基于ElGamal体制的门限秘密共享方案
基于ECC的存在特权集的门限群签名方案
基于ECC的存在特权集的门限群签名方案董玉蓉【摘要】通过对一种EIGamal类型存在特权集的门限群签名方案的分析研究,提出了一种基于ECC的存在特权集的门限群签名方案.该方案能有效防止KDC的欺诈,且只有在同时满足(t,n)ch,(t1,n1)门限签名时才能生成消息的有效签名,从而实现了门限特性,并具有门限群签名应有的性质.【期刊名称】《微型机与应用》【年(卷),期】2011(030)002【总页数】4页(P89-92)【关键词】特权集;秘密共享;门限群签名;ECC【作者】董玉蓉【作者单位】贵州大学计算机科学与信息学院,贵州贵阳520025【正文语种】中文【中图分类】TP309群签名方案首次由Chanm和VanHeyst于1991年提出。
在群签名方案中,允许每个成员都可以代表整个群体进行签名。
在群签名方案中引入秘密共享,解决密钥安全与有效保管问题的同时也形成了一类新的群签名方案——门限群签名方案,即群体中的某些给定子集可以代表整个群体签名。
在门限群签名方案中,门限群签名是由参加签名的各个成员所签署的部分数字签名按照某种方式结合后产生。
2003年,BELLARE M等人提出了群签名的简化形式定义[1]。
在这之后,不少学者提出的门限群签名方案均采用形式化的方法证明方案的安全性。
参考文献[2]提出良好的门限群签名应该具备以下一些性质:群签名特性、门限特性、不可伪造性、验证简单性、匿名性、可追查性、强壮性。
参考文献[3]中,Chen Feng等人基于Shamir秘密共享体制并结合“存在特权集的门限群签名方案”的思想[4],构造了一类基于离散对数问题的ElGamal类型的存在特权集的门限群签名方案。
本文利用椭圆曲线密码体制的特点对Chen Feng的方案进行改进。
新的方案与原方案的共同点在于都使用双重秘密共享技术和单签名构造群签名的技术[3],不同之处在于新方案实现了群成员的加入和撤销,提高了方案的通用性。
ElGamal公钥密码体制及安全性
下面我们首先计算
γ
2,0
=α
0×(p-1)/2
mod 29
= 20 mod 29 = 1, γ
2,1
=α
1×(p-1)/2mod
29
= 228/2 mod 29
= 28. 因为 = 28 =γ
2,1 ,
0
ß mod 29 = 1828/2 mod 29
所以 a = 1.令
ß = ß α 1 因为
0, 1 e i 1
i
根据目前的计算能力,只有当p-1 的素因子是小素数时,才 能有效分解 p-1求得 。因此,Pohlig-Hellman 算法适用于p1 的素因子是小素数的情况。 例5.8 设p = 29, 则 p-1= 28 = 22×7.设α = 2, ß 18. = 求log 。令log a .
s ( p 1 ) qi
mod p
qi ,s
· ,k, · ·
s = 0, 1,2, ·· i -1. 将这些 q ·
ei i
排成一个
下面利用表L求 a mod q
a mod q
ei i
, i= 1,2,
1 i
· ,k. · ·
e i 1
设
q
ei 1 i
a a q a
0
ß=αd mod p,
所以
k c2(c1d)–1≡mß (α
dk
)
–1
(mod p)
–1(mod
≡mα
dk
(α
dk
)
p) α ∈zp*
≡m(mod p). 因此,解密变换能正确的从密文恢复相应的明文。
5.4.2. ElGamal公钥密码体制的安全性
基于ElGamal密码体制的可验证秘密共享方案
c mp tso l n i no d rt ee tfc e t )s n h r b bl yo u c s fl h a ig c nb n rd Th o u e nyo etmei r e od tc h a se【 t dt ep o a it fs ce sul c e t a ei o e . e i i a i y n g
s c e e l rc n p i to tt e ie t y o h a s i t e x s. r t i c e ,h e r t i f r t n i f l s d a d e r td a e a o n u h d n i fc e t f h y e it Fo h s s h me t e s c e n o ma i s u l u e n t o y t e c mp t t n c mp e i fv rf ig c n b e u e r ey Th h d wsd o e d t ec a g d wh n t e s a e h o u a i o lx t o e i n a er d c d l g l . e s a o on t e o b h n e e h h r d o y y a n
椭圆曲线上的向量空间秘密共享方案
椭圆曲线上的向量空间秘密共享方案才宇飞;姜伟;刘焕平【摘要】In this paper, a vector space secret sharing scheme based on elliptic curve is proposed. The scheme expands the secret from the finite field to the elliptic curve. The sub - secret is encrypted by the elliptic curve E1Gamal cryptography to enhance the security. Its security is based on the security of the elliptic curve EIGamal cryptosystem and the intractability of the elliptic curve discrete logarithm problem. Compared with congener schemes, this one does not need security channel to send secret and spends less communication cost with high reliability and small amount of calculation.%基于椭圆曲线提出一个向量空间秘密共享方案.方案中将共享的秘密由有限域拓展到椭圆曲线上.利用椭圆曲线上的ElGamal密码体制加密子秘密,使得秘密具有更高的安全性.其安全性是基于椭圆曲线上的ElGamal密码体制的安全性及椭圆曲线离散对数问题难解性.与同类方案相比,该方案不需要安全信道发送秘密,且花费较小的通信代价,安全性高,计算量小.【期刊名称】《哈尔滨师范大学自然科学学报》【年(卷),期】2012(028)003【总页数】3页(P38-40)【关键词】秘密共享;椭圆曲线;ElGamal密码体制【作者】才宇飞;姜伟;刘焕平【作者单位】哈尔滨师范大学;天津市渤海石油第一中学;哈尔滨师范大学【正文语种】中文【中图分类】TP3090 引言在保密通信中,秘密共享是信息安全和数据保密的重要手段,针对密钥管理中密钥的泄漏问题和遗失问题,Blakley[1]和 Shamir[2]于 1979 年分别独立提出了门限秘密共享体制,由于门限秘密共享体制简单有效和易于实现,因此得到了很多学者的关注并对其进行了大量的研究.Asmuth和Bloom[3]提出了基于中国剩余定理的秘密共享方案,相对于Shamir[2]的方案降低了秘密重构阶段的计算复杂性,同时安全性也降低了.Angsuman Das 和 Avishek Adhikari[4]提出一般接入结构上的秘密共享方案,使其具有更加广泛的应用空间.1989 年,Brickell[5]提出了向量空间秘密共享方案,并且指出Shamir门限方案是向量空间秘密共享方案的特殊情况.2002年,许春香[6]等人提出一个密钥空间为有限域的安全矢量空间秘密共享方案,并对安全性和信息率做了定量分析.由于现代密码分析技术的不断发展,攻击者的计算能力增强,基于有限域的密码体制已经不能满足安全性的需要,越来越多的学者投入到安全性更好的椭圆曲线密码体制的研究,由于椭圆曲线公钥密码体制具有密钥短,加密强度高,存储空间小的优点,学者构造了许多的椭圆曲线秘密共享方案[7-9].1 预备知识1.1 向量空间访问结构及向量空间秘密共享方案设 P={p1,p2,…,pn}是n个分享者集合,K=GF(q)是一个有限域,分发者D∉P,Kr是K上的r维向量空间.Γ是P上的一个单调访问结构,且r不小于所有最小授权子集的最大基数.称Γ是一个向量空间访问结构,如果存在函数φ:P∪D→Kr,满足性质φ(D)=(1,0,…,0)∈〈φ(pi):pi∈B〉⇔B∈Γ.向量空间秘密共享方案[10]构造如下:首先D向全体参与者公布函数φ,对要共享的秘密S∈K,D定义v1=S,并随机地选取vi∈K,i=2,3,…,r.K 中的一个向量 v=(S,v2,…,vr),使得S=v·φ(D).其中φ(D)=(1,0,…,0),把si=v·φ(pi)的值作为子秘密份额秘密发送给每个参与者pi,如果B={p1,p2,…,pl}是一个授权子集,则存在K中的一个向量λ =(λ1,λ2,…,λl),满足,其中“·”表示向量的数量积(内积),则有从而对于B中的参与者来说,秘密S由他们所共享的子秘密si的线性组合来恢复.1.2 模素数的椭圆曲线定义1 有限域Zp上的椭圆曲线E(Zp)是定义在仿射平面上的三次方程y2≡(x3+ax+b)modp的所有解(x,y)∈Zp×Zp与无穷远点O构成的并集,记为其中:p为素数,p > 3,a,b∈Zp,且4a3+27b2≠0.E上的点数记为#E,它满足不等式E上的加法运算定义如下:假设P=(x1,y1),Q=(x2,y2)是 E 上的点.如果 x1=x2且y2=-y1,则 P+Q=O;否则 P+Q=(x3,y3),其中且可以证明,椭圆曲线上的点关于点的加法构成阿贝尔群.如果P=(x,y),k是一个整数,那么点P的阶是满足nP=O的最小的正整数,记为l.定义2 给定一个有限域Zp上的椭圆曲线E(Zp),P∈E(Zp),点P的阶为大素数l,对于给定点R ∈〈P〉,计算整数n∈[1,l],满足 nP=R.称为椭圆曲线离散对数问题(ECDLP).2 椭圆曲线上的向量空间秘密共享方案假设 P={p1,p2,…,pn}是n个参与者的集合,E(Zp)是有限域Zp上的椭圆曲线,G是一个l(l是一个大素数)阶的E(Zp)上的基点,且〈G〉上的椭圆曲线离散对数问题是难解的.