一种基于fiat-shamir方法的信息交换协议
基于Shamir_学术成果的密码学课程思政案例化设计
第31卷第4期北京电子科技学院学报2023年12月Vol.31No.4JournalofBeijingElectronicScienceandTechnologyInstituteDec.2023基于Shamir学术成果的密码学课程思政案例化设计张艳硕㊀黄梅玲㊀肖㊀嵩北京电子科技学院,北京市㊀100070摘㊀要:本文探讨了将Shamir在密码学领域的成就与密码学思政教育相融合的方法㊂通过理论㊁应用和实践三个层次,综合考虑成果丰富㊁相互联系㊁结合应用㊁不断推进㊁注重实践和深入创新等方面的案例化设计,将思政教育融入学习密码学专业知识㊂这种综合性的教学方法不仅加强了学生对密码学的理解和实际应用能力,还能激发学生的学习兴趣,培养他们解决问题和创新思维能力,同时提升学生综合素质和道德素养㊂关键词:Shamir;学术成就;密码学;课程思政;教学设计中图分类号:G42㊀㊀㊀文献标识码:A文章编号:1672-464X(2023)4-89-99∗㊀基金项目:教育部 信息安全 国家级一流本科专业建设点项目资助和北京2021年高等教育教学改革创新重点项目:三纵三横 以 忠诚教育 为核心的课程思政育人模式探索与实践(课题编号:202110018001)∗∗㊀作者简介:张艳硕(1979-),男,副教授,博士,硕士生导师,从事密码数学理论研究㊂Email:zhang_yanshuo@163.com黄梅玲(2000-),女,硕士研究生,网络空间安全专业㊂Email:3352996102@qq.com肖嵩(1977-),女,教授,博士,美国南加大博士后,北京电子科技学院副校长㊁博士生导师,从事教育教学管理工作㊂Email:xiaosong@besti.edu.cn引言㊀㊀思政教育是高等教育的重要组成部分,旨在引导和培养学生正确的价值观㊁思想意识和社会责任感㊂它可以培养学生的道德观念,增强公民责任感,加强学生的思想意识和自我认识,为未来的职业和生活做好准备㊂在此背景下,课程思政建设目标尤为关键㊂将课程知识与核心价值观融合,引导学生将知识应用于实践,提升创新能力和社会责任感㊂这种有机结合使学生不仅具备专业知识,还树立正确价值观和社会意识,更好地适应并推动社会的发展㊂在密码学课程中,加入思政教育元素,学生能够了解信息安全的基本概念和原理,提高信息安全意识和保护能力㊂同时,密码学课程培养学生的创新思维和问题解决能力,锻炼分析和推理能力㊂此外,课程还开拓学生的学科视野,了解密码学的发展和应用,增强对科技进步的理解㊂AdiShamir是密码学领域的著名学者之一,他在RSA算法㊁立方攻击㊁Shamir秘密共享㊁差分密码分析㊁可视密码㊁Merkle⁃Hellman密码系统的破解㊁Fiat⁃Shamir协议㊁Feige⁃Fiat⁃Shamir协议㊁智力扑克㊁TWIRL和TWINKLE因子分解设备等方面做出了杰出的贡献㊂基于Shamir学术成就的密码学思政教学设计可以激发学生对密码学的兴趣,增强他们对密码学的认知和理解,同时启示学生要积极参与学科的发展和探索㊂通过思政教育引导学生思考密码学的伦理和社会责任,有助于提高学生的综合素质和创新能力,培养他们的分析思维和创新北京电子科技学院学报2023年精神,为未来从事信息安全相关工作和科研打下坚实的基础㊂本文将介绍Shamir在密码学研究中的学术成就,以及如何基于他的学术成就设计密码学思政教学㊂具体来说,本文将分析Shamir成就的特点,探讨密码学课程思政的一般方法和存在的问题,并基于Shamir学术成就的密码学思政设计案例,包括理论层次㊁应用层次和实践层次的设计,最后对设计进行分析和总结㊂1㊀Shamir在密码学学术研究中的主要成就1 