第九章基于身份的公钥密码体制
公钥密码体制加密及签名的原理
公钥密码体制加密及签名的原理
公钥密码体制是一种使用公钥加密和私钥解密的密码体制。
它有两个主要的应用:加密和签名。
加密的原理:加密方使用接收方的公钥将明文加密,加密后的密文只能使用接收方的私钥进行解密。
这样,只有接收方才能解密得到明文,从而实现了加密和保护数据的目的。
签名的原理:签名方使用自己的私钥对消息进行签名,签名后的消息和签名一起传送给验证方。
验证方使用签名方的公钥对接收到的签名进行验证,如果验证成功,则说明消息的真实性和完整性得到了保证。
因为私钥是唯一的,只有签名方能够生成正确的签名,其他人无法伪造签名,因此可以使用签名来验证消息的身份和完整性。
公钥密码体制的安全性基于两个关键问题:一是计算性难题的难解性,例如大数分解问题和离散对数问题;二是公钥和私钥的关联性,即通过公钥无法计算出私钥。
公钥密码体制通过使用不同的数学原理和算法来实现加密和签名功能,常用的公钥密码体制包括RSA算法、椭圆曲线密码算法(ECC)和椭圆曲线数字签名算法(ECDSA)等。
这些算法利用数论、代数和椭圆曲线等数学原理,结合计算机算法的运算和模运算,在保证安全性的前提下,实现了公钥密码体制的加密和签名功能。
公钥密码体制
如果序列为超递增序列,则背包问题则是P类问题。
14
MH背包密码的基本思想
利用实际上存在两类不同的背包问题,一类在线性时间 内可解(超递增背包问题),而另一类不能(普通背包问题)。 易解的背包问题可以转化成难解的背包问题。公钥使用难解 的背包问题,它可很容易地被用来加密明文但不能用来解密 密文。私钥使用易解的背包问题,它给出一个解密的简单方 法。不知道私钥的人要破解密文就不得不解一个难解的背包 问题。
i=1
利用已知u并根据uv=1 (mod p) ,可求得v。
下面作变换称为墨科-赫尔曼(Merkle-Hellman)变换:
ak≡ubk(mod p),k=1,2,…,n 非超递增序列{ai}和p作为公钥; 超递增序列{bi}和v作为私钥;
12
背包问题
已知一长度 b 的背包及长度分别为 a1,a2,… ,an 的 n 个物品。假定这些物品的半径和背包相同,若从这 n 个物品 中选出若干物品使得恰好装满这个背包。
公式化的描述为:给定一个正整数集A={a1,a2,…,an},已 知b是A的某子集中元素的和。问题是,找到一个n元的0 、1
向量X=(x1,x2,…,xn)使得:
n
∑ aixi = b
i =1
这是一个NP问题。
其中a1, a2, … , an 和 b 都是正整数。
13
超递增序列
如果序列 a1, a2, … , an 满足条件:
i −1
∑ ai > a j (i = 2,3,..., n) j =1
则称该序列为超递增序列。 例如: {1,2,4,8, … ,2n }
基于身份的公钥密码学
在通常意义下的公钥密码学中,公钥 (public-key) 是借助某个有效单向函数作用 ek ek d 于私钥(private-key)而产生的。也就是说, d 对事先选定好的一个有效单向函数,有 public-key = F (private-key). (7.1) 这种公钥看起来有一定的随机性。即从公 钥本身,看不出该公钥与公钥所有者之间 有任何的联系。当有一条机密信息要用某 一公钥加密后发送给指定的接受者时,发 送者必须确定这个看起来有点随机性的公
19:37 8
Shamir提出的基于身份(ID)的数字签名 体制由下列四个步骤组成:
参数建立(Setup):
TA完成:产生整个系统 的参数及主密钥(master-key)。 用户私钥生成(User-key-generation): TA 完成:利用master-key及用户传输的任意比 特串id,产生相对于id的用户的私(privatekey)。 签名(Sign): 签名者完成: 对输入的信息m, 用签名者的私钥对信息m进行签名sig。 验证(Verify): 用户完成: 对输入的信息m 及相应的签名sig,利用id验证签名的 真 伪性。
19:37 7
由于用户的私钥由TA生成,所以用户必须 绝对无条件地信任TA,也就是说,用户不 用担心TA读取了用户之间所有的秘密通 信,或伪造他们的签名。因此,基于身份 的密码系统只适用在用户接受对TA无条 件信任的环境。比如在雇主可完全知道他 的所有雇员的来往信息的环境中,雇主就 可担当TA的角色。 7. 1. 1 Shamir的基于身份的数字签名体,公钥是经由私钥来生成的,私钥是 事先精心挑选好的。 在Shamir的基于身份的公钥密码系统. TA由(7. 2)生成用户私钥的计算一般不公开。 在TA为用户生成私钥前,TA需要彻底检验 用户的身份信息,用户提供的身份信息必须 能使TA确信它能唯一准确地识别出用户。 这类似于在一般公钥密码系统中,CA在签 发公钥证书给用户之前需要对用户作身份检 验。
基于身份公钥密码体制在电子商务安全中的应用
避免了基于证书公钥密码体制下,繁琐的数字证书管理用于解决电子商务安全时带来的问题。
关键词:基于身份公钥密码体制 基于证书公钥密码体制 电子商务 密钥
中图分类号:TP319.3
文献标识码:A
文章编号:1672-3791(2009)08(a)-0226-01