所要共享的秘密S∈E(Zp),Γ是P的一个向量空间访问结构,φ:P∪ D→是相应的函数,公开参数φ(pi)=(ai1,ai2,…,air),φ(D)={1,0,…,0}.首先每个参与者pi选取ai∈[1,l],计算βi=aiG,ai作为私钥,βi公开.其次分发者D选取a∈[1,l],计算β =aG,a作为私钥,β 作为公钥,分发者要保证βi≠ βj(i≠ j),β ≠ βi,i,j=1,2,…n.2.1 秘密份额的分发(1)分发者D任意选取数x2,…,xr∈,令v=(S,x2G,…,xrG)∈ (Zp× Zp)r,所共享的秘密S=v·φ(D).(2)分发者计算si=v·φ(pi)=ai1S+ai2x2G+ … +airxrG,i=1,2,…,n,si为参与者pi的子秘密共享.(3)分发者选取k∈,对于每个 si=(six,siy),计算公开 C1,C2i,i=1,2,…,n.2.2 秘密的恢复为了恢复秘密S,不妨假设B={p1,p2,…,pl}是授权子集,则存在Zp上的向量使得又因为C2i-aiC1=si(见后文可行性分析),所以授权子集中的成员用自己的私钥ai 即可求得si,再由B中的所有参与者提供的子秘密si就可恢复秘密S,3 方案分析(1)可行性分析.令 xiG=(mi,ni),i=2,…,r则向量参与者共享的秘密恢复秘密时,设授权子集 B={p1,p2,…,pl}∈Γ,则,其中λ =(λ1,λ2,…,λl),由于所以授权子集中的成员用自己的私钥ai即可求得 si,秘密(2)本方案的安全性是基于椭圆曲线离散对数问题难解性及椭圆曲线上的Elgamal 密码体制的安全性.采用椭圆曲线上的Elgamal密码体制对子秘密si进行加密,提高了安全性能,计算简单.已知C1,试图从C1=kG中得到整数k是不可能的,同样,已知 C2i,试图从C2i=si+kβi中得到si是不可能的,因为k是未知的. (3)当要保存新的秘密S'时,只需分发者D重新选择xi∈R(Zp)*,i=2,…,r再计算参与者的子秘密si',按照以上的步骤进行,公开C1',C2i'.而不需要改变分发者和参与者的公钥和私钥.4 结论基于椭圆曲线提出了一个更具安全性,实用性的向量空间秘密共享方案.无需安全信道传输,也减少了通信代价.椭圆曲线密码体制使秘密共享建立在椭圆曲线离散对数难题上,提高了安全性能.再接下来的研究中,会考虑无可信中心的秘密共享方案.参考文献[1] Blakley G R.Safeguarding Cryptographic Keys[A].Proc.AFIPS 1979 National Computer Conference,1979:313-317.[2] Shamir A.How to Share a Secret[J].Communications of the ACM,1979,22(11):612-613.[3] Asmuth C.,Bloom J.A Modular Approach to Key Safeguarding [J].IEEE Transactions on Information Theory,1983,29:208-210.[4] Das A.,Adhikari A.An Efficient Mult-use Multi-secret Sharing Scheme Based on Hash Function[J].Applied Mathematics Letters,2010,23:993-996.[5] Brickell E F.,Some Ideal Secret Sharing Schemes[J].Journal of Combinatorial Mathematics and Combinatorial Computing,1989,9:105-113.[6]许春香,陈凯,肖国振.安全的矢量空间秘密共享方案[J].电子学报,2002,30(5):715-718.[7]殷春梅,汪彩梅.一种基于椭圆曲线的多密钥共享方案[J].合肥工业大学学报,2006,29(4):392-394.[9]肖立国,钟诚,陈国良.基于椭圆曲线密码体制的动态秘密共享方案[J].微电子学与算机,2002(1):30-31.[10]Stinson D R.密码学原理与实践[M].冯登国等译,3版.北京:电子工业出版社,2010.。
基于ElGamal体制的门限密钥托管方案
基于ElGamal体制的门限密钥托管方案
曹珍富;李继国
【期刊名称】《计算机学报》
【年(卷),期】2002(025)004
【摘要】该文基于ElGamal密码体制提出了一个门限密钥托管方案.这个方案不仅有效地解决了"一次监听,永久监听"问题,而且每个托管代理能够验证他所托管的子密钥的正确性,并且在监听阶段,监听机构能够确切地知道门限密钥托管方案中哪些托管代理伪造或篡改子密钥.由于该方案是门限密钥托管方案,所以在各托管代理中有一个或几个托管代理不愿合作或无法合作时,监听机构仍能很容易地重构出会话密钥.此外,还具有抵抗LEAF反馈攻击的特性.
【总页数】5页(P346-350)
【作者】曹珍富;李继国
【作者单位】上海交通大学计算机科学与工程系,上海,200030;哈尔滨工业大学计算机科学与工程系,哈尔滨,150001
【正文语种】中文
【中图分类】TP309
【相关文献】
1.基于ElGamal公钥体制的动态密钥托管方案 [J], 房伟;闫鸿滨
2.基于ELGamal密码体制的安全密钥托管方案 [J], 张文娟;张锦华
3.基于ElGamal公钥体制的动态(k,n)门限密钥托管方案 [J], 谢丽丽;张龙;刘绍武;
柯品惠
4.基于椭圆曲线密码体制的动态(k,n)门限密钥托管方案 [J], 谢丽丽;张龙;刘绍武
5.基于椭圆曲线密码体制的门限密钥托管方案 [J], 何业锋;张建中
因版权原因,仅展示原文概要,查看原文内容请购买。
【国家自然科学基金】_elgamal_基金支持热词逐年推荐_【万方软件创新助手】_20140801
2013年 序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
科研热词 秘密混洗证明 离散对数 安全性 圆锥曲线 双线性对 匿名通信 伪造攻击 乐观混合网络 门限代理 签名方案 盲签名 液化侧向流动场地 椭圆曲线密码体制 桩基础 有序多重数字签名 整数分解 数据完整性 大型振动台试验 多屈服面塑性模型 代理密钥 代理多重签名 代理多重盲签名 代数整数环 云计算 云存储 三维非线性有限元法 elgamal签名方案 elgamal签名 elgamal数字签名 elgamal公钥密码
2012年 序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45
科研热词 推荐指数 随机密钥 2 模幂运算 2 数字签名 2 cache计时攻击 2 预分配 1 非交换群 1 门限签名 1 逢低买入 1 通信开销 1 认证协议 1 系统设计 1 系统实现 1 移动ad hoc网络 1 盲签名 1 消息恢复 1 椭圆曲线数字签名 1 椭圆曲线 1 无线射频识别 1 强等价 1 应用系统 1 密码体制 1 安全电子拍卖 1 安全强等价 1 安全多方计算 1 安全 1 多重盲签名 1 多重数字签名 1 基于身份的密钥管理 1 圆锥曲线密码体制 1 半直积 1 内自同构 1 代理多重签名 1 代理多重盲签名 1 nonce 1 modular exponentiation 1 hash函数 1 gny逻辑 1 elgamal算法 1 elgamal签名体制 1 elgamal签名 1 elgamal加密 1 elgamal signture 1 e1gamal签名 1 dsa数字签名 1 cache timing attack 1
elgamal公钥密码体制
elgamal公钥密码体制
摘要:
I.简介
- 公钥密码体制的定义
- ElGamal 公钥密码体制的提出背景
II.ElGamal 公钥密码体制的基本原理
- 加密和解密过程
- 数字签名和验证过程
III.ElGamal 公钥密码体制的安全性
- 密钥生成和分发
- 攻击模型的分析
IV.ElGamal 公钥密码体制的应用
- 电子商务领域的应用
- 安全通信领域的应用
正文:
ElGamal 公钥密码体制是一种非对称加密算法,由Taher ElGamal 于1985 年提出。
该体制基于离散对数问题的困难性,相较于RSA 密码体制,ElGamal 密码体制在相同安全级别下具有更小的密钥长度。
ElGamal 公钥密码体制的基本原理包括加密和解密过程、数字签名和验证过程。
在加密过程中,发送方使用接收方的公钥对明文进行加密;在解密过程中,接收方使用自己的私钥对密文进行解密。
数字签名过程类似于加密过程,
发送方使用接收方的公钥对自己发送的消息进行签名,接收方则使用发送方的私钥对签名进行验证。
ElGamal 公钥密码体制的安全性主要依赖于密钥生成和分发。
密钥生成过程中,用户需要选择一个大于1 的素数p,并在模p 意义下找到一个随机数x,通过计算得到公钥和私钥。
密钥分发过程中,发送方需要将公钥发送给接收方,而私钥则需要妥善保管,以防止泄露。
尽管ElGamal 公钥密码体制在电子商务领域和安全通信领域有着广泛的应用,但由于其密钥长度相对较小,容易受到暴力破解攻击。
因此,研究者们针对该体制提出了许多改进方案,以提高其安全性和抵抗攻击的能力。
shamir 原理简单介绍
shamir 原理简单介绍
Shamir的门限方案是一种基于拉格朗日插值多项式的密码学方案,用于实现秘密共享。
其基本原理是将一个秘密密钥切分成多个部分,并分发给不同的参与方。
当满足指定的门限条件时,参与方才能合作将密钥还原出来。
这样做的好处是即使有部分参与方失效或者被攻击,仍然可以保证密钥的安全性。
Shamir门限方案的核心原理是将秘密密钥作为常数项,构造一个t-1次多项式,其中t是门限值。
然后选择一个有限域和t-1个随机数作为插值多项式的系数,在每个参与方上计算对应的多项式值,并将其作为该参与方的私密分享。
通过任意t个参与方的合作运算,可以通过插值多项式重建密钥。
Shamir门限方案具有很高的安全性,因为即使少于t个参与方联合也不能得到共享秘密的任何信息。
此外,Shamir门限方案还具有灵活性和可扩展性,可以根据实际需求调整门限值和参与方数量。
基于变形的EIGamal的(t,n)门限秘密共享方案
步分 析 和改 进 等 , 在秘 密共 享方 案之 中 , 利用 插值 多项 式 生成参 与 者 的密钥 也是 可行 的.