1㊀具体成就Shamir的密码学成就与密码学课程思政建设目标高度契合,两者都强调了价值观㊁创新能力以及实际应用,进而共同促进了学生的综合素质和社会责任感的培养㊂通过深入学习Shamir在密码学领域的研究成果,学生将能够更深刻地认识密码学在信息安全中的重要性,并在实际应用中充分发挥所学知识,为社会的信息安全和可持续发展作出积极贡献㊂具体而言,在密码学领域,Shamir涵盖了密码编码㊁密码分析㊁密钥管理和密码应用等多个方面的杰出学术成就㊂这些成就集中展示了他在密码学研究的多方面投入,为密码学的发展贡献了重要的知识和创新㊂以下将对其主要领域进行简要介绍,以凸显他在密码学领域的深远影响㊂(1)密码编码类Shamir在密码编码领域做出了非常显著的贡献,其成就涉及到了许多方面㊂下面将从RSA算法和Merkle⁃Hellman密码系统等方面对他的成就进行简单介绍㊂1)RSA算法RSA算法[1][11][12][13][14][15]于1978年由RonRivest㊁Shamir和LeonardAdleman在‘通信杂志“(CommunicationsoftheACM)中一篇名为 AMethodforObtainingDigitalSignaturesandPublic⁃KeyCryptosystems 的论文中提出的㊂RSA算法是一种公钥密码体制,广泛应用于加密和数字签名㊂其安全性基于大整数分解的困难性,即将大的合数分解为质数因子㊂通过利用两个大素数之间的数论关系,RSA算法生成公钥和私钥㊂它在保护敏感数据的机密性㊁互联网通信和电子商务等领域得到广泛应用㊂同时,它也广泛用于验证数据的真实性和完整性,例如在数字证书和安全协议中进行数字签名㊂2)Merkle⁃Hellman密码系统的破解Shamir于1982年在论文‘ApolynomialtimealgorithmforbreakingthebasicMerkle⁃Hellmancryptosystem“中提出了一种有效的多项式时间算法,用于破解基本的Merkle⁃Hellman密码系统㊂该算法利用线性规划攻击将背包问题转化为线性规划问题,并通过文氏图算法来求解该问题,从而获得该密码系统的私钥㊂(2)密码分析类Shamir在密码分析领域做出了显著的贡献,其成就涵盖了多个方面㊂以下简要介绍了他在差分密码分析和立方攻击等方面的成就㊂1)差分密码分析差分密码分析[2][11]于1991年由EliBiham和Shamir提出的,相关论文为‘DifferentialCrypt⁃analysisofDES⁃likeCryptosystems“㊂差分密码分析是一种选择明文攻击,其原理是通过分析两个不同的明文对应的密文的差异,得到某些特定输入和输出之间的差分概率,并利用这些差分概率得到一些密钥候选集合㊂然后通过比较密文和明文的差异,从中筛选出正确的密钥㊂2)立方攻击立方攻击于2009年由Dinur和Shamir在欧密会上提出,它是一种对流密码和分组密码的攻击方法㊂该攻击方法通过构造特定的多项式函数,使其与密钥和明文之间存在一定的联系㊂通过观察函数输出的结果,逐步推导出密钥和明文㊃09㊃第31卷基于Shamir学术成果的密码学课程思政案例化设计㊀之间的关系,以实现对密码系统的破解㊂(3)密钥管理类Shamir在密钥管理领域做出了卓越的贡献,其成就覆盖了多个方面㊂下面简要介绍他在Shamir秘密共享方案㊁Fiat⁃Shamir协议和Feige⁃Fiat⁃Shamir协议等方面的成就㊂1)Shamir秘密共享方案Shamir秘密共享方案[3][11][13][14]于1979年由Shamir提出㊂该方案被首次发表在了‘Com⁃municationsoftheACM“杂志上,题为 如何分享秘密 (Howtoshareasecret)㊂Shamir秘密共享方案是一种分布式加密技术,可以将秘密分割成多个部分,分配给不同的参与者保存,只有当指定数量的参与者协同合作才能重新还原出原始秘密㊂这种技术在分布式系统中有很广泛的应用,如在保险㊁金融和军事等领域中㊂2)Fiat⁃Shamir协议Fiat⁃Shamir协议[4][11]是由AmosFiat和Shamir于1986年在‘JournalofCryptology“杂志中的"HowtoProveYourself:PracticalSolutionstoIdentificationandSignatureProblems"一文中首次提出的㊂该协议基于零知识证明[14]和交互式证明的思想,使得任何用户能够在没有共享密钥或公钥的情况下向任何其他用户证明他的身份和他的消息的真实性㊂3)Feige⁃Fiat⁃Shamir协议Feige⁃Fiat⁃Shamir协议[5]于1988年由UrielFeige㊁AmosFiat和Shamir在论文‘Zero⁃Knowl⁃edgeProofsofIdentity“中提出的㊂该协议也是基于零知识证明的身份验证协议,可以验证一个人的身份而不泄露与身份无关的信息㊂Feige⁃Fiat⁃Shamir协议在Fiat⁃Shamir协议的基础上进行了改进和扩展,引入了剩余类群的零知识证明系统,以提供更高的安全性和可证明性㊂(4)密码应用类Shamir在密钥应用领域的贡献也覆盖了多个方面㊂下面简要介绍他在可视密码㊁智力扑克㊁TWIRL和TWINKLE因子分解设备等方面的成就㊂1)智力扑克智力扑克 [11][15]的概念于1979年由Shamir㊁R.Rivest和L.Adleman提出㊂这是一个类似于公平硬币抛掷协议的协议,它允许Al⁃ice和Bob通过电子邮件打扑克㊂智力扑克的目的在于能够使玩家利用虚拟扑克牌通过一条交流渠道来进行扑克牌游戏㊂相较于现实生活中的打牌,智力扑克游戏具有更高的安全性[15]㊂2)可视密码可视密码(VisualCryptography)[6]是由M.Naor和Shamir于1994年提出的初步想法,旨在解决信息安全中的加密与解密问题㊂1995年,在论文‘VisualCryptography“中,Naor和Shamir详细描述了可视密码的原理和实现方法,并正式命名为 VisualCryptography ㊂可视密码是一种图像加密技术,将秘密信息分成两份或多份,并将它们隐藏在几张图像中,只有在组合这些图像时,才能看到完整的信息㊂3)TWIRL和TWINKLE因子分解设备TWIRL设备[7]是由Shamir在2003年发表的论文‘FactoringLargeNumberswiththeTWIRLDevice“中提出的㊂该设备使用了一种基于光学技术的特殊算法,可以加速大素数的因子分解㊂TWINKLE设备是TWIRL设备的改进版本,使用了一些新的技术和设计来进一步提高因子分解的速度和效率㊂1 2㊀成就的特点(1)研究深刻Shamir在密码学领域的学术成就,涵盖了多个方向,其中包括RSA算法㊁Merkle⁃Hellman密码系统的破解㊁差分密码分析和立方攻击等㊂他的研究不仅专注于核心算法和理论的探索,还重视密码学在实际应用场景中的问题解决㊂(2)相互联系Shamir在密码学的多个方向上进行了研究,㊃19㊃北京电子科技学院学报2023年并且这些方向之间存在相互联系㊂例如,他研究了RSA算法和Merkle⁃Hellman密码系统,其中RSA算法是基于大质数的分解,而Merkle⁃Hell⁃man密码系统则是基于背包问题㊂在这两个算法中,Shamir巧妙地运用了数论的概念,并应用了数论方法来解决这些问题㊂另外,Fiat⁃Shamir协议和Feige⁃Fiat⁃Shamir协议之间也存在相互关联和相互借鉴的关系㊂通过这些研究,Shamir不仅在不同的密码学领域做出了重要的贡献,同时也展示了这些领域之间的相互联系和交叉应用㊂(3)结合应用Shamir注重将学术理论应用到实际问题中㊂他提出了多个实用的方案和设备,如Shamir秘密共享方案㊁TWIRL和TWINKLE因子分解设备等㊂这些应用方案不仅仅停留在学术理论层面,而是实际应用到解决实际问题中㊂(4)不断推进Shamir通过持续改进研究成果,推动了密码学领域的发展㊂他不仅提出了重要的密码学算法和协议,还不断对它们进行改进和优化㊂在RSA算法中,他发现了立方攻击,并通过改进密钥长度和加密方式,极大地增加了攻击RSA密码的难度㊂此外,他提出的Shamir秘密共享方案也在实践中持续被优化和扩展,其应用范围也在不断扩大㊂而他的研究还涵盖了对Merkle⁃Hellman密