随着信息技术的迅猛发展,传统的商 务交易模式逐步向基于互联网开展的电子 商 务 交 易 新 模 式 转 变 。互 联 网 的 开 放 性 和 匿名性使得电子商务的安全性受到严峻挑 战, 制约了电子商务交易的应用与发展。为 使基于互联网的电子商务交易与传统交易 一样安全可靠,基于证书公钥密码体制下 形成的公钥基础设施PKI(public key infrastructure),能够保障电子商务的信息 安全需求,是目前解决电子商务安全问题 中 可 行 且 有 效 的 措 施 。在 基 于 证 书 公 钥 密 码体制下,公钥的分配使用数字证书实现, 由于涉及到繁杂的证书管理问题,从而给 实际应用带来很大限制。因此, 使用基于身 份公钥密码体制解决电子商务安全问题成 为目前值得关注的问题。
(2)密码服务器使用其主密钥生成用户 A的私钥,并通过安全信道传输给用户A。
(3)用户A使用其私钥对交易信息生成
数字签名,并将交易信息及其数字钥对数字签 名进行验证,如果与一起发送的交易信息 相同,用户B能确信交易信息确实由用户A 发 送 ;否 则 , 拒 绝 接 受 。
参考文献
[1] A Shamir. Identity-based cryptosystems and signature schemes[C], Advances i n C r y p t o l o g y - C r y p t o ’1 9 8 4 , L N C S 196.Berlin:Springer-Verlag,1984:47~ 53.
基于身份的公钥密码体制
ˆ(SID ,U )) m V H 2 (e
9.3基于身份的签名体制
2002年,Hess提出了一个基于身份的签名 方案,由四个算法组成:系统建立、密钥 提取、签名和验证。
1.系统建立 H ˆ e G G G 设 G 1 为由 P 生成的循环加法群,阶为 q , G 2 为具有相同阶 q 的循环乘法 H {0,1} G Z sZ {0,1} G 群, : 为一个双线性映射。定义两个安全的哈希函数 : 和 : 。PKG随机选择一个主密钥 ,计 算Ppub=sP。PKG公开系统参数{G1, G2, q, ê, P, Ppub, H1, H2},保 密主密钥s。 2.密钥提取 给定一个用户的身份ID,PKG计算该用户的私钥SID=sQID并把此值 安全地发送给该用户,其中QID=H1(ID)为该用户的公钥。 ˆ( P, P) , v H (m, r), u vS kP r e 3.签名 对于消息m,首先随机选取一个整数,然后计算: 则m的签名为(u, v)。 ˆ(u, P)e ˆ(Q , P ) r e 4.验证 对于消息签名对(m, (u, v)),首先计算: 然后验证:
基于证书的公钥密码体制缺点
使用任何公钥前都需要先验证公钥证书的 合法性,增加了用户的计算量; CA需要管理大量的证书,包括证书的撤销、 存储和颁发。
2.基于身份的公钥密码体制
为了简化密钥管理,Shamir于1984年首次提出了基于身 份的密码体制(identity-based cryptography)的概念。 在基于身份的密码体制中,用户的公钥可以根据用户的身 份信息(姓名、身份证号码、电话号码、E-mail地址等) 直接计算出来,用户的私钥则是由一个称为私钥生成中心 (private key generator, PKG)的可信方生成。基于身份 的密码体制取消了公钥证书,减少了公钥证书的存储和合 法性验证。但是,基于身份的密码体制有一个致命的缺点, 所有用户的私钥都由PKG生成。PKG知道所有用户的私钥 不可避免地引起密钥托管问题,因此,PKG可以容易地冒 充任何用户,且不被发现。在一个基于身份的加密方案中, PKG可以解密任何密文,在一个基于身份的签名方案中, PKG可以伪造任何消息的签名。自1984年以来,相继提 出了许多实用的基于身份的签名方案,但一个满意的基于 身份的加密方案直到2001年才被找到。
第九章 基于身份的公钥体制
问题
一种是使用证书的公钥基础设施(PKI,Public Key Infrastructure) 另一种是基于身份的公钥密码学(Identity-based Public-key Cryptography)
两种体制的相同点
不管是基于PKI还是基于身份的密码,都是公钥
算法,都能够完成签名、密钥分配、加密等功
意义
在一个逻辑步骤内能够同时验证两件事是基于
ID签名方案所提供的一个很好的特征
能够避免从签名者到验证者的证书传递,节约 通信带宽 这种特性给基于ID的密码体制带来另一个名字 :非交互式的公钥密码体制(Non-interactive
Public Key Cryptography)
非交互式的公钥密码体制在基于ID的加密系统
系统参数建立
用户密钥生成
签名与验证
说明
Boneh和Franklin的基于ID的密码体制
在Boneh和Franklin的基于ID的密码体制中由
四个算法组成:
系统参数的建立 Trent运行该算法来生成系统的全 局参数和主密钥; 用户密钥的生成 Trent 运行该算法:输入主密钥和 一个任意的比特串Id{0,1}*,该算法输出相应于Id 的私钥 加密 这是个概率算法,用公钥id来加密消息; 解密 把密文和私钥输入该算法,最后,返回相应的
公钥与拥有者的关联
由于每一个公钥都包含着一段看似随机的成分,显然有必要 让主体(用户)的公钥以一种可验证的和可信的方式与主体 (用户)的身份信息相关 很显然,为了传递一条用公钥加密的秘密消息,发送者必须 确信这个看似随机的公钥的确属于所声称的签名人 通常,在实际应用中为了应用公钥密码系统,我们需要一个 能够简单验证公钥与主体身份相关的验证机制 这样的机制可以在认证框架中实现:公钥的拥有者可以向系 统认证 在上式中的一般公钥密码学意义下的密钥生成过程导致了所 有公钥的随机化 在认证过程中,把一个主体的公钥与他的身份消息结合起来 是十分必要的
公钥密码体制课件
THANKS
感谢观看
云计算与大数据
数据存储加密
对存储在云端的数据进行加密,确保数据的安全性和 隐确保只有授权用户 能够访问云端数据。
容灾备份
在大数据场景中,公钥密码体制用于容灾备份数据的 加密和完整性校验。
04
公钥密码体制的实现技术
RSA算法
总结词
RSA算法是一种非对称加密算法,基于数论中的一些基础性质,使用一对公钥和私钥进行加密和解密操作。
数据完整性
通过数字签名等技术,公钥密码体 制能够确保数据的完整性和真实性。
身份认证
公钥密码体制可用于身份认证,验 证发送方的身份,防止伪造和冒充。
公钥密码体制的历史与发展
历史
公钥密码体制的思想起源于20世纪 70年代,最早的公钥密码体制是RSA 算法。
发展
随着技术的不断进步,公钥密码体制 的应用越来越广泛,涉及到网络安全、 电子支付、电子政务等领域。
证书吊销与信任链管理
在公钥密码体制中,证书用于验证公 钥的合法性,但证书可能被吊销或受 到信任链上的信任问题影响。
管理证书吊销列表和信任链的有效性 是确保公钥密码体制安全的重要环节, 需要定期检查和更新证书状态,以及 在必要时撤销或更新信任链。
06
公钥密码体制的未来展望
新算法的研究与发展
算法优化
详细描述
RSA算法由Rivest、Shamir和Adleman于1977年提出,是目前应用最广泛的公钥密码算法之一。其安全性基于 大数质因数分解的困难性,通过选取适当的参数,能够保证很高的安全性。RSA算法可用于加密、数字签名等应 用场景。
ECC算法
总结词
ECC算法是一种基于椭圆曲线的公钥密码算法,具有密钥长度相对较小、加密速度快、安全性高等优 点。
基于身份的公钥密码系统的研究
基于身份的公钥密码系统的研究在传统的公钥密码系统中,用户公钥证书的签发、传输、验证、查询和存储等都需要耗费大量时间和成本。
为了简化该系统中的证书管理问题,提高公钥密码系统的效率,1985年,Shamir提出了基于身份的公钥密码系统(Identity-Based Cryptosystem, IBC)这一概念。
在IBC中,用户的身份与其公钥以最自然的方式捆绑在一起,用户的身份信息作为用户公钥,用户的私钥则由私钥生成中心(Private Key Generator, PKG)生成。
IBC使得任意两个用户可以直接通信,不需要交换公钥证书,不必保存公钥证书列表,也不必使用在线的第三方,简化了公钥证书的管理过程,降低了计算和存储开销。
正因为如此,IBC可以作为传统公钥密码系统的一个很好的替代,尤其是在储存和计算受限的环境下。
本文从IBC数学基础安全性、IBC机制以及IBC机制安全性三个层面出发,较为完整系统地介绍了IBC相关理论,回答了人们关注的四大问题:1.我们为什么要研究IBC?与传统公钥密码系统相比,IBC有哪些优势?2.IBC还有哪些问题值得研究?3.我们为什么相信IBC是安全的?4.IBC涉及到哪些关键技术?本文的研究可分为三大部分:第一部分,主要从IBC系统数学基础安全性的层面介绍椭圆曲线和双线性对相关理论知识,重点研究了椭圆曲线数点问题与Dirichlet特征和的算术性质。
主要研究成果如下:1.较系统地研究了IBC数学基础的安全性。
从椭圆曲线理论着手,首先简要地介绍了椭圆曲线的算术理论,然后通过椭圆曲线的除子理论引进Weil对的概念,重点对除子和Weil对的相关性质展开讨论,并给予了证明;接着简要介绍了如何通过变形映射将Weil对转化成有效的双线性对。
由于基于双线性的数学困难问题和假设是构建IBC系统安全性的数学基础,而安全性的高低直接决定了一个密码方案的安全强度,所以我们对几种比较流行的基于双线性对的数学困难问题进行了分析和比较,研究结果表明,使用双线性对技术的基于身份公钥机制的数学基础安全性可归结为所选取的椭圆曲线上离散对数问题(ECDLP)的难解性,针对现有的各种ECDLP求解方法,我们对如何建立安全有效椭圆曲线进行了讨论。
信息安全工程第9章基于身份的公钥体制
(4)验证:签名的验证算法的输入为一个消息-签名对和id,输 出True或False。
第9章 基于身份的公钥体制 9.2.1 方案描述
在 Shamir 的基于身份的签名方案中有 4 个算法:
(1) 建立:这个算法由 Trent 运行来生成系统参数和主密钥, Trent 为可信中心。
gIDd(modN)
第9章 基于身份的公钥体制 3.签名的生成:
为了对一条消息 M {0,1}* ,Alice 随机选择一个数 r U ZN* ,
并计算
t re(modN)
s g r h(t||M ) ( mod N )
所得到的签名为(t,s)。
第9章 基于身份的公钥体制
4. 签名的验证:
已知消息 M 和签名(t, s),Bob 用 Alice 的身份 ID 按以下 过程验证签名的正确性。如果 se ID th(t||M ) (mod N),那么, Verify( ID, s, t, M) True
第9章 基于身份的公钥体制