现在 , 很 多 的秘 密共 享方 案 都较 为理 想化 , 但在 实 际应 用 中往 往 存在 着 一 些 困难 , 如 权利 分 配 过 于平 均. 事 实上 , 无 论是 一个 公 司还是 政府 机关 , 权 利绝 对平 均 分配 都 是 不可 能 的. 例 如某 公 司有 几 笔 巨款 , 为
第 1 2卷 第 2期 2 0 1 3年 3月
杭州 师范 大学 学 报 ( 自然 科 学 版 )
J o u r n a l o f H a n g z h o u N o r m a l U n i v e r s i t y ( N a t u r a l S c i e n c e E d密值 S . 此外 , 系统 还具 有 良好 的稳 定性 .
中 图 分 类 号 :TP3 0 9 MS C 2 0 1 0:9 4 A6 O 文 献 标 志码 :A 文章 编 号 :1 6 7 4 — 2 3 2 X( 2 0 1 3 ) 0 2 — 0 l 3 5 0 5
0 引 言
随着计 算机 和 网络通 信 的广 泛应用 , 人 们 的生 活 、 工 作越 来越 多 的涉及 到 电子 商务 , 在 电子商 务 中 , 密 钥 的安 全管 理成 为一 个极 为重 要 的 问题 . 秘 密共 享 思想 的提 出便 是为 解决 密钥 的安 全管 理 问题. 秘密 共享 的概念 最早 于 1 9 7 9 年被 S h a mi r [ 1 和B l a k l e y 分 别 独立 的提 出 来 , 并 且 给 出 了秘 密共 享 的具 体方 案 , 随后 越 来越 多专 业人 员对 秘 密共享 进 行较 为深 入 的探索 . 近 年来 , 秘 密共享 也 越来 越 多的被 应用 到信 息安 全 当 中, 用来 保证 一 些重要 信 息 的安全 性 , 如何 斌 、 黄杰 等人 的一种 分 布 式 可验 证 的多 秘 密共 享 方 案 和孙 宝 林 等人 的 RS A 算法 和 As mu t h — B l o o m 秘 密共 享 问题 的研究 l _ 3 等. 秘 密共 享 的思 想 是将 秘 密 5 以合 理 的方
基于iOS终端的SM2移动密码系统
基于iOS终端的SM2移动密码系统邓高宇;龙毅宏【摘要】本文提出并实现了一种基于iOS移动终端的SM2移动密码系统方案,在iOS移动终端提供基于秘密共享的SM2签名功能.此系统针对SM2私钥进行秘密共享,将SM2私钥秘密份额分别存储在移动终端和密码服务器上.在应用程序需要使用SM2私钥进行数字签名时,移动终端和密码服务器分别使用SM2私钥秘密份额进行密码运算,最后将密码运算的结果组合实现SM2数字签名.本文提出的针对SM2私钥的秘密共享方案,使用户能够基于iOS移动终端安全地使用SM2私钥.【期刊名称】《软件》【年(卷),期】2018(039)002【总页数】4页(P28-31)【关键词】SM2;移动终端;秘密共享【作者】邓高宇;龙毅宏【作者单位】武汉理工大学信息工程学院,湖北武汉 430070;武汉理工大学信息工程学院,湖北武汉 430070【正文语种】中文【中图分类】TN918.910 引言SM2椭圆曲线公钥密码算法于 2010年首次公开发布,2012年成为中国商用密码标准,2016年成为中国国家密码标准。
迄今为止与SM2算法相关研究表明,SM2算法的可证安全性达到了公钥密码算法的最高安全级别[1],其实现效率相当于或略优于一些国际标准的同类椭圆曲线密码算法[2-5]。
2013年,孙荣燕,蔡昌曙,周洲[6]等人对SM2数字签名算法与 ECDSA算法进行了对比与分析研究,对ECDSA-SM2算法的数字模型进行了正确性证明。
2016年,陈泽凯[7]实现了一个基于身份的SM2椭圆曲线数字签名方案SM2-IBS,具有效率高、签名长度短、不依赖PKI等特点。
随着4G、WLAN、传感器等无线网络的普及,使用移动终端逐渐成为用户访问网络处理业务(包括网络通信、电子支付、网上银行等)的重要手段[8]。
而在移动终端上使用公钥密码私钥如SM2私钥时,最重要的一点就是保障用户私钥存储、使用的安全。
目前在移动终端对用户私钥进行有效保护的手段主要有两种:一种是采用USB密码钥匙(USB key)作为客户端装置来存储私钥[9],此种方式给用户带来了使用成本,而且使用也不方便;另一种方式是使用移动终端内置密码芯片来存储私钥并进行密码运算,然而内置密码芯片的移动终端应用不广,市面上绝大部分手机都不自带密码芯片,且目前不存在支持SM2密码运算的手机密码芯片。
基于ElGamal同态加密的隐私保护电子投票 方案设计
Computer Science and Application 计算机科学与应用, 2019, 9(5), 941-946Published Online May 2019 in Hans. /journal/csahttps:///10.12677/csa.2019.95107Design of Privacy Protection ElectronicVoting Scheme Based on ElGamalHomomorphic EncryptionJing LiuSchool of Information and Security Engineering, Zhongnan University of Economics and Law, Wuhan HubeiReceived: May 7th, 2019; accepted: May 20th, 2019; published: May 27th, 2019AbstractRealizing the true anonymity is a research hot spot in the field of electronic voting. This paper proposes an electronic voting framework based on ElGamal homomorphic encryption. It counts ciphertext votes and then the statistical data is decrypted to obtain the voting result. This scheme greatly improves the anonymity of voting and data security at the time of counting. Further, expe-riments based on real-world scenario show that execution time and operational efficiency of the framework, and the feasibility of the framework is verified.KeywordsElectronic Voting, Homomorphic Encryption, Anonymity, Privacy Preserving基于ElGamal同态加密的隐私保护电子投票方案设计刘静中南财经政法大学信息与安全工程学院,湖北武汉收稿日期:2019年5月7日;录用日期:2019年5月20日;发布日期:2019年5月27日摘要实现电子投票真正地匿名性是电子投票领域的一个研究热点。
基于Shamir的(t,n)门限密钥共享方案安全性决策
图 2 系统子密钥存储分布图
4.2 实例分析
(1) 确定 t、n 值选取的决策方案集
根据定义 4 可知:备选方案中 t 的选择有 3 种,n 的选择有
3 种,则 t、n 值选择的方案有 3 种。其方案集 S = {s(ti,nj), i=1,2,3; j=1,2,3; i<j}。
(2) 将方案中的语言变量属性转换成精确数属性
0.8
方案 si 比方案 sj 明显好
0.7
方案 si 比方案 sj 稍微好
0.6
3.3 专家判断依据
根据 Shamir 的(t,n)门限密钥共享方案可知:t、n 值的 选取决定了密钥的安全性和易用性。当企业的实际情况确定 后,也就是 t、n 值的最大值确定后,t 值越大,密钥的安全 性越高,但是存储子密钥的服务器停止工作后,对密钥的恢 复影响就越大,因为密钥恢复需要的子密钥也越多。也就是 说密钥的安全一方面维系于 t 值的大小,另一方面受制于存 储子密钥服务器的安全,如图 1 所示。
2012.4
23
网络安全
(1) 初始化
共享方案中的 t、n 值选取的方案集为:
设 GF(s)是有限域(s 为质数,且 s>n)。密钥分发者 W 选 择 n 个不同的非零元素 xi∈ GF (s),1≤i≤n 。W 将 xi 分配
S ={s(ti,nj),i=1,2,3;j=1,2,3;i<j}。
2.2 Yager 第三指标
4 实例 4.1 实例描述
现某企业准备搭建一个云环境服务平台,为全球用户提 供一个类似 Gmail 的服务。数据加密是确保数据安全的有效
措施,密钥分散存储能有效的解决用户密钥丢失而造成的用 户数据丢失。由于该企业对数据安全性要求极高,为了更好的 保护密钥,其决定对密钥进行分散存储,该系统子密钥分布构 成如图 2 所示。结合该企业子密钥存储服务器数量实际情况, 确定 t、n 值选择范围为:10≤n≤100,10≤t≤100,t<n。
第十二讲 ElGamal公钥密码体制及Diffie-Hellman协议
Exercises
3、Illustrate the operation of RSA, given the following parameters: System modulus n=119 (7x17) encryption exp e=11 Determine the decryption exponent d, and hence details the public and private keys for this user. Then show how a message M=20 would be encrypted and decrpyted.