码系统的破解,通过深入研究并发现其弱点,提出了改进方案以增强密码系统的安全性㊂(5)注重实践Shamir强调实践验证和解决实际问题,通过实践应用,提高了其成果的可靠性和实用性㊂举例来说,智力扑克将密码学和智力游戏概念结合起来,通过实际的游戏体验激发学生的思维能力和创造力,使他们能够将密码学理论应用于实际问题的解决㊂另外,可视密码是一种实际应用密码学的方法,通过使用图形或图像来代替传统的密码字符串,使密码更易记忆和使用㊂(6)深入创新Shamir在密码学领域进行了深入的创新,并提出了新的攻击方法和解决方案㊂举例来说,他在差分密码分析和立方攻击方面引入了新的理论和算法㊂差分密码分析是一种密码分析方法,用于破解密码系统,而立方攻击则专注于攻击RSA算法㊂他的研究对密码分析领域的发展起到了推动作用,通过提出新的攻击方法和改进现有算法,推动了密码学领域知识和技术的拓展㊂2㊀密码学课程思政的常见方法2 1㊀通常做法密码学课程思政是将思政教育与密码学课程相融合的一种教育方式㊂为了实现这一目的,密码学思政课程通常采用以下做法:(1)目前,大多数高校的教学仍采用传统的教师讲授-学生听课的方式㊂教师在教学过程中讲解大量的密码学理论和算法知识,并结合教学内容适时适度地进行价值观引领和品行塑造[16],以引导学生理解密码学的社会意义和责任㊂举例来说,在密码学课程中,教师会引导学生认识到密码学对于保障信息安全和维护国家安全的重要性,并培养学生对信息安全和国家安全的责任感㊂通过这样的引导,学生能够深刻理解密码学在社会中的作用,进而增强他们对信息安全和国家安全的重视和责任感㊂(2)在考核标准中加入思政元素㊂举例来说,当前密码学课程通常采用"平时成绩+期末成绩"的方式进行评估㊂在平时成绩部分,教师可以通过选择一些密码学知识点进行扩展,并在课堂上提出思考题供同学们在课后思考和讨论㊂下次课堂时,鼓励学生分享自己的思考和见解,并根据参与情况进行相应的加分㊂同时,可以利用学习通等线上辅助教学平台发布与密码学相关的思政话题,鼓励同学们积极参与,并进行相应的加分㊂而在期末成绩部分,教师也可以在试㊃29㊃第31卷基于Shamir学术成果的密码学课程思政案例化设计㊀题中融入一些思政元素,以考察学生对所学专业课程的思政感悟㊂2 2㊀存在的问题在将思政教育融入密码学课程的常见方法中,仍然存在一些问题需要我们关注和解决㊂(1)当前大部分高校的教学仍然以讲授为主㊂尽管在教学过程中也融入了一些思政元素,但却缺乏系统的课程思政教学方案㊂这种情况下,许多思政元素往往被生硬地添加进课程中,以迎合教学需求,导致了一种为思政而思政的 贴标签 和 表面文章 的现象[9]㊂同时,由于课程思政建设的目标重点不明确,教学体系不完善,思政元素的挖掘也未达到预期,使得课程思政教学体系变得千篇一律,缺乏针对性[8]㊂(2)课程思政的观念并未真正的融入,结果是教师疲于应付,学生受益较少㊂据权威机构统计,高达65 67%的学生认为专业课与思政教育融合不足[10]㊂2 3㊀基于Shamir学术成就的密码学思政的思路基于Shamir学术成就的密码学思政思路以学生为中心,强调理论与应用相结合㊂通过具体案例融入Shamir的学术成就,促进学生在密码学技术的掌握㊁创新能力的培养以及思想素质和综合素质的提高㊂具体而言,可以从理论㊁应用和实践三个层面展开㊂(1)在理论层面,我们可以介绍Shamir在密码学理论方面的重要贡献㊂他的研究涵盖了RSA算法和Shamir秘密共享方案等方面,并探讨了Fiat⁃Shamir协议和Feige⁃Fiat⁃Shamir协议的相互关联㊂通过这些具体案例,学生可以了解密码学在不同应用领域的应用,如密码分析和密钥管理,从而加深对密码学基本原理的理解㊂这些理论案例为学生提供了深入研究密码学的机会,使他们能够更好地掌握密码学的核心概念和算法,并为未来的研究和实践奠定坚实的基础㊂(2)在应用层面,我们可以强调Shamir将学术理论应用到实际问题中,并提出了相关的实用方案和设备㊂举例来说,他提出了TWIRL和TWINKLE因子分解设备,并成功地破解了Merkle⁃Hellman密码系统㊂通过学习这些应用案例,学生可以更好地理解密码学在实际中的应用,并掌握相应的技术㊂这样的应用实例让学生能够从具体的实践中感受到密码学的实际运用,同时培养他们在密码技术领域中解决问题和创新的能力㊂(3)在实践层面,我们可以探讨智力扑克和可视密码等基于实际场景的密码技术应用㊂通过将密码学与实际场景相结合,学生能够更好地理解密码技术在实际中的应用方式,并培养他们的思维能力和创造力,以及在解决实际问题时运用密码学知识的能力㊂这样的实践性探索能够让学生通过实际操作和实际案例的参与,深化对密码技术的理解,并培养他们在不同场景下应用密码学知识的能力㊂3㊀基于Shamir学术成就的密码学思政理论层次的案例设计3 1㊀研究深刻激发学生多领域密码学知识的交叉融合Shamir在密码学领域取得了许多杰出的学术成果,这将激发学生能够在多个领域获取知识,从而有助于他们对密码学领域有更全面的理解㊂学生可以整合不同领域的概念和技术,将数学㊁计算机科学和信息安全等知识应用于密码学的研究和实践中,从而推动跨学科的创新,进行深入交叉融合㊂Shamir的广泛研究为学生提供了了解多领域密码学知识的机会,其中包括RSA算法和Shamir秘密共享方案等㊂(1)RSA算法通过对RSA算法的研究,学生能够深入了解公钥密码算法的原理和应用㊂作为密码学中的重要算法之一,RSA算法在加密和数字签名㊃39㊃北京电子科技学院学报2023年领域得到广泛应用㊂学生通过学习和研究RSA算法,可以掌握公钥密码学的基本概念和算法设计原理,并理解其在实际应用中的安全性和局限性㊂(2)Shamir秘密共享方案Shamir秘密共享方案的研究为学生提供了一个跨领域的学习机会㊂该方案用于数据分割和秘密共享,将秘密信息拆分成多个部分,并分发给多个参与方,只有在满足特定条件时才能恢复秘密㊂通过研究Shamir秘密共享方案,学生不仅可以了解密码学中的分布式系统和多方安全计算等概念,还可以学习与数学㊁计算机科学和信息安全相关的知识㊂通过研究和探索RSA算法和Shamir秘密共享方案等不同领域的密码学问题,学生能够获得更全面和综合的密码学知识,并将其应用于解决实际问题㊂这种多领域的交叉融合学习经验有助于学生开拓视野,培养跨学科的思维和创新能力㊂3 2㊀相互联系培养学生全面思考和分析密码学问题的能力。
现代密码学第十讲身份鉴别协议(精)
31
挑战-应答身份鉴别协议
基于公钥加密的挑战-响应
单向认证:
r为随机数
双向认证:
r1, r2为随机数
32
挑战-应答身份鉴别协议
基于数字签名的挑战-响应
带时戳的单向认证:
certA,certB为公钥证书; SA,SB为私钥;
20
口令认证协议
5)一次口令(向强口令的过渡) 防止窃听和随后的口令重放(无时变参数) 解决办法:每个口令只用一次 变体:
一次口令的共享列表 顺序更新一次口令 基于单向函数的一次口令序列:
21
口令认证协议
一次口令的共享列表 用户和系统都同意一个口令列表。列表中的每一个口令只能使用一次。 首先,系统和用户都要保存一个长的口令列表。其次,如果用户不按次序使用口
6
身份鉴别的定义
身份鉴别的定义: 1、在诚实的情况下,声称者A能向验证者B
证明他确实是A; 2、在声称者A向验证者B声称他的身份后,
验证者B不能获得任何有用的信息,B也不 能模仿A向其他第三方证明他就是A。 3、任何不同于A的实体C以A的身份,让B相 信C是A的概率可忽略不计
7
身份鉴别的定义
用于实现身份识别的协议。
带随机数的单向认证:
带随机数的双向认证:
33
挑战-应答身份鉴别协议
3)基于零知识证明的挑战-应答
零知识(Zero-knowledge)(ZK)证明的起源
Alice:我知道肯德基的土豆泥的配方以及做法。 Bob:不,你不知道。 Alice:我知道。 Bob:你不知道。 Alice:我确实知道! Bob:请你证实这一点! Alice:好吧,我告诉你!(她悄悄地说出了土豆泥的秘方) Bob:太有趣了!现在我也知道了。我要告诉《华盛顿邮报》 Alice:啊呀!