方案说明 Girault的自证实公钥拥有Shamir的基于身份的公钥的一
个特点,即不需要对可信赖的第三方发给密钥所有者的密钥 证书进行验证。这个验证是暗含的,并且与验证密钥所有者 的密码能力同时进行。
验证者除了需要一个身份,还需要一个独立的公钥,即除 了I外还需要P,前者不能由后者得到,这就意味着验证者在使 用密钥所有者的公钥之前,必须向其发出使用公钥的请求。 这是一个额外的通信步骤。因此,Girault的自证实公钥不是 非交互的公钥密码体制,这是自证实公钥的一个缺陷。
第9章 基于身份的公钥体制
9.3.2 Girault 的方案描述
基于身份的密码体制在空管信息安全中的应用
基于身份的密码体制在空管信息安全中的应用随着科技的飞速发展,航空管制系统在保障飞行安全和提高空中交通效率方面发挥着越来越重要的作用。
空管信息系统的安全性问题也成为了正在面临的挑战。
在这样的情况下,如何保障空管系统的信息安全就显得非常关键。
而基于身份的密码体制正是一种能够有效提升空管信息安全的技术手段。
一、基于身份的密码体制简介基于身份的密码体制(Identity-based cryptography)是一种基于用户身份信息生成密钥对的密码体制。
通常而言,传统的公钥密码学需要使用证书颁发机构(CA)来进行身份验证,而基于身份的密码体制则使用了用户的身份信息作为公钥的一部分,从而避免了依赖CA的问题。
这种密码体制的独特性使得其在信息安全领域有着广泛的应用前景。
1. 加强身份验证空管系统中涉及数量庞大的用户和设备,如飞行员、地面人员、航空公司等,在信息交流和数据传输中,确保每一个用户的身份都是合法的是至关重要的。
传统的身份验证方法可能存在着漏洞,例如密码被盗用、证书伪造等问题。
而基于身份的密码体制通过使用用户的身份信息直接生成公钥,能够有效加强对用户身份的验证,提升系统的安全性。
2. 保障通信安全在空管系统中,通信的安全性直接关系到航空安全和信息泄露问题。
基于身份的密码体制可以用于数据的加密和解密,保障通信内容的机密性,防止数据被黑客攻击和窃取。
而传统的加密方法可能会面临证书失效、私钥泄露等问题,基于身份的密码体制能够有效解决这些问题,提升通信安全性。
3. 管理密钥密钥管理是保障信息安全的重要环节,而基于身份的密码体制的密钥管理相对来说更加简单和高效。
由于基于身份的密码体制使用了用户的身份信息来生成密钥对,因此不再需要传统的公钥证书颁发机构来进行密钥管理,这样能够减少了密钥管理的复杂性和成本。
4. 防范身份盗用虽然基于身份的密码体制在空管信息安全中有着广泛的应用前景,但也面临着一些挑战。
1. 系统性能问题基于身份的密码体制在加密和解密过程中会涉及到对用户身份信息的计算和处理,而这些运算可能会对系统的性能产生一定的影响。
基于身份的公钥密码体制相关实用PPT文档
设G1为由P生成的循环加法群,阶为q,G2为具有相同阶q的循环乘法群,:为一个双线性映射。 假设G1和G2这两个群中的离散对数问题都是困难问题。
存储和颁发。 为了解密一个密文c =(U, V),计算:
2003年,Al-Riyami和Paterson提出的无证书公钥密码体制(certificateless public key cryptography)在本质上与基于自证明的公钥密 码体制是相同的。 给定一个用户的身份ID,PKG计算该用户的私钥SID=sQID并把此值安全地发送给该用户,其中QID =H1 (ID)为该用户的公钥。 ④ 当且仅当r=H3(c, k1)成立时接受该密文。 ④ 当且仅当r=H3(c, k1)成立时接受该密文。 ② 非退化性:存在P, Q∈G1,使得。 Libert和Quisquater给出了方案在随机预言模型下的安全性证明。 Boneh-Franklin加密体制
1 基于证书的公钥密码体制
• 每个用户的公钥都伴随一个公钥证书,这
个公钥证书由CA签发。公钥证书是一个的签名。任何人都可以 通过验证证书的合法性(CA的签名)来认 证公钥。如果一个用户信任CA,那么,在 他验证了另一个用户的证书的有效性后, 他就应该相信公钥的真实性。
成本;
• 由于不需要公钥验证,减少了计算量; • 与基于证书的公钥密码体制相比,由于不
需要维护公钥证书目录,基于自证明的公 钥密码体制更加高效。与基于身份的公钥 密码体制相比,由于CA并不知道用户的私 钥,基于自证明的公钥密码体制更加安全。
9.2 基于身份的加密体制
双线性对
• 令G1为由P生成的循环加法群,阶为q,G2
第九章基于身份的公钥密码体制
可计算性(Computable)
对于任意给定的 x,y ∈ G1,计算 e(x,y)是容易的
19
安全性假设
Bilinear Diffie-Hellman 问题(BDHP) 阶为q的循环群G1, G2, 群上的双线性映射e
给定G1上的一个生成元 g 和其上的任意三个元 素 ag, bg, cg ∈ G1 ,其中 a, b, c ∈ Zp, 计算 e(g,g)abc
23
Boneh-Franklin IBE Scheme
效率 加密: 1 scalar multiplication in G1 1 map-to-point hash operation, 1 pairing operation, 1 group exponent in G2, 1 hash (H2) operation, and 1 XOR operation.