Diffie-Hellman 密钥分配方案 公钥密码问世 Diffie & Hellman in 1976: 密钥交换的实际方法 公钥方案概念的提出
W Diffie, M E Hellman, "New directions in Cryptography", IEEE Trans. Information Theory, IT-22, pp644-654, Nov 1976
α b , 并 计 算 (α b ) a α a , 并 计 算 (α a ) b αb
,并把计算
此 时 , A 和 B 已 有 了 共 享 的 群 元 素 α ab ( 可 作 为 共 享 密 钥 ) ( 此 。 协议是没有认证的交换协议,但可以通过第三方对交换的消息认
证、签名)
改进措施
使用STS协议时,A与B都提供自己的公 协议时, 与 都提供自己的公 使用 协议时 密钥对和共钥的证书, 根据一些消 钥/密钥对和共钥的证书,A根据一些消 密钥对和共钥的证书 息来计算一个签名, 息来计算一个签名,其中包括公共值 g^a mod p,B也做类似的运算。即使 p,B也做类似的运算 也做类似的运算。 C仍然能够截取 C仍然能够截取A与B之间的信息,但他 仍然能够截取A与B之间的信息 之间的信息, 并不能在没有A和 的密钥的情况下伪造 并不能在没有 和B的密钥的情况下伪造 签名,因此,这个增强的协议抵挡了中 签名,因此, 间人攻击。 间人攻击。
基于编码的ElGamal_型公钥密码体制研究概述
第31卷第2期北京电子科技学院学报2023年6月Vol.31No.2JournalofBeijingElectronicScienceandTechnologyInstituteJun.2023基于编码的ElGamal型公钥密码体制研究概述∗刘㊀冰㊀吴旭聃㊀冯雨薇北京电子科技学院,北京市㊀100070摘㊀要:基于编码的公钥密码算法具有安全性高㊁加解密速度快㊁易于实现的优点,但也普遍存在公钥规模大的缺点㊂常用的基于编码的加密方式有McEliece型㊁Niederreiter型和ElGamal型三种㊂作为新出现的加密模式,ElGamal型体制中涉及两类不同功能的编码,存在译码失败概率问题,采用了独特的临时密钥方法,提高了其安全性能㊂本文重点对ElGamal型加密方式进行介绍,对其结构㊁所基于的困难问题和译码失败概率等进行了研究,从而可以对该结构有更深入的认识,并据此为以后的设计和分析工作奠定基础㊂关键词:编码;ElGamal型;临时密钥;译码失败概率中图分类号:TP309㊀㊀㊀文献标识码:A文章编号:1672-464X(2023)2-01-09∗㊀基金项目:北京电子科技学院一流学科建设项目(项目编号:1201011)∗∗㊀作者简介:刘冰(1976-),男,博士,副教授,研究方向:密码学;吴旭聃(1996-),男,硕士研究生,研究方向:密码学;冯雨薇(1998-),女,硕士研究生,研究方向:密码学㊂引言㊀㊀随着时代的发展,量子计算机能将许多传统的公钥密码算法轻易破解,所以须寻求安全性更高的公钥密码算法,这就有了后量子密码算法[1,2]的出现㊂后量子密码算法能够有效抵御量子计算机的攻击,它们大致有以下几种:基于格的㊁基于编码的㊁基于多变量的㊁基于同源的㊁基于哈希函数的等㊂目前,越来越多的学者开始对后量子密码学进行研究㊂NIST发布公告,呼吁制定新标准用于后量子密码系统,CACR也举办了包括后量子密码在内的算法竞赛,来鼓励更多的人加入此项研究㊂美国国家标准技术研究所(NIST)在2012年启动了后量子密码的研究工作,并于2016年2月启动了全球范围内的后量子密码标准征集㊂NIST主要聚焦于以下3类后量子密码算法的征集:公钥加密㊁密钥交换㊁数字签名㊂有82个提案提交给NIST,其中69个方案进入第一轮,基于编码的方案有20个㊂有26个提案进入第二轮,有7个基于编码的方案[3]㊂有15个提案进入第三轮,基于编码的有3个㊂NIST于2022年7月发布了进入第四轮的候选算法,其中基于编码的有3个,分别是BIKE[4]㊁ClassicMcEliece[5]㊁HQC[6]㊂CACR的公钥密码竞赛中,也有进入到第二轮的基于编码的算法Piglet-1㊂基于编码的困难问题是公认的NP完全问题,在安全性方面能够得到保障,因而基于编码的密码算法有望成为后量子密码算法的主要选择㊂基于编码的公钥加密算法一直有着公钥规模大的缺点,但减小公钥规模可能会对其安全性北京电子科技学院学报2023年造成影响,有关方面的专家一直在这两者之间寻找一个平衡㊂基于编码的公钥密码系统,最早由McEliece[7]于1978年提出,称为McEliece方案,该方案基于Goppa码构造㊂Niederreiter在1986年提出了安全性等价的Niederreiter型方案㊂这两个体制的区别在于前者加密使用的是生成矩阵,而后者使用的是校验矩阵㊂近些年,受到格的加密算法的启发,编码的加密方案也开始使用ElGamal型加密方式[6]㊂本文对NIST中的一些基于编码的方案,根据它们的加密方式㊁所用的码㊁所基于的困难问题进行分类,如表1所示㊂表1㊀基于编码的NIST方案汇总类别结构码困难问题遴选结果ClassicMcElieceNiederreiter型Goppa码SD问题第四轮BIKENiederreiter型QC⁃MDPC码QCSD问题第四轮HQCElGamal型QC⁃MDPC码QCSD问题第四轮RQCElGamal型QC⁃LRPC码RQCSD问题第二轮ROLLOElGamal型QC⁃LRPC码RQCSD问题第二轮LEDAcryptMcEliece型QC⁃MDPC码QCSD问题第二轮BIGQUAKENiederreiter型Goppa码QCSD问题第一轮RLCE⁃KEMMcEliece型广义Reed⁃Solomon码SD问题第一轮DAGSMcEliece型DyadicGeneralizedSrivastava码SD问题第一轮1㊀相关定义㊀㊀定义1汉明距离和线性码㊂令Fq是一个有限域,则Fnq上两个字x和y之间的汉明距离[8]定义为x和y在对应位上不相同的位数㊂字x的汉明重量wt(x)定义为x中非零的位数㊂一个码是汉明空间Fnq的一个非空子集合㊂一个Fnq的k维子空间被称为是Fq上的一个(n,k)线性码㊂定义2生成矩阵和校验矩阵㊂设C是Fq上的(n,k)线性码㊂码C的生成矩阵[9]G是一个Fq上的矩阵,且使得C=<G>,<G>表示码C的向量子空间由G的行向量所张成㊂通常,G的行向量是相互独立的,且G是kˑn阶矩阵㊂如果G矩阵的前k列构成k阶单位阵,则称G为系统形式的生成矩阵㊂码C的对偶码Cʅ是在Fq上的标量乘意义下与C正交的码㊂它是Fq上的一个(n,n-k)码㊂码C的校验矩阵[9]H就是其对偶码Cʅ的生成矩阵㊂定义3最小距离和最小重量㊂设C是Fq上的(n,k)线性码㊂码C的最小距离d=dmin(C)是码的任意两个不同码字之间汉明距离的最小值㊂码C的最小重量是码的任意非零码字重量的最小值㊂线性码的最小距离等于其最小重量㊂设码的最小距离为d,则将(n,k)线性码称为(n,k,d)码㊂定义4秩距离㊂在有限域Fqm上(Fqm可视为Fq的m维空间),设u=(u1,u2,...,un)ɪFnqm,β1, ,βm是Fq上的一组基向量,每个ui可以由基表示为ui=ðmj=1xjiβj,则矩阵U=(xji)1ɤjɤm,1ɤiɤn,的秩称为u的秩重量,记为wR(.)㊂∀u,vɪFnqm,u和v的秩距离[10]d(u,v)=wR(u-v)㊂定义5循环矩阵㊂令x=(x1, ,xn)ɪFn㊂则循环矩阵定义如下:rot(x)=x1xn x2x2x1 x3︙︙⋱︙xnxn-1 x1éëêêêêêêùûúúúúúúɪFnˑn定义6准循环码(Quasi⁃CyclicCodes)[11]㊂将Fsn2的向量x=(x1, ,xs)视为s个连续块(n元组)㊂对于任意c=(c1, ,cs)ɪC,每个块c1, ,cs同时进行循环变换后获得的向量仍是㊃2㊃第31卷基于编码的ElGamal型公钥密码体制研究概述㊀一个是码字,则称一个[sn,k,d]线性码C是s阶的准循环(QC)㊂定义7MDPC码[12]:即中密度奇偶校验码㊂一个(n,r,w)-MDPC码是指长度为n,其奇偶校验矩阵行重量为w,余维数为r的线性码㊂MDPC码与LDPC码(低密度奇偶校验码)的区别在于它们行重量的大小,MDPC码行重量约为O(nlogn)数量级㊂定义8QC⁃MDPC码[12]㊂(n,r,w)-MDPC码为准循环结构时,即准循环中密度奇偶校验码(QC⁃MDPC码)㊂QC⁃MDPC码的定义是关于该码的校验矩阵H㊂(n,k,w,t)-QC⁃MDPC码中n是码长,也是H的列数;k为码的维度,r=n-k表示码的校验维度,也是H的行数;w表示校验矩阵H的固定行汉明重量;t表示码的纠错能力㊂QC⁃MDPC码的准循环结构奇偶校验矩阵HQC为HQC=H11 H1j︙⋱︙Hi1Hijéëêêêêùûúúúú定义9Polar码㊂极化码(Polarcode)[13]是一种信道编码方法,最早由土耳其Arikan[14]于2009年提出,其在理论上具有无限接近于香农限的独特性质㊂Polar码的原理是信道极化[15]㊂在信道极化中,有两个重要参数信道容量I(W)和巴氏参数Z(W)㊂给定一个B⁃DMC信道,如W:XңY,X和Y为输入和输出㊂令W(Y|X)为信道转移概率,其中Xɪ{0,1}㊂对信道W,信道的参数为信道容量I(W)和巴氏参数Z(W),则I(W)≜ðyɪYðxɪX12W(y|x)logWyx()12Wy0()+12Wy1()Z(W)≜ðyɪYWy0()Wy1()2㊀编码中的困难问题㊀㊀基于编码的困难问题[16]是一类量子计算机无法有效求解的NP完全问题㊂大多数编码的困难问题是源于SyndromeDecoding(SD)问题,它已经被证明是NP完全问题㊂本节将介绍3种常见的编码困难问题,分别是校验子译码(SD)困难问题㊁准循环码的校验子译码(QCSD)困难问题和准循环秩码的校验子译码(RQCSD)困难问题㊂NIST中的大部分参数方案都是基于以上的三个问题㊂2 