Paillier陷门函数的两个变体的比特安全性分析
Paillier陷门函数的两个变体的比特安全性分析苏东;王克;吕克伟【期刊名称】《计算机学报》【年(卷),期】2010(033)006【摘要】文中对Paillier陷门函数两个变体--Rabin-Paillier和RSA-Paillier进行了比特安全分析.对于Rabin-Paillier陷门函数,文中证明了从密文计算其明文的|3√2n/2/2]+[log2n]个最高有效位与对这个函数求逆一样困难,其中n为RSA模数N的二进制长度.该结论的证明基于Boneh等人提出的素数域上的隐藏数问题的一个变体.文中使用Malykhin在2007年得到的指数和的界把该变体扩展到了Paillier模数N2的情况.对于RSA-Paillier陷门函数,该文完善了Morillo等人对于该函数明文最低有效位的困难性证明.通过设计一个随机化的算法使得Morillo等人提出的明文恢复算法在使用不完美的LSB预占机的时候也能工作.【总页数】10页(P1050-1059)【作者】苏东;王克;吕克伟【作者单位】中国科学院研究生院信息安全国家重点实验室,北京,100049;中国科学院研究生院信息安全国家重点实验室,北京,100049;中国科学院研究生院信息安全国家重点实验室,北京,100049【正文语种】中文【中图分类】TP309【相关文献】1.单向函数假设下基于身份的陷门水银承诺 [J], 张武军;刘玉定;高雅倩;孙曦;王育民2.一种基于陷门单向函数的图像水印算法 [J], 张专成;邹涛;田杰;张秋霞3.RSA/Rabin-Paillier陷门函数的比特安全性 [J], 康镇麒;吕克伟4.一种高效的基于 Fiat-Shamir 认证协议的陷门哈希函数 [J], 高崇志;曹嘉莉5.基于陷门哈希函数的无证书签密方案 [J], 束红因版权原因,仅展示原文概要,查看原文内容请购买。
格基密码协议的构造与分析
格基密码协议的构造与分析格基密码协议的构造与分析引言:信息安全一直是当前社会发展中所面临的重要问题之一。
随着互联网技术的迅速发展,人们在信息交流和数据传输中面临着越来越多的安全威胁。
密码学作为信息安全领域的一门重要学科,起到着保障数据安全的重要作用。
近年来,格基密码协议(Lattice-based cryptographic protocols)作为一种新兴的密码学方向,受到了广泛关注。
本文将重点介绍格基密码协议的构造与分析。
一、格基密码学简介格基密码学是指采用格论的概念和数学方法来构造密码协议的研究领域。
通过利用格论的特性,如格结构、格映射等,来设计密码协议,以达到高安全性和高效率的目的。
二、格基密码协议的构造格基密码协议的构造主要分为密钥交换协议和数字签名协议两个方面。
1. 密钥交换协议的构造格基密码协议中的密钥交换协议主要是为了实现两个通信实体之间的密钥协商。
常见的构造方式有基于格的Diffie-Hellman密钥交换协议和基于格的Learning With Errors (LWE)密钥交换协议。
这些协议通过利用格的求解难题,如SIS(Short Integer Solution)、LWE等,来保证密钥交换的安全性。
2. 数字签名协议的构造格基密码协议中的数字签名协议主要是为了实现数字签名的生成和验证。
常见的构造方式有基于格的Fiat-Shamir数字签名协议和基于格的Ring Signature数字签名协议。
这些协议通过利用格论的保密性和非确定性特性,来实现数字签名的不可伪造性和匿名性。
三、格基密码协议的安全性分析格基密码协议的安全性分析主要是评估协议中存在的安全隐患,并通过数学和算法等手段进行攻击模型的构造和分析。
常见的安全性分析方法有:1. 构造攻击模型:根据协议的特征和安全性要求,设计合理的攻击模型,分析密码协议在不同攻击场景下的安全性。
2. 分析攻击复杂度:通过计算攻击者在攻击密码协议时所需的时间和计算资源等因素,评估协议的安全性。
一种基于多因素认证与密钥协商的数据密钥管理方案
一种基于多因素认证与密钥协商的数据密钥管理方案朱恩强;张宇;江观华;许宇光【期刊名称】《广州大学学报(自然科学版)》【年(卷),期】2024(23)1【摘要】隐私数据远程存储技术为用户存储数据带来便捷的同时,也增加了敏感数据在传输过程中遭受拦截攻击的风险。
为了提高数据的安全性,需要对上传到远程设备的敏感数据进行加密。
因此,高效可靠的密钥管理是确保数据安全的关键。
多因素认证是保证数据安全传输的关键技术之一,在安全领域具有广泛的应用,如隐私数据保护、访问权限管理和在线支付等。
鉴于此,提出了一种基于多因素认证的密钥存储策略来加强密钥管理:(1)通过确定的设备身份信息对密钥进行Shamir(2,3)分割;(2)对设备身份信息进行公钥加密,然后利用用户私有登录口令和生物特征来隐藏密钥的Shamir分割份额和公钥加密的私钥;(3)对获得的密钥相关信息进行一系列计算处理并分别存储到相应的设备中。