效率 解密: 1 pairing operation, 1 hash operation (H2) 1 XOR operation.
安全性假设:BDHP困难: C,P,H(ID),求(g,g)^rst,其中 C=rg,P=sg,H(ID)=tg,
24
基于身份的签名体制
初始化(Setup)
26
验证( Verify )
Shamir IBS Scheme
Shamir提出了一个采用RSA算法的IBS算法。 初始化: 1. 选取两个大素数p,q,计算它们的乘积n;选 取与Φ(n)互素的整数 e ; 选取一个单向函数h. 参数: n, e, h; 主密钥: n 的因子. 提取私钥: 给定用户的 ID, PKG计算用户的私钥 g ,满足 g^e =ID mod n.
基于身份的公钥密码学
由于用户的私钥由TA生成,所以用户必须 绝对无条件地信任TA,也就是说,用户不 用担心TA读取了用户之间所有的秘密通 信,或伪造他们的签名。因此,基于身份 的密码系统只适用在用户接受对TA无条 件信任的环境。比如在雇主可完全知道他 的所有雇员的来往信息的环境中,雇主就 可担当TA的角色。 7. 1. 1 Shamir的基于身份的数字签名体 制的构成
e
a(mod N )
h (t||m)
h (t1||m) 1
1
15:55
16
最后必须重声及记住的是:TA可以伪造任何 一个用户的签名!因此,Shamir的基于身份的 数字签名体制不适合在一个公开的系统环境中 应用。换句话说,该签名体制较适合在一个封 闭的、TA对整个系统中的信息具有法律上的所 有权的系统中使用。很不幸,这是一个非常苛 刻的应用环境。 因此,如何设计一个可脱离这样苛刻应用 环境的基于身份的数字签名体制是一个很有挑 战性的尚未解决的问题。 当用户私钥的安全性 受到威胁时,需要与TA进行交互式密钥撤销, 这样就增加了系统的成本,降低了时效。所 以,设计出一种不需要进行交互式密钥撤销
15:55 13
而在Shamir的基于身份的签名算法中, Bob验证Alice的签名为真时就同时向Bob 表明了两点:第一,Alice的确是用她的 基于ID的私钥产生她的签名;第二, Alice的ID是经过TA证实的,也正是由于 她的ID经TA证实后才使得Alice能产生她 的签名。这一优点使得在基于身份的数字 签名体制中,签名者不需要将公钥证书传 输给验证者,这样可节省通讯带宽。
15:55 7
系统中,公钥是经由私钥来生成的,私钥是 事先精心挑选好的。 在Shamir的基于身份的公钥密码系统. TA由(7. 2)生成用户私钥的计算一般不公开。 在TA为用户生成私钥前,TA需要彻底检验 用户的身份信息,用户提供的身份信息必须 能使TA确信它能唯一准确地识别出用户。 这类似于在一般公钥密码系统中,CA在签 发公钥证书给用户之前需要对用户作身份检 验。
基于身份的公钥密码体制
A B pub A B B A pub B A
9.5基于身份的签密体制
2003年,Libert和Quisquater提出了一个基 于身份的签密方案,由四个算法组成:系 统建立、密钥提取、签密和解签密。
1.系统建立 设G1为由P生成的循环加法群,阶为q,G2为具有相同阶q的循环乘法群,:为一个双线性映射。 明文空间为{0,1}n,E和D分别表示一个对称密码体制(如AES)的加密和解密算法。定义三个安全 的哈希函数:、:和:。PKG随机选择一个主密钥,计算Ppub=sP。PKG公开系统参数{G1, G2, q, n, ê, P, Ppub, H1, H2, H3, E, D},保密主密钥s。 2.密钥提取 给定一个用户的身份ID,PKG计算该用户的私钥SID=sQID并把此值安全地发送给该用户,其中 QID=H1(ID)为该用户的公钥。在这里我们设发送者的身份为IDA,公钥为QA,私钥为SA,接收 者的身份为IDB,公钥为QB,私钥为SB。 3.签密 对于消息m,发送者执行以下步骤: ① 随机选择。 ② 计算和。 ③ 计算和。 对消息m的签密密文为(c, r, S)。 4.解签密 当收到签密密文(c, r, S)时,接收者执行以下步骤: ① 计算。 ② 计算。 ③ 计算。 ④ 当且仅当r=H3(c, k1)成立时接受该密文。
相关难问题
(1)计算性Diffie-Hellman问题(Computational Diffie-Hellman Problem, CDHP)给定(P, aP, bP),计算abP∈G1,这里是未知 的整数。 (2)判定性Diffie-Hellman问题(Decisional Diffie-Hellman Problem, DDHP)给定(P, aP, bP, cP),判断c = ab mod q是否成立,这里 是未知的整数。如果(P, aP, bP, cP)满足这个条件,我们称它为一 个“Diffie-Hellman元组”。 (3)双线性Diffie-Hellman问题(Bilinear Diffie-Hellman Problem, BDHP)给定(P, aP, bP, cP),计算,这里是未知的整数。 (4)判定性双线性Diffie-Hellman问题(Decisional Bilinear DiffieHellman Problem, DBDHP)给定(P, aP, bP, cP)和h∈G2,判断 是否成立,这里是未知的整数。 容易看出,在G1中的DDHP是容易的。已知(P, aP, bP, cP),判断 c = ab mod q是否成立等价与判断下式是否成立:
基于身份的加密体制
基于⾝份的加密体制动机基于⾝份加密技术是为了解决公钥加密算法中数字证书管理的困难性⽽提出的,基于⾝份加密技术使⽤⽤户的⾝份 ( 如 ID 和邮箱等 ) 作为公钥,由可信的第三⽅(PKG)产⽣⽤户的私钥。
基于⾝份加密技术是⼀种公钥加密技术,可实现⾝份鉴别、消息加密、数字签名和协商会话密钥。
算法a)系统初始化算法setup。
该算法的输⼊是安全参数k,输出是系统参数params和主密钥msk。
该算法由PKG执⾏。
b)私钥⽣成算法keyGen。
该算法的输⼊是params、主密钥msk和⾝份ID,输出是ID对应的私钥d。
该算法由PKG执⾏。
c)加密算法encrypt。
该算法的输⼊是params、⾝份ID和消息M,输出是密⽂C。
该算法由加密者执⾏。
d)解密算法decrypt。
该算法的输⼊是params、密⽂C和私钥d,输出是消息M。
该算法由解密者执⾏。
安全模型1)系统参数⽣成挑战者选择安全参数k,并运⾏setup 算法⽣成系统参数params和主密钥msk;挑战者将params发送给敌⼿,并保存msk。
阶段1敌⼿提出⼀系列询问,询问是a)私钥询问<IDi.>或者b)解密询问<IDi,Ci>2)挑战敌⼿结束阶段1的询问,输出长度相等的明⽂M0,M1和⾝份ID*。
要求在阶段1中敌⼿没有询问过ID*。
的私钥。
挑战者随机选择b∈{0,1},计算C*=encrypt (params,ID*,Mb),并把C*作为挑战发送给敌⼿。
阶段2敌⼿提出⼀系列询问,询问是a)私钥询问<IDi.>或者b)解密询问<IDi,Ci>,其中IDi≠ID*,<IDi,Ci>≠<ID*,C*>询问都是适应性的,也就是说当前询问依赖于以前询问的结果。
3)猜测敌⼿输出b'∈{0,1}。
如果b'=b,则敌⼿赢得游戏。
把上⾯的敌⼿A称为IND-ID-CCA2敌⼿,定义优势如果优势可以忽略,则IBE⽅案是不可区分适应性选择密⽂攻击(IND-ID-CCA2)安全的。
公钥密码体制
公钥密码体制
私钥密码体制(Public Key Cryptography)是一种密码学方法,它使用一对公钥/私钥对来加密和解密信息。
公钥是可以公开分发的,而私钥是只有拥有者才能访问的。
这种方法允许两个实体(例如,两个电脑)在没有事先共享密钥的情况下进行安全的通信。
私钥密码体制的工作原理是,用户使用一个公钥加密信息,然后使用一个私钥来解密它。
由于私钥是保密的,因此只有拥有者才能解密信息,从而保护信息的安全性。
另一方面,由于公钥是公开的,因此任何人都可以使用它来加密信息,从而保护信息的隐私性。
身份基公钥密码
身份基公钥密码
身份基公钥密码是一种基于身份认证的公钥密码系统,它采用了基于身份的加密技术,将用户的身份信息作为加密密钥,从而实现了更高的安全性和可靠性。
在身份基公钥密码系统中,每个用户都拥有一个唯一的身份信息,这些信息可以是用户的用户名、生物特征、数字证书等。
用户将自己的身份信息作为加密密钥,生成自己的公钥和私钥,从而实现对数据的加密和解密。
身份基公钥密码系统的最大优势在于其高度的安全性。
由于用户的身份信息是唯一的,并且只有用户自己知道,所以即使攻击者获得了公钥和密文,也无法对其进行解密。
同时,身份基公钥密码还可以实现数字签名、身份认证和密钥交换等功能,为网络安全提供了更为可靠的保障。
然而,身份基公钥密码系统也存在一些缺点,如密钥的管理和分配难度较大、性能较低等。
因此,在实际应用中,需要综合考虑其优缺点,选择适合自己的加密技术。
- 1 -。
基于身份的密码体制讲解.ppt
Extract:给定ID ∈{0,1}* 作为输入, 算法首先计算QID=H1(ID) = ∈G1* ,然后计算私钥dID = sQID 。 Encrypt:计算QID= H1(ID)∈ G1* 然后随机选择r ∈Zq* ,计算 gID=e(QID,Ppub)∈G2* ,C =(rP, M ⊕ H2(gIDr)) Decrypt:根据C =( U,V )计算 M =H2( e(dID, U)) ⊕V 其中,一致性是成立的,
理想状态:绝对地避免任何查询工作。
一般情况:一个密码系统可以是某一组织或者企业, 而该组织或企业的核心层就作为PKG。
区别:任何一个用户,都只需要与PKG进行一次通信, 在获得自己的私钥后,所有加解密和签名工作,都可以 在单机上完成。
2021/4/23
4
PKI 与ID-PKC区别
在PKI 系统中ID 和公钥分离 在ID-PKC 系统中用户的ID 和 密钥紧密联系;通常用户的公钥 直接由ID 推导出; 用户的私钥也是由ID 计算出
2021/4/23
5
双线性相关定义
2021/4/23
6
BDH问题:给定任意的(P,aP,bP,cP),a,b,c
Z
* q
计
算W=e(P,P)abc G2
BDH假设:求解BDH问题是困难的.