1㊀SD困难问题H是有限域F上的随机线性码C的(n-k)ˑn的校验矩阵,sɪFn-k,找一个重量小于d的字xɪFn使得HxT=s㊂2 2㊀QCSD困难问题H是有限域F上的准循环码C的(n-k)ˑn的准循环校验矩阵,sɪFn-k,找一个汉明重量小于d的字xɪFn使得HxT=s㊂QCSD问题的困难性虽未得到严格证明,但对于准循环(QC)码的矩阵,SD问题仍然适用,目前也没有对其有效的攻击算法㊂2 3㊀RQCSD困难问题H是有限域Fq上的准循环码C的(n-k)ˑn的准循环校验矩阵,sɪFn-kq,找一个秩重量小于d的字xɪFnq使得HxT=s㊂RQCSD问题与上一问题的区别在于这里是在秩距离下,而上者是汉明距离㊂3㊀McEliece和Niederreiter加密方式㊀㊀在基于编码的公钥密码算法中,包括三种常见的构造模式㊂其中McEliece型和Niederreiter型出现较早,对其讨论也比较充分㊂这两种算法设计思路比较明确,但它们是直接通过隐藏码的结构来保证方案的安全性,这就对码的结构要求㊃3㊃北京电子科技学院学报2023年十分严格,并且存在破解的可能㊂目前这两种方式又可以分为原始方案与现代方案,主要区别在于现代方案使用的码字为系统码,其生成矩阵和校验矩阵具有G=(Ik X)和H=(-XTIn-k)的形式,因此可以减少部分密钥量㊂3 1㊀McEliece型加密方案3 1 1㊀原始方案密钥生成:生成一个能纠t个错的[n,k]线性码ς的生成矩阵G;私钥sk,(S,G,P),其中S是一个混淆可逆矩阵,P是一个置换矩阵;公钥pk:G =S㊃G㊃P㊂加密:给定一个明文m和一个重量w(e)ɤt的噪声向量e,密文为cѳmG +e㊂解密:令ΦG是能纠t个错误的译码算法,则明文可通过如下过程解密得到mѳΦG(cP-1)S-1㊂3 1 2㊀现代方案密钥生成:给定一个能纠t个错的[n,k]线性码ς的生成矩阵G;私钥sk,G;公钥pk,Gᶄ=(IQ)为G的标准型㊂加密:给定要加密的明文m,一个重量w(e)ɤt的噪声向量e,密文通过如下过程获得cѳmGᶄ+e㊂解密:令ΦG是能纠t个错误的译码算法,则明文可通过如下过程解密得到mѳΦG(c)㊂3 2㊀Niederreiter型加密方案3 2 1㊀原始方案密钥生成:给定一个能纠t个错的[n,k]线性码ς的校验矩阵H;私钥sk,(S,H,P),其中S是混淆可逆矩阵,P是一个置换矩阵;公钥pk,H=S㊃H㊃P㊂加密:重量wt(e)ɤt的噪声向量e,被用来表示明文信息m,密文为sѳHᶄeT㊂解密:令ΦH是能纠t个错误的译码算法,则明文可通过如下过程解密得到eѳP-1ΦH(S-1s)㊂3 2 2㊀现代方案密钥生成:给定一个能纠t个错的[n,k]线性码ς的校验矩阵H;私钥sk,H;公钥pk,Hᶄ=[Q|In-k]ѳH㊂加密:重量w(e)ɤt的噪声向量e,被用来表示明文信息m,密文s通过如下过程获得sѳHᶄeT㊂解密:令ΦH是能纠t个错误的译码算法,则明文可通过如下过程解密得到eѳΦH(s)㊂4㊀ElGamal型加密方式㊀㊀2017年,CarlosAguilar等人提出了第一个安全性依赖于随机准循环码译码的高效密码系统[17],即ElGamal型密码系统,随之又出现了ElGamal型的HQC和RQC[18]算法㊂Barreto[19]等人提出了ElGamal型的CAKE算法,Jean⁃ChristopheDeneuville提出了ElGamal型的Ou⁃roboros[20]算法,NicolasAragon等人提出的BIKE算法,其中第二轮中BIKE3是以Ouroboros算法为基础进行改进的ElGamal型算法㊂2019年,王丽萍等人提出了秩距离下的ElGamal型Piglet-1算法㊂ElGamal型加密方式与另外两种加密方式不同之处在于采用了两个独立的码㊂其中随机拟循环码不需要解密,保证了方案的安全性;而公开码C(或QC⁃MDPC码)保证了算法的正确性,对效率有很大影响㊂它让使用难以隐藏但译码效率很高的公开码成为可能㊂与之相比,McEliece型和Niederreiter型方案的编译码方法是固定的㊂同时ElGamal型采用的公私钥是临时密钥,每次密钥交换时都会生成一个新的密钥对,这意味着ElGamal型方式在信息传输时的密钥是不断更新的,这样可有效抵御GJS攻击㊂4 1㊀ElGamal型加密方式概况ElGamal型方案又可以分两类㊂㊃4㊃第31卷基于编码的ElGamal型公钥密码体制研究概述㊀4 1 1㊀版本一(以HQC㊁Piglet-1等为代表)密钥生成:随机取样hƔѳR=F2[X]/(Xn-1),GɪFkˑn2是具有快速译码算法的编码C在R上的生成矩阵;私钥sk,(x,y)ƔѳR2且ω(x)=ω(y)=w;公钥pk,(h,s=y+h㊃x),得到(pk,sk)㊂加密:生成噪声向量eƔѳR㊁(r1,r2)ƔѳR2使得ω(e)=we,ω(r1)=ω(r2)=wr,密文(c1,c2),c1=r1+h㊃r2,c2=mG+s㊃r2+e,得到c=(c1,c2)㊂解密:令DG是码C的能纠δ个错误的译码算法,解密如下mѳDG(c2-c1㊃x)=DG(mG+yr2-r1x+e),返回DG(c2-c1㊃x)㊂4 1 2㊀版本二(以Ouroboros,BIKE第二轮算法3为代表)密钥生成:随机取样hƔѳR=F2[X]/(Xn-1),;私钥sk,(x,y)ƔѳR2且ω(x)=ω(y)=w;公钥pk,(h,s=y+h㊃x),得到(pk,sk)㊂加密:生成噪声向量eƔѳR㊁(r1,r2)ƔѳR2使得ω(e)=we,ω(r1)=ω(r2)=wr,密文(c1,c2),c1=r1+h㊃r2,c2=s㊃r2+e,得到c=(c1,c2)㊂解密:对(c2-c1㊃y)进行译码,得到e和(r1,r2)㊂4 2㊀正确性验证以版本一为例,版本二类似㊂假设合法的接收者可以使用sk从消息的噪声编码c2中去除足够多的错误,系统的正确性可以得到保证㊂此方案的正确性显然依赖于码C的译码能力㊂特别的,假定码C正确译码c2-c1㊃y,则有Decrypt(sk,Encrypt(pk,m))=m㊂要使码C正确译码c2-c1㊃y,还需满足以下条件:ω(s㊃r2-m㊃y+e)ɤδ,即ω(x㊃r2-r1㊃y+e)ɤδ,此条件将通过译码失败概率分析(以足够大的概率)得到保证㊂4 3㊀设计特点与传统的McEliece和Niederreiter型方案相比,ElGamal型方案具有一些新的设计特点,从而进一步提高了方案的安全性㊂其中临时密钥的采用和不需隐藏码的结构是其中两个主要特点㊂使用临时密钥在安全性方面的提升主要体现在可以抵御GJS攻击[21]㊂GJS攻击全称为密钥恢复攻击,是指A采用公钥加密消息并将密文发给B,在这一过程中如果产生译码上的错误,B会给A反馈㊂如果攻击者C假扮成A向B发密文,并从B的反馈中收集译码错误信息,通过收集大量译码错误信息,攻击者C便能恢复出方案的私钥㊂McEliece和Niederreiter型方案不能抵御GJS攻击,原因是其在传输过程中的密钥是固定的㊂而ElGamal型采用了传输时不断更新的临时密钥,GJS的攻击者最多只有一次观察解密的机会,因此无法创建关于不同错误模式的统计信息,GJS攻击本质上是失效的㊂在McEliece和Niederreiter型方案加密框架中,是通过直接隐藏码的结构(通过给码的生成矩阵或校验矩阵进行变换)来保证安全性,这使得算法安全性依赖于隐藏码的结构,解密算法由译不可更改的隐藏码组成㊂这种方式使其面临攻击,存在安全隐患㊂而ElGamal型框架中,安全性寄托在不需译码的随机QC码上,而需要进行编译码的码C是公开参数,不需要进行保密,这就进一步提高了其安全性㊂4 4㊀信息位编码方式版本一的信息位为m,版本二的有效信息为e和(r1,r2)㊂如果用于混合加密中的对称密钥生成,信息位可如以上算法所示随机产生㊂如果用于信息传输在版本二中会涉及到等重编码[22]的问题㊂等重码是将信息编码为具有规定重量的码字的方法㊂令q为整数,C集合如果是w=(w1,w2, ,wn)ɪ{0,1}n{:ðni=1wi=q}的子集,则称C为长度为n,重量为q的等重码其㊃5㊃北京电子科技学院学报2023年构造方法可参考文献[22]等㊂在版本二中,因为错误向量e和(r1,r2)都有重量要求,所以必须先将信息编码为具有特定重量的码字才能使用版本二传输特定信息㊂4 5㊀ElGamal体制中涉及的编译码在版本一中包含了两类码㊂一个是[n,k]码C,它需要进行编码和译码,为此需要具有高效译码算法DG㊂码C和它的生成矩阵是公开的,对安全性没有影响㊂第二种码是随机QC码㊂从公钥求解私钥,以及在只有公钥情况下从密文破解明文可以视为随机拟循环码的译码问题,无法进行有效译码㊂总体思路是通过拟循环码生成噪声,生成的噪声可被码C译码㊂对算法进行优化的一个思路是选择具有更优纠错能力和快速算法的公开码C,比如Polar码㊂Polar码具有达到香农极限的编码效率,有利于进一步压缩密钥量,同时保持快速的编译码㊂Polar码的译码可采用SC译码[23]算法㊂在版本二同样存在两类编码㊂与安全相关的随机拟循环码与上面类似㊂版本二中不需要构造公开码C,但需要对(yr2-r1x+e)进行译码,在私钥(x,y)已知的情况下恢复e和(r1,r2)为QC⁃MDPC码译码问题,即带噪声的校验子译码㊂准循环性不会改变译码算法,但因为存在额外的噪声e,此为带噪声的校验子译码㊂噪声校验子译码是校验子译码的一种变体,在给定H和s的情况下,需寻找eɪFn2,使s-eHT和e都具有较小的重量㊂比特翻转算法在进行修改后同样适用于噪声校验子译码[4]㊂4 6㊀安全归约一个编码方案的安全性要归结到它的困难问题㊂ElGamal型密码体制在进行加解密时所使用的是随机拟循环(QC)码,所以其困难问题可以归结到QCSD问题或者RQCSD问题㊂选择明文攻击下的不可区分性(IND⁃CPA)通常通过以下的游戏来证明:攻击者A选择两个明文μ0和μ1,并将它们发送给的挑战者,挑战者随机决定bɪ{0,1}的值,将μb加密为密文c,并将c返回给A㊂如果A在决定密文c加密哪个明文时具有可以忽略的优势,则认为该加密方案是IND⁃CPA安全的㊂汉明距离下的El⁃Gamal型方案在QCSD假设下的IND⁃CPA㊂在ElGamal型体制中,已知公钥(h,s=y+h㊃x),求解私钥(x,y),即为已知随机QC码的校验矩阵(1,h)和伴随式s,求解满足重量要求的向量(x,y)㊂而已知公钥和密文(c1,c2)=(r1+h㊃r2,mG+s㊃r2+e)求解明文的过程,可以归结为在校验矩阵(10h01s)和伴随式(c1,c2-mG)已知下求解满足重量要求的向量(r1,e,r2).