第九章可证明安全性理论.
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.数字签名体制的安全性概念
对于数字签名体制,存在以下几种伪造类 型: (1)完全攻破:敌手能够产生与私钥持有者 相同的签名,这相当于恢复出了私钥。 (2)选择性伪造:敌手能够伪造一个他选择 的消息的签名。 (3)存在性伪造:敌手能够伪造一个消息的 签名,这个消息可能仅仅是一个随机比特 串
如果没有一个敌手能以大于一半的概率赢得以下 游戏,我们就称这个加密体制具有密文不可区分 性,或具有多项式安全性。这个敌手A被告知某个 公钥y及其相应的加密函数fy。敌手A进行以下两个 阶段: 寻找阶段:敌手A选择两个明文m0和m1。 猜测阶段:敌手A被告知其中一个明文mb的加密结 果,这里的b是保密的。敌手A的目标是以大于一 半的概率猜对b的值。
攻击模型
① 被动攻击 在被动攻击中,敌手被告知一个公钥,要求产 生一个选择性伪造或存在性伪造。这是一种比 较弱的攻击模型。 ② 积极攻击 积极攻击中最强的攻击是适应性选择消息攻击 (adaptive chosen messages attacks),即 敌手可以访问一个签名预言机,它能够产生合 法的签名。敌手的目标是产生一个消息的签名, 当然这个消息不能是已经询问过签名预言机的 消息。
从这个游戏可以看出,一个具有多项式安全性的 加密体制一定是一个概率性加密体制。否则,敌 手A在猜测阶段就可以计算: c1=fy(m1) 并测试是否有c1=cb成立。如果成立,敌手A就可 以成功推断b =1,否则b=0。既然敌手A总能简单 地猜测b的值,敌手A的优势定义为:
1 Adv A Pr( A(cb , y, m0 , m1 ) b) 2
(1)完美安全性
如果一个具有无限计算能力的敌手从给定的 密文中不能获取明文的任何有用信息,我们 就说这个加密体制具有完美安全性或信息论 安全性。根据Shannon理论知道,要达到完 美安全性,密钥必须和明文一样长并且相同 的密钥不能使用两次。然而,在公钥密码体 制中,我们假设加密密钥可以用来加密很多 消息并且通常是很短的。因此,完美安全性 对于公钥密码体制来说是不现实的。
定义2 如果一个公钥加密体制在适应性选 择密文攻击下是多项式安全的,我们就说 该体制是安全的。
引理1 一个可展(Malleability)的加密 体制在适应性选择密文攻击下是不安全 的。
证明:假设一个加密体制是可展的,当给 定一个目标密文cb时,我们可以把它修改成 一个相关的密文cb *。这种相关的关系也应 该存在于和mb和mb*。然后敌手利用解密预 言机(解密盒)来获得cb *的明文。最后敌 手根据mb*来恢复mb。
8.1 可证明安全性理论的基本概念
公钥加密体制的安全性概念 数字签名体制的安全性概念 随机预言模型
1.公钥加密体制的安全性概念
(1)完美安全性(perfect security) (2)语义安全性(Semantic security) (3)多项式安全性(polynomial security)
如果: Adv ≤ 1 p (k ) 我们就称这个加密体制是多项式安全的,其中p(k) 是一个多项式函数,k是一个足够大的安全参数。
A
三种基本的攻击模型
选择明文攻击(Chosen Plaintext Attack, CPA), 选择密文攻击(Chosen Ciphertext Attack, CCA) 适应性选源自文库密文攻击(Adaptive Chosen Ciphertext Attack, CCA2)。
第8章 可证明安全 性理论
可证明安全性(Provable security)
可证明安全性是指这样一种“归约”方法:首 先确定密码体制的安全目标,例如,加密体制 的安全目标是信息的机密性,签名体制的安全 目标是签名的不可伪造性;然后根据敌手的能 力构建一个形式化的安全模型,最后指出如果 敌手能成功攻破密码体制,则存在一种算法在 多项式时间内解决一个公认的数学困难问题。
③ 适应性选择密文攻击
适应性选择密文攻击是一种非常强的攻击 模型。除了目标密文外,敌手可以选择任 何密文对解密盒进行询问。目前普遍认为, 任何新提出的公钥加密算法都应该在适应 性选择密文攻击下达到多项式安全性。
语义安全
定义1 如果一个公钥加密体制在适应性选 择密文攻击(adaptive chosen ciphertext attacks)下是语义安全的,我们就说该体 制是安全的。
① 选择明文攻击
在选择明文攻击中,敌手被告知各种各样 的密文。敌手可以访问一个黑盒,这个黑 盒只能执行加密,不能进行解密。既然在 公钥密码体制中任何人都可以访问加密函 数,即任何人都可自己产生一些明文密文 对,选择明文攻击模拟了一种非常弱的攻 击模型。
② 选择密文攻击
选择密文攻击也称为午餐攻击,是一种比选择 明文攻击稍强的攻击模型。在选择密文攻击中, 敌手可以访问一个黑盒,这个黑盒能进行解密。 在午餐时间,敌手可以选择多项式个密文来询 问解密盒,解密盒把解密后的明文发送给敌手。 在下午时间,敌手被告知一个目标密文,要求 敌手在没有解密盒帮助的情况下解密目标密文, 或者找到关于明文的有用信息。 在上面给出的多项式安全性的攻击游戏中,选 择密文攻击允许敌手在寻找阶段询问解密盒, 但是在猜测阶段不能询问解密盒。
(2)语义安全性
语义安全性与完美安全性类似,只是我们 只允许敌手具有多项式有界的计算能力。 从形式上说,无论敌手在多项式时间内能 从密文中计算出关于明文的什么信息,他 也可以在没有密文的条件下计算出这些信 息。换句话说,拥有密文并不能帮助敌手 找到关于明文的任何有用信息。
(3)多项式安全性
我们很难显示一个加密体制具有语义安全 性,然而,我们却可以比较容易显示一个 加密体制具有多项式安全性。多项式安全 性也称为密文不可区分性。幸运的是,如 果一个加密体制具有多项式安全性,那么 我们可以显示该体制也具有语义安全性。 因此,为了显示一个加密体制是语义安全 的,我们只需要显示该体制是多项式安全 的。