双线性配对密码体制的安全性依赖于求解BDH问题困难性
IBE描述
Setup: 步骤1:参数生成算法有4 个输出,分别是大 素数q ,两个q 阶群G1,G2 ,以及映射e:G1×G1 →G2。 步骤2:从G1选择一个生成元P 。并随机选择s ∈ Zq*,令Ppub =sP 。 步骤3:选择正整数n ,定义明文空间M = {0,1}n 和密文空间C= G1*× {0,1} n 定义杂凑函数 H1 : {0,1}* → G1* 以及H2 : G2→ {0,1}n 。 最终公布系统参数param=<q,G1 ,G2 , eˆ, n, P, Ppub ,H1 ,H2>,
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
21
Boneh-Franklin IBE Scheme
初始化(t)
M = {0,1}n C = G1* × {0,1}n
params = q, G1, G2, e, n, g, P, H1, H2 master-key = s
私钥生成(ID)
dID=s H1(ID)
22
Boneh-Franklin IBE Scheme
加密 (M)
选取随机数 r∈Zq* R=rg, M⊕H2(e(H1(ID),P)r)
解密(C=(U, V))
V ⊕ H2(e(dID,U))
正确性证明 H2(e(dID,U)) =H2(e(sH1(ID), rg) )= H2(e(H1(ID), g)sr =H2(e(H1(ID), sg)r )= H2(e(H1(ID),P)r)
23
Boneh-Franklin IBE Scheme
效率 加密: 1 scalar multiplication in G1 1 map-to-point hash operation, 1 pnent in G2, 1 hash (H2) operation, and 1 XOR operation.
A B pub A B B A pub B A
基于身份的签密体制
2003年,Libert和Quisquater提出了一个基 于身份的签密方案,由四个算法组成:系统 建立、密钥提取、签密和解签密。
基于身份的签密体制
(可选)加密和解密的顺序可交换
基本思想
加密与解密由不同的密钥完成 加密: XY: Y = EKU(X) 解密: YX: X = DKR(Y) = DKR(EKU(X)) 从解密密钥得到加密密钥在计算上是不可行的 加密与解密的顺序没有限制(不是必须的) X = DKR(EKU(X)) = EKU(DKR(X)) 若X=Y且映射E: XY是映上的,则成立 EKU(X) = EKU(DKR(EKU(X))) 若X=Y且为有限集合(例如分组密码),则E: XY是 映上的,从而成立
基于身份的密钥协商协议
3.密钥交换。 如果用户A和B想协商出一个密钥,他们执行以下步 骤: ① A随机选取,计算TA=aP,并将TA发送给B。 ② B随机选取,计算TB=bP,并将TB发送给A。 ③ A计算k eˆ(aQ , P )eˆ(S ,T ) 。 ④ B计算 k eˆ(bQ , P )eˆ(S ,T ) 。 这样用户A和B就建立了一个共享密钥k = V(kA) = V(kB)。
28
Shamir IBS Scheme
效率 签名和验证分别需要 2 integer exponentiations, 1 integer multiplication and 1 hash operation. 安全性:分解因子问题困难Integer Factorization Problem (IFP).
