure (Indistinguishable) (IND) : No partial information is released – Non-malleable (NM): hard – for any non-trivial relation R E(M)→E(R(M))
Random Oracle Model (Truly Random Model)
Input Output
0・・・・ 0・・・・
2n
01011 ・・・・0 ・・・ ・・・0 10011 ・・・・1 ・・・ ・・・0
・・・H (random oracle/ random function)
1・・・・
• 然而,随机预言模型证明的有效性是有争 议的。因为哈希函数是确定的,不能总是 返回随机的应答。1998年,Canetti等人给 出了一个在ROM模型下证明是安全的数字 签名体制,但在一个随机预言模型的实例 下,它是不安全的。 • 尽管如此,随机预言模型对于分析许多加 密和数字签名方案还是很有用的。在一定 程度上,它能够保证一个方案是没有缺陷 的
m0, m1 Adv
b 0,1 : randomly selected
c E (mb )
b’ : guess ofb
The probability of correctly guessing (b = b’) is negligible
17
Chosen Ciphertext Attack (CCA)
OW-CPA
IND-CPA
NM-CPA
OW-CCA1
IND-CCA1
NM-CCA1
OW-CCA2
IND-CCA2
NM-CCA2
19
How to Construct an Encryption Scheme with IND-CCA2in random oracle
• Based on truly random function (random oracle model) – Bellare-Rogaway : OAEP (1994)..PKCS#1(Ver.2)1998 – Fujisaki-Okamoto (1999) , Pointcheval (2000) – Okamoto-Pointcheval : REACT (2001) – Practical (using practical one-way functions in place of random functions)
• CCA2 (Rackoff –Simon 91)
– C0 is given to the attacker, before the active attack starts.
18
Relationships among Security Definitions
Target
Attack Passive attack (CPA) Active CCA1 attack (Chosenciphertext attack) CCA2 (CCA) One-way (OW) Semantically secure (IND) Non-malleable (NM)
随机预言模型
• 随机预言模型是由Bellare和Rogaway于1993 年从Fiat和Shamir的建议中提出的,它是一 种非标准化的计算模型。在这个模型中, 任何具体的对象例如哈希函数,都被当作 随机对象。它允许人们规约参数到相应的 计算,哈希函数被作为一个预言返回值, 对每一个新的查询,将得到一个随机的应 答。
课程总结
• 密码学引论 • 古典密码学及其分析 • 完善保密理论:概率论与Shannon理论 • 密码学的代数基础:群,环,域(有限域),数 论 • 私钥密码体制:加密原理与方法,MAC, 实用构 造(DES, AES)-可证安全
• 公钥密码体制:原理,加密与签名,安全定义与 构造(公钥体制的可证安全) • 安全协议介绍
Ciphertext C0 Public-key
C 1,
Cn
Decryption oracle
Attacker
Information on Plaintext P0
Biblioteka Baidu
P1,
Pn
(
Rule: C0≠C1,
,Cn
)
• CCA1 (Lunch time attack, Naor-Yung 90)
– C0 is given to the attacker, after the active attack is completed.
21
OAEP
OAEP
RSA-OAEP:de facto standard format of the RSA encryption ・・・used in SSL(PKCS#1) and SET
m 00…0
G (r) s
G
r
H(s) t
H
f (•) :one-way permutation
(Example) RSA-OAEP
• Attacks
– Passive attacks (Cosen Plaintext Attacks: CPA) – Chosen-ciphertext attacks(Cosen Ciphertex Attacks: CCA)
16
Semantic Security (IND : Indistinguishability)
现代密码学
Modern Cryptography
张方国 中山大学信息科学与技术学院
isszhfg@mail.sysu.edu.cn
第十四讲 随机预言模型与标准 模型
• • • • 随机预言模型 随机预言模型中的签名--FDHRSA 标准模型 CCA2安全公钥加密的构造
可证明安全性
• 可证明安全性是指这样一种“归约”方法 :首先确定密码体制的安全目标,例如, 加密体制的安全目标是信息的机密性,签 名体制的安全目标是签名的不可伪造性; 然后根据敌手的能力构建一个形式化的安 全模型,最后指出如果敌手能成功攻破密 码体制,则存在一种算法在多项式时间内 解决一个公认的数学困难问题。
n bits
011001 ・・・・1 ・・
random
H
・・0
x1
Random oracle Random function H
H(x1)
xk
H(xk)
User 1
User 2
8
数字签名的安全性
FDHRSA证明
(t,e)-security
• Prove that there does not exist any adversary which (t,e)-breaks a scheme • I.e. No algorithm exists which can break the scheme in time t with advantage e. • TIGHT • t’/e’ = t/e • LOOSE • t’/e’ >> t/e
C= f s t
C s t e mod n
( )
23
OAEP+
m F(m||r)
G (r) s
G
r
H(s) t
H
f (•) :one-way permutation
(Example) RSA-OAEP+
C= f s t
C s t e mod n
( )
24
满足IND-CCA2 在标准模型下的 构造方法主要以下几类
J.-S. Coron, On the Exact Security of Full Domain Hash, M. Bellare (Ed.): CRYPTO 2000, LNCS 1880, pp. 229–235, 2000.
标准模型
Security of Public-Key Cryptosystems
• Target
– One-wayness (OW) : hard to invert – Semantically secure (Indistinguishable) (IND) : No partial information is released – Non-malleable (NM): hard – for any non-trivial relation R E(M)→E(R(M))
Random Oracle Model (Truly Random Model)
Input Output
0・・・・ 0・・・・
2n
01011 ・・・・0 ・・・ ・・・0 10011 ・・・・1 ・・・ ・・・0
・・・H (random oracle/ random function)
1・・・・
• 然而,随机预言模型证明的有效性是有争 议的。因为哈希函数是确定的,不能总是 返回随机的应答。1998年,Canetti等人给 出了一个在ROM模型下证明是安全的数字 签名体制,但在一个随机预言模型的实例 下,它是不安全的。 • 尽管如此,随机预言模型对于分析许多加 密和数字签名方案还是很有用的。在一定 程度上,它能够保证一个方案是没有缺陷 的