很明显,以上均为QCSD问题㊂以上为对汉明距离下的方案的分析,秩距离下可以类比完成㊂4 7㊀译码失败概率由算法可知,要想正确译码,需要满足ω(x㊃r2-r1㊃y+e)ɤδ㊂与McEliece型和Niederre⁃iter型相比,ElGamal型体制必然存在着译码失败概率(DFR),需要将其限定在2-λ以下,其中λ为算法的设计安全强度㊂对译码失败概率进行分析,目前的主要方法包括理论分析和实验分析两种㊂在理论分析中,首先假设误差向量eᶄ的每个固定坐标eᶄk的概率分布为伯努利分布,参数p∗=P[eᶄk=1],利用参数p∗的二项分布来估算eᶄ的重量分布㊂而在实验中,由于译码失败概率通常较小,直接进行标准参数下的实验测量所需数据量过大以至无法实现㊂通常的方法是首先进行短码下的测试,然后利用外推法来估算长码的情况,总体来看所得结果较实际情况保守㊂由于译码失败概率估计的复杂性,目前两种方法都无法得到精准的结果,这也在一定程度上限定了密钥尺寸的进一步压缩㊂因此对此问题进行研究也成为了ElGamal型方案应用研究的重要方面㊂㊃6㊃第31卷基于编码的ElGamal型公钥密码体制研究概述㊀4 8㊀参数选取码长等参数的选择会影响密钥尺寸和编译码复杂度,从而对安全性和效率都有较大影响㊂一方面,出于结构性原因,实际攻击的复杂性会随着码长的增加而迅速增长㊂特别是拟循环码有其特殊的结构,面对特定的结构攻击会有很大的危险,需要保持一定的安全冗余㊂另一方面,计算量会随着系统规模的增加而增加,所以它可以表示成系统规模的函数,常用规模的幂方数来度量计算量的大小㊂所以,参数选择是基于编码的公钥密码设计的重要部分㊂对参数的选取要考虑的内容有安全性㊁解码效率㊁占用空间等㊂最终的参数要综合考虑有高解码效率,不易被攻破又尽可能小的占据密钥空间㊂在设定参数时,最重要的要素是考虑方案针对现有攻击的抵抗强度,同时考虑满足译码失败概率的要求㊂信息集译码[24](ISD)是目前对于编码最有效的攻击方法㊂基本思想是将校验矩阵变为系统形式,再进行信息位匹配和校验位匹配㊂最简单的ISD形式是1962年Prange提出的,它试图猜测码中设置的无错误信息㊂根据定义,信息集是确定整个码字的位置集㊂如果该集合避免了密文中的所有错误位置,则该集合是无错误的;那么这些位置上的密文就是这些位置上的码字㊂攻击者通过线性运算确定码字的其余部分,并通过检查错误权值是否为t来判断攻击是否成功㊂对于k/n=1/2的算法,通用的信息集译码算法的复杂度为WFA(n,k,t)=2ct(1+o(1))c取决于算法,编码率R=k/n和错误率t/n㊂对于次线性(tʈn)的情况,可取C=log211-R而针对ElGamal型算法中所采用的QC码,需要考虑针对其循环结构的特殊译码算法㊂DecodingOneOutofMany(DOOM)[25]算法就针对准循环结构,对产生循环结构的多项式进行攻击,QC码比起随机码的信息集译码方式快r倍,尤其当多项式有多个低次因子更有效㊂因此准循环码在选取参数时需使(Xr-1)/(X-1)ɪF2[X]不可约,防止使用DOOM算法快速破解准循环结构㊂在能够抵抗以上攻击方法的前提下,同时考虑译码失败概率满足安全强度要求,可以反推参数选择范围㊂如在安全参数λ的要求下,ElGamal类型码长为O(λ2),对应公钥长度为O(λ2),与之相比,基于Goppa码的McEliece类型分别为O(λlogλ)和O(λ2(logλ)2)㊂需要指出的是,目前典型的ElGamal型算法的安全性均建立在拟循环码译码的基础上,因此其参数选择范围相近㊂如在2128强度下,HQC的(n,w)参数为(17669,66),BIKE-3为(24538,67),其中n为码长,w为错误向量x和y重量㊂与之相比,其设计灵活性更加体现在公开码C的选择等方面㊂5㊀结语㊀㊀基于编码的公钥密码算法能有效抵抗量子算法的攻击,目前已有许多高效且安全的基于编码的公钥加密算法,是后量子密码算法的主流方向之一㊂本文先介绍了基于编码的公钥密码算法的背景,然后对加密方式㊁编码困难问题做了简要回顾㊂目前对McEliece型和Niederreiter型研究地较为充分,相比较,对ElGamal型加密方式的相关工作较少,EIGamal型加密使用临时密钥,并且不需要在公开的矩阵中隐藏码结构,具有一定的优势,本文以ElGamal型公钥加密方式为重点,对其正确性㊁安全性及译码失败概率等方面进行了总结㊂并给出后续设计和分析中需要注意的问题,主要包括:(1)译码失败概率对算法性能有重要影响,需要从理论和实验方面给出更为精确的结果;(2)利用编码理论发展的最新结果,选择更为高效的码字C,对提高算法的㊃7㊃北京电子科技学院学报2023年实现效率有重要帮助;(3)通过等重码等方式对错误向量进行编码,有可能进一步提高传输效率,等等㊂通过本文,希望可以为基于编码的El⁃Gamal型方案的设计与分析打下基础㊂参考文献[1]㊀CHENL,JORDANS,etal.ReportonPost⁃QuantumCryptography[M].Washington:USDepartmentofCommerce,NationalInstituteofStandardsandTechnology,2016.[2]㊀ALAGICG,ALPERINJ,etal.StatusReportontheFirstRoundoftheNISTPost⁃QuantumCryptographyStandardizationProcess[M].Washington:USDepartmentofCommerce,NationalInstituteofStandardsandTechnology,2019.[3]㊀王丽萍,戚艳红.基于编码的后量子公钥密码研究进展[J].信息安全学报,2019,4(2).[4]㊀AragonN,BarretoP,BettaiebS,etal.BIKE:bitflippingkeyencapsulation[J/OL].(2017-12-22)[2021-3-10].https://hal.archives⁃ouvertes.fr/hal-01671903.[5]㊀ChouT,CidC,UibS,etal.ClassicMcE⁃liece:conservativecode⁃basedcryptography[J/OL].(2020-10-10)[2021-3-10].ht⁃tps://classic.mceliece.org/nist/mceliece-20201010.pdf.[6]㊀MelchorCA,AragonN,BettaiebS,etal.Hammingquasi⁃cyclic(HQC)[J].NISTPQCRound,2018,2:4-13.[7]㊀McElieceRJ.APublic⁃KeyCryptosystembasedonAlgebraicCodingTheory[J].DeepSpaceNetworkProgressReport,1978,44:114-116.[8]㊀McElieceRJ.Thetheoryofinformationandcoding[M].Cambridge,UK:CambridgeUni⁃versityPress,2002:139-228.[9]㊀RobinsonDJS.Anintroductiontoabstractalgebra[M].Berlin:WalterdeGruyter,2008:255-266.[10]㊀GABORITP,HAUTEVILLEA,PHANDH,etal.Identity⁃basedencryptionfromcodeswithrankmetric[C]//The37thAnnualInter⁃nationalCryptologyConference(CRYPTO).2017:194-224.[11]㊀MisoczjiR,TillichJP,SendrierN,etal.MD⁃PC⁃McEliece:NewMcEliecevariantsfrommoderatedensityparity⁃checkcodes[C]//2013IEEEinternationalsymposiumoninfor⁃mationtheory.Istanbul:IEEE,2013:2069-2073.[12]㊀GallagerR.Low⁃densityparity⁃checkcodes[J].IRETransactionsoninformationtheory,1962,8(1):21-28.[13]㊀HOOSHMANDR,AREFMR.EfficientPolarCode⁃BasedPhysicalLayerEncryptionScheme[J].IEEEWirelessCommunicationsLetters,2017,6(6):710-713.