理论分析表明,所提方案具有认证灵活,密钥管理高效、可靠以及通信安全等优势。
此外,为了进一步说明方案的有效性,进行了BAN逻辑分析和启发式安全分析。
分析结果表明,框架能够安全地协商会话密钥并抵抗多种已知攻击。
【总页数】11页(P1-11)【作者】朱恩强;张宇;江观华;许宇光【作者单位】广州大学计算科技研究院;西安科技大学计算机科学与技术学院【正文语种】中文【中图分类】TN918.4【相关文献】1.一种子密钥数据库加密算法及其密钥管理方案研究2.一种可证安全的面向无线传感器网络的双因素用户认证密钥协商方案3.一种基于TPM的数据链系统密钥管理方案4.一种轻量级基于证书的认证密钥协商方案5.一种基于车载网络的身份认证密钥管理方案因版权原因,仅展示原文概要,查看原文内容请购买。
身份识别技术
身份识别技术我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。
而今我们也生活在数字世界中,一切信息都是由一组特定的数据表示,当然也包括用户的身份信息。
如果没有有效的身份认证管理手段,访问者的身份就很容易被伪造,使得任何安全防范体系都形同虚设。
因此,在计算机和互联网络世界里,身份认证是一个最基本的要素,也是整个信息安全体系的基础。
身份认证是证实客户的真实身份与其所声称的身份是否相符的验证过程。
目前,计算机及网络系统中常用的身份认证技术主要有以下几种:用户名/密码方式:用户名/密码是最简单也是最常用的身份认证方法,是基于“what you know”的验证手段。
每个用户的密码是由用户自己设定的,只有用户自己才知道。
只要能够正确输入密码,计算机就认为操作者就是合法用户。
实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。
即使能保证用户密码不被泄漏,由于密码是静态的数据,在验证过程中需要在计算机内存中和网络中传输,而每次验证使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。
因此,从安全性上讲,用户名/密码方式一种是极不安全的身份认证方式。
智能卡认证:智能卡是一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。
智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。
智能卡认证是基于“what you have”的手段,通过智能卡硬件不可复制来保证用户身份不会被仿冒。
然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。
动态口令:动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。
鉴别协议综述
鉴别协议综述
李凯;杨放春
【期刊名称】《计算机应用》
【年(卷),期】2004(024)0z2
【摘要】对鉴别协议的演进发展过程进行了详细的介绍,重点对比分析了目前流行的几种鉴别协议的优缺点,并对目前鉴别协议的发展作了归纳总结.
【总页数】3页(P1-3)
【作者】李凯;杨放春
【作者单位】北京邮电大学,交换与网络国家重点实验室,北京,100876;北京邮电大学,交换与网络国家重点实验室,北京,100876
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.面向HTTP身份鉴别协议的单点登录透明集成技术研究 [J], 龙毅宏;唐志红;王亚龙;谢坤轩
2.鉴别协议综述 [J], 李凯;杨放春
3.GAP一步鉴别协议 [J], 南湘浩
4.可信生物特征识别身份鉴别协议框架标准实践 [J], 李俊;柴海新;沈明峰;常秉俭
5.智能卡Fiat-Shamir鉴别协议的实现 [J], 李杨;李波
因版权原因,仅展示原文概要,查看原文内容请购买。
一个可公开验证秘密共享方案的安全性证明
a0 = s , ai ∈R Z q 。庄家保密多项式 f ( x) ,计算并公布以下的承诺 C j 和加密子密钥
(encrypted shares) Yi :
Cj = g
aj
,
j = 0, 1, L, t − 1;
Yi = yif (i ) , i = 1, 2, L, n.
(2-2) 构作证据:现在,要做的就是构作知识证据,以便使各成员相信他们收到的加密子 密钥 Yi 是有效的、一致的,即满足:
X i = g f (i ) , Yi = yif (i ) .
其中的 X i ,任何人都可根据公开的、庄家对多项式 f ( x) 的各系数的承诺 C j 来计算:
X i = ∏ C ij .