29
基于身份的密钥协商协议
1.系统建立 设G1为由P生成的循环加法群,阶为q,G2为具有相同阶q 的循环乘法群,:为一个双线性映射。定义一个安全的哈 希函数:和一个密钥导出函数V。PKG随机选择一个主密钥, 计算Ppub=sP。PKG公开系统参数{G1, G2, q, ê, P, Ppub, H1, V},保密主密钥s。 2.密钥提取 给定一个用户的身份ID,PKG计算该用户的私钥SID = sQID并把此值安全地发送给该用户,其中QID=H1(ID) 为该用户的公钥。在这里我们设用户A的身份为IDA,公钥 为QA,私钥为SA,用户B的身份为IDB,公钥为QB,私钥 为SB。
16
基于身份的加密体制
初始化
输入: 安全参数 t 输出: 系统参数params和主密钥master-key
提取私钥
输入: 系统参数params和主密钥master-key 用户身份 ID∈{0,1}* 输出: 用户私钥dID
17
基于身份的加密体制
加密
输入: 系统参数params,明文M∈M, 明文接收者公钥(身份)ID∈{0,1}*, 输出: 密文C 输入: 系统参数params,密文C ∈C ,接收者私 钥dID, 输出: 明文M
27
Shamir IBS Scheme
签名: A 用私钥 g 签署消息 m: 1. 选取随机整数 r,计算t = r^e mod n 2. 计算s = g*r^h(t,m) mod n Signature: σ = <s, t>∈ Zn × Zn. 验证: 验证者收到签名 σ = <s’, t’> ,消息m’和签名者的 公钥(身份ID),验证下式是否成立 s’^e= ID*t’ ^h(t’,m’) mod n.
《现代密码学》第九章
基于身份的密码体制
1
本讲主要内容
基于身份的密码系统(IBC)的提出 基于身份的加密体制(IBE)的定义
Boneh-Franklin IBE方案 Shamir IBS方案
基于身份的签名体制(IBS)的定义
基于身份的密钥协商(IBKA)的定义
Scott IBS方案
2
15
基于身份的加密体制
1984年以色列科学家Shamir提出了基于身份的密 码系统的概念(IBC)。 2001年,D. Boneh和M. Franklin , R. Sakai, K. Ohgishi 和 M. Kasahara利用椭圆曲线上的双线性 对设计了基于身份的加密算法。 2001年C. Cocks利用平方剩余难题设计了基于身 份的加密算法。 D. Boneh和M. Franklin提出的IBC (BF-IBC)的安全 性可以证明并且有较好的效率,所以引起了极大 的反响。
输入: 安全参数 t 输出: 系统参数params和主密钥master-key
提取私钥( Extract )
输入: 系统参数params和主密钥master-key 用户身份 ID∈{0,1}* 输出: 用户私钥dID
25
基于身份的签名体制
签名( Sign )
输入: 系统参数params,消息M∈M, 签名者的私钥dID. 输出: 签名σ∈S 输入: 系统参数params, 签名σ∈S ,签名者公 钥(身份)ID∈{0,1}*,消息M∈M. 输出: “Accept” 或者 “Reject”.
26
验证( Verify )
Shamir IBS Scheme
Shamir提出了一个采用RSA算法的IBS算法。 初始化: 1. 选取两个大素数p,q,计算它们的乘积n;选 取与Φ(n)互素的整数 e ; 选取一个单向函数h. 参数: n, e, h; 主密钥: n 的因子. 提取私钥: 给定用户的 ID, PKG计算用户的私钥 g ,满足 g^e =ID mod n.
基于证书的公钥密码体制
每个用户的公钥都伴随一个公钥证书,这个 公钥证书由CA签发。公钥证书是一个结构 化的数据记录,它包括了用户的身份信息、 公钥参数和CA的签名。任何人都可以通过 验证证书的合法性(CA的签名)来认证公 钥。如果一个用户信任CA,那么,在他验 证了另一个用户的证书的有效性后,他就应 该相信公钥的真实性。
效率 解密: 1 pairing operation, 1 hash operation (H2) 1 XOR operation.
安全性假设:BDHP困难: C,P,H(ID),求(g,g)^rst,其中 C=rg,P=sg,H(ID)=tg,
24
基于身份的签名体制
初始化(Setup)
用公钥密码实现保密
用户拥有自己的密钥对(KU,KR)
公钥KU公开,私钥KR保密 AB: Y=EKUb(X) B: DKRb(Y)= DKRb(EKUb(X))=X
用公钥密码实现认证
条件:
加密与解密的顺序没有限制
认证:
AALL: Y=DKRa(X) ALL: EKUa(Y)=EKUa(DKRa(X))=X 认证+保密: AB: Z= EKUb(DKRa(X)) B: EKUa(DKRb(Z))=X
基于证书的公钥密码体制缺点
使用任何公钥前都需要先验证公钥证书的合 法性,增加了用户的计算量; CA需要管理大量的证书,包括证书的撤销、 存储和颁发。
基本思想和要求
涉及到各方:发送方、接收方、攻击者 涉及到数据:公钥、私钥、明文、密文 公钥算法的条件: 产生一对密钥是计算可行的 已知公钥和明文,产生密文是计算可行的 接收方利用私钥来解密密文是计算可行的 对于攻击者,利用公钥来推断私钥是计算不可行的 已知公钥和密文,恢复明文是计算不可行的
安全性假设: BDHP 是困难的
20
Boneh-Franklin IBE Scheme
初始化 (t)
用 t 生成一个素数 q 生成阶为q的循环群 G1, G2, 及一个双线性映射e: G1×G1 → G2 任意选取一个生成元 g∈G1 选取一个随机数 s∈Zq* 令 P= sg 选取两个密码学hash函数: H1:{0,1}* →G1* 和 H2:G2 → {0,1}n
公钥密码学的简单模型
公钥密码学的历史
76年Diffie和Hellman在“密码学的新方向” 一文中提出了公钥密码的新概念,奠定了 公钥密码学的基础 公钥技术是二十世纪最伟大的思想之一