[14]㊀ARIKANE.ChannelPolarization:AMethodforConstructingCapacityAchievingCodesforSymmetricBinary⁃InputMemorylessChannels[J].IEEETransactionsonInformationTheory,2009,55(7):3051-3073.[15]㊀HooshmandR,ArefMR.Polarcode⁃basedsecurechannelcodingschemewithsmallkeysize[J].IETCommunications,2017,11(15):2357-2361.[16]㊀SENDRIERN.Code⁃basedcryptography:stateoftheartandperspectives[J].IEEESe⁃curity&Privacy,2017,15(4):44-50.[17]㊀CarlosAguilar⁃Melchor,OlivierBlazy,Jean⁃ChristopheDeneuville,PhilippeGaborit,andGillesZ mor.Efficientencryptionfromrandomquasi⁃cycliccodes[J].IEEETransactionsonInformationTheory,64(5):3927-3943,2018.㊃8㊃第31卷基于编码的ElGamal型公钥密码体制研究概述㊀[18]㊀Aguilar⁃MelchorC,BlazyO,DeneuvilleJC,etal.Efficientencryptionfromrandomquasi⁃cycliccodes[J].IEEETransactionsonInfor⁃mationTheory,2018,64(5):3927-3943.[19]㊀BarretoPSLM,GueronS,GuneysuT,etal.Cake:Code⁃basedalgorithmforkeyencapsula⁃tion[C]//IMAInternationalConferenceonCryptographyandCoding.Cham:Springer,2017:207-226.[20]㊀DeneuvilleJC,GaboritP,Z morG.Ourobo⁃ros:Asimple,secureandefficientkeyex⁃changeprotocolbasedoncodingtheory[C]//Post⁃QuantumCryptography:8thInternationalWorkshop,PQCrypto2017,Utrecht,TheNetherlands,June26-28,2017,Proceedings8.SpringerInternationalPublishing,2017:18-34.[21]㊀GuoQian,JohanssonT,StankovskiP.AkeyrecoveryattackonMDPCwithCCAsecurityusingdecodingerrors[C]//ProcofInterna⁃tionalConferenceontheTheoryandApplicationofCryptologyandInformationSe⁃curity.Berlin:Springer,2016:789-815.[22]㊀TianC,VaishampayanVA,SloaneNJA.Acodingalgorithmforconstantweightvectors:Ageometricapproachbasedondissections[J].IEEETransactionsonInformationTheory,2009,55(3):1051-1060.[23]㊀杨超,肖东亮,顾珍珍,等.基于Polar码的Niederreiter公钥密码体制[J].密码学报,2018,5(6):623-630.[24]㊀PrangeE.Theuseofinformationsetsindeco⁃dingcycliccodes[J].IRETransactionsonIn⁃formationTheory,1962,8(5):5-9.[25]㊀SendrierN.Decodingoneoutofmany[C]//Post⁃QuantumCryptography:4thInternationalWorkshop,PQCrypto2011,Taipei,Taiwan,November29-December2,2011.Proceedings4.SpringerBerlinHeidelberg,2011:51-67.AResearchSummaryofCoding⁃basedElGamalTypePublicKeyCryptosystem∗LIUBing㊀WUXudan㊀FENGYuweiBeijingElectronicScienceandTechnologyInstitute,Beijing100070,P.R.ChinaAbstract:Coding⁃basedpublickeycryptographyalgorithmhastheadvantagesofhighsecurity,fasten⁃cryptionanddecryptionspeedandeasyimplementation,butitalsohasthedisadvantagesoflargepublickeyscale.TheMcEliece,theNiederreiterandtheElGamalarethreetypesofcommonlyusedcoding⁃basedencryptionmethods.Asanewencryptionmode,theElGamalsysteminvolvestwocodingtypeswithdifferentfunctions,facingtheproblemofdecodingfailureprobability.Auniquetemporarykeymethodisutilizedtoimprovethesecurityperformance.ThispaperfocusesonintroducingtheElGamalencryption,andthestructure,difficultproblemsanddecodingfailureprobabilityarestudied,toachieveadeeperunderstandingofthestructureandtoobtainelementaryforfuturedesignandanalysis.Keywords:coding;ElGamaltype;temporarykey;decodingfailureprobability(责任编辑:张卷美)㊃9㊃。
一个基于ECC的ElGamal型(t,n)门限数字签名方案
一个基于ECC的ElGamal型(t,n)门限数字签名方案一个基于ECC的ElGamal型(t,n)门限数字签名方案张险峰;秦志光;刘锦德【期刊名称】《计算机科学》【年(卷),期】2003(030)005【摘要】This paper comprehensively introduces and analyzes Shamir Secret Sharing, Pedersen's Verifiable SecretSharing based on ECC, verifiable secret sharing without a trusted center based on ECC and an ElGamal digital signa-ture scheme based on ECC. Based on the theoretical introduction, an ElGamal_type(t, n) threshold digital signaturescheme Based on ECC is designed. The performance of the scheme is analyzed. And an application based on thescheme is described. In the scheme, a trusted center to deal with the sharing secret is eliminated. No secret communi-cation is required in the signature issuing phase. The scheme is characterized by excellent security as well as high effi-ciency.【总页数】4页(157-160)【关键词】Network security;Elliptic curve cryptography (ECC);ElGamal;Threshold digital signature;SecretSharing 【作者】张险峰;秦志光;刘锦德【作者单位】电子科技大学计算机学院IBM技术中心,成都,610054;电子科技大学计算机学院IBM技术中心,成都,610054;电子科技大学计算机学院IBM技术中心,成都,610054。
基于ElGamal体制的视频内容保密比较方案
基于ElGamal体制的视频内容保密比较方案于鹏;王永滨;柯雅明;刘文【摘要】针对视频内容比较过程中内容易泄露和通信开销大的问题,提出一种基于ElGamal体制的视频内容保密比较方案。
综合利用视频编码、篡改和人眼视觉特征,提取视频帧中每个条带的最后一个宏块亮度分量作为特征数据,对特征数据进行分组,并计算哈希值。
设计改进的ElGamal算法,在交互双方间共享一个大素数,使其满足可交换性,并利用该算法,在不泄露视频内容的前提下,对双方视频的分组哈希值进行保密比较,从而判断视频是否被篡改,并定位篡改发生的区域。
实验结果表明,该方案计算复杂度低、通信量小,且具有较好的安全性和公平性。
%Video has the problem of content leak and high communication cost in the process of comparison, so this paper proposes a kind of video content confidential comparison scheme based on ElGamal system. Combined with video encoding, tampering and human visual features, the last macroblock’s luminance component of video frame slice is extracted as the feature data. The feature data is grouped and calculated hash value. It designs the improved ElGamal algorithm, which makes a large prime number be shared between the two parties to satisfy the interchangeability. Using the interchangeable ElGamal algorithm, on the premise of not leaked video content, it makes confidential comparison on the grouped hash values of two parties judge whether the video is tampered and locate the tampered area. Experimental results show thatthis scheme has low computing complexity and small communication amount, and it also has good security, fairness.【期刊名称】《计算机工程》【年(卷),期】2014(000)007【总页数】4页(P117-120)【关键词】ElGamal体制;保密比较;视频编码;篡改;特征数据;可交换性【作者】于鹏;王永滨;柯雅明;刘文【作者单位】中国传媒大学计算机学院,北京100024;中国传媒大学计算机学院,北京100024;中国传媒大学计算机学院,北京100024;中国传媒大学计算机学院,北京 100024【正文语种】中文【中图分类】TP3091 概述随着计算机和通信技术的发展,以及“三网融合”的推进,视频内容已经成为人们工作、学习、娱乐生活中不可或缺的组成部分,人们在享受信息时代方便快捷服务的同时,同样也面临着视频内容带来的安全问题。
基于ElGamal体制的可验证的门限秘密共享方案
基于ElGamal体制的可验证的门限秘密共享方案
王慧蓉;吕学琴;刘焕平
【期刊名称】《哈尔滨师范大学自然科学学报》
【年(卷),期】2003(019)006
【摘要】本文将ElGamal体制与Shamir秘密分享方案相结合提出了一种可验证的门限秘密共享方案,其安全性是基于ElGamal体制中在有限域求解离散对数问题的难解性.在该方案中提出了如何防止恶意参与者进行恶意攻击以及如何检验合法参与者是否提供了假的秘密份额,同时也给出了检验由假冒Dealer的参与者以及检验Dealer是否分发了非法的秘密份额的一些有效措施.
【总页数】3页(P36-38)
【作者】王慧蓉;吕学琴;刘焕平
【作者单位】哈尔滨师范大学;哈尔滨师范大学;哈尔滨师范大学
【正文语种】中文
【中图分类】TP3
【相关文献】
1.基于特征值的可验证特殊门限秘密共享方案 [J], 张艳硕;李文敬;陈雷;毕伟;杨涛
2.基于ElGamal密码体制的可验证秘密共享方案 [J], 柳毅;郝彦军;庞辽军
3.一种基于大数分解和求解离散对数的可验证(k,n)门限秘密共享方案 [J], 马春波;何大可
4.基于双线性对的可验证门限秘密共享方案 [J], 王天成
5.基于ElGamal体制的门限秘密共享方案 [J], 王天成;张建中
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
[ sr cIB sdo h mi Sheh l shmea dEGa l rpoytm,yuigL ga g troao to n e etrt no ce Abtat ae nS a r rsod c e n I ma c tss ’t y e b s a rn ei ep lt nmeh dadt s a o fert n n i hr o i s
p rc a t d o edt mananasf c an la dan mb f ert cnb hrd W hntesces p ae adtepriiatji r xt a ip ns on t e iti e hn e, n u m o ces a esae . e ertu d t,n at p ns ono i t i n o a s h h c e
第 3 卷 第 1 6 6期
V1 o. 36
・计算ຫໍສະໝຸດ 机工程 21 0 0年 8月
A ug t2 0 us 01
N o 6 .
Com put rEngi e i e ne rng
安全技 术 ・
文章编号: oo.48 00 6 15 2 文献标识码:A 10_32( 1) —03—0 2 l
t e s se , a h p ri i a tS s a e d e o e u r p a e I h e r tr c n tu t n p o e s h e i m ae p ri i a t o h ta k rty t h y tm e c a t p n ’ h r o s n t q ie u d t s n t e s c e e o s r c i r c s ,t e l g t c r o i t a t p n s rt e at c e o c r p o u e a f le s b—e r ts c e o d c i e t e g n r t r wh c sn tf a i l T r r m o s n tr q ie r — o s r c i g p l n mi lwh n i r d c a s u s c e e r tt e e v h e e a o , i h i o e sb e he p og a d e o e u r e c n tu t o y o a e t n i mplme t y a c t r s ol e r ts rn , n t o e n st d n mi h e h d s c e ha i g a d i c mp t t n o e h a se e m al r he s uai v re di v ns l . o e
关健词 :动态秘密共享 ;多重秘密共享 ;EG m l 1 a a 密码体制 ;安全
Thr s l c e ha i he eBa e n EI m a y o yse e ho d Se r tS rng Sc m s d 0 Ga lCr pt s t m
W ANG a - h n ZHANG i n-h n Ti n c e g . Ja z o g ( . e c e s o l eo t n l is Qig a No ma Unv r t , nn 0 8 1 T a h r C l g f i a t , n h i r l ies y Xiig8 0 ; e Na o i e i 1 0 2 Colg f te t s n fr t nS in e S a n i r l n v ri , ’ 1 0 2 . l e Mah mai di o mai ce c , h a x No ma U ie s y Xi n7 0 6 ) e o ca n o t a
摘
要 :基于 S a i h m r的门限方案和 EG i l 1 a a 密码体制 , 用 L gag 插值法进行秘密拆分和恢复 ,提出一个动态多重秘 密共享 方案 。参 n 采 ar e n
与者 的秘密份额 由各参与者 自己选择 ,在参与者 问不需要维护一条安全信道 ,并且一次可 以共享多个秘密 。当秘 密更新 、参与者加入或退 出系统 时,各参与者 的份额不需要更新 。在秘密重构过程 中,合法的参与者或攻击者试图出示假的子秘 密来欺 骗秘密 生成者是 不可行 的。 该方案实现 了动态 (,)门限秘密共享 时不需要重新构造 多项式,使计算量开销更小。 ft r
[ yw rs y a c e rth r g mut sce aig 1 ma cy tss m;eui Ke o d d nmisce sai ; l—erth r ;EGa l rpoyt sc ry I n i s n e t
中闺 分类号: N 1 T 98
基 于 E Ga l 制 的 门 限秘 密共 享 方 案 I ma 体
王天成 ,张建 中
(.青 海 师 范 大 学 民 族 师 范 学 院 ,西 宁 8 0 0 ;2 陕 西师 范 大 学 数 学 与 信 息 科 学 学 院 ,西 安 7 0 6 ) 1 10 8 0 2 1