j =0 t −1
j
(2)
为此,采用 Fiat 和 Shamir 的办法[15]构作此证据。对于每个 i ∈ {1, 2, L, n} ,庄然后,按下式计算出对各成员 U i 的应答(response) ri :
(2-3) 子密钥的验证: 任何人(当然包含各成员)都可利用公开信息 C j (0 ≤ j ≤ t − 1) 按(2)式 计算出 X i ,然后再利用公开信息 yi , Yi , ri (1 ≤ i ≤ n) 及 c 验证所有成员收到的加密子密钥是 否有效。首先计算出各 a1i 和 a2i :
摘
要:可公开验证的秘密共享(PVSS)是一种特殊的秘密共享体制。在这种方案中,
任何人(不一定是系统中的成员)既可以在秘密分发阶段验证庄家是否给各个成员分发了正 确的子密钥, 又能在秘密恢复阶段验证每个成员是否提供了真实的子秘密; 而且也不需要 假设庄家和各成员之间有秘密信道。 在 1999 年的美洲密码会议上, B. Schoenmakers 提出了 一个基于离散对数的 PVSS 方案。 本文从理论上证明该方案的安全性, 结果表明: 该方案中 的子密钥加密算法的安全性等价于 Diffie-Hellman 假设: 且若 Diffie-Hellman 假设成立, 则 任何 (t − 1) 个成员利用他们的子秘密都不能恢复出秘密密钥。同时, 我们还指出整个方案 的安全性显著地依赖于两个系统参数的相互独立性。 关键词:秘密共享 可公开验证秘密共享 Diffie-Hellman 假设 密码学
一种基于fiat-shamir方法的信息交换协议
受象 棋大师式桥接攻击 。即签 名方 A将一组数据 发送给验
证者 B 验证 者 B将这组数据 转发给 C 并将 C的子集定义 , , 发给 A, 以骗取正确 的回答 。 这样就会 出现 B冒充 C的情况
出现 。
数。 s Hah函数有时也称为消息摘要 ,是一个 函数: 对于输入
为 任 意 长度 的 二 元 串 X 输 出 为 固 定 长 度 的 Y , 。Hah函数 的 s
单 向性是指: 给定 x 很容易 计算 Y= h ); 是给定 Y 根 , ah函数 的碰撞稳 固性是指: x 。H s
公 布 的 h 的数 值 。
( ) 名方 A任 取随机数 r,:r 2签 。 ,, r … ,并计 算出 K个
数 平 方 , 送 给 验 证 者 B 发 。
uain v r e d ae a aye i ti. tto a o eh a r n lzd n deal l
Ke y wor : Fa- h mi,Hah F n t n S c rt;C mp ain o lxt ds its a r s u ci ; e ui o y o utt a C mpeiy ol
b sd o a-s mi Wa ae n f t ha r s pmp  ̄ d i o .W e pe e ta n w rt o b sd o h s u cin rsn e poo l a e n ah fn to .An t e uiy a d c mp- c d is sc rt n o
mo ,C 的数据计算 r o 。 dn 2 im dn 2 子集 C 可 以防止第 三方 C冒充 A, 为计算 S 。 因 是不可
浅谈椭圆中定值问题的解决方法
浅谈椭圆中定值问题的解决方法椭圆中定值问题是椭圆曲线密码学的一个重要组成部分,可以用来保护数字通信和访问受保护的资源。
椭圆中定值问题是一种典型的NP难题,其解决方法也是一个复杂的过程,在本文中我们将着重介绍它的解决方法。
首先,椭圆定值问题被表达为:给定椭圆曲线 E:Y^2=X^3 + AX+B 和一个点 P (x,y),求满足条件XP ≡ x mod m 的 X 值,这一距离被称为“定值”。
因为该问题是 NP 难题,无法使用暴力搜索的方法来解决,而必须使用特定的算法。
常用的算法之一是采用 Baby Step-Giant Step 算法,它是一种快速的椭圆定值算法,可以有效解决此问题。
该算法的步骤是:首先,找到在 P(x, y) 上的两个可逆元素 k1、k2,然后将 k2 扩展到 k1 的模 m 上;其次,计算出 k1 和 k2 的积 k ;最后,找出满足 k = X1 * X2 + X3 * Y1 + X4 * Y2 + X5 * Z2 的X1、X2、X3、X4、X5,其中 Z2 是 P(x, y) 上的单位元素,即使 X1、X2、X3、X4、X5 满足等式的条件也可以将它们映射到 k1 上。
此外,对于椭圆定值问题的求解,还可以使用 Pollard Rho 算法,它是一种基于“传递闭包”方法的基于离散对数的定值算法。
该算法使用一种称为“Pollard Rho迭代”的快速算法,使用了概率性的技术,能够比较有效地求解椭圆定值问题,但如果某个问题不能在规定时间内求解,则可以重新尝试算法,直到求出正确答案。
最后,另一种大规模椭圆定值问题求解方法是使用多项式求解的方法,即使用多项式来表示椭圆定值问题中的函数,然后使用多项式求解器来求解多项式方程。
这种算法的优点是效率高、可以有效解决大规模椭圆定值问题,但也有缺点是实施起来较复杂,实现难度较大。
总之,椭圆定值问题的解决方法有很多,上面三种最常用的分别是 Baby Step-Giant Step 算法、Pollard Rho 算法和多项式求解法。
《零知识证明》PPT课件
过程中,B始终不能看到钥匙的样子,从而避
免了钥匙的泄露。
精选PPT
3
❖ 零知识证明实质上是一种涉及两方或更多 方的协议,即两方或更多方完成一项任务 所需采取的一系列步骤。零知识证明必须 包括两个方面,一方为证明者P,另一方 为验证者V。证明者试图向验证者证明某 个论断是正确的,或者证明者拥有某个知 识,却不向验证者透露任何有用的消息。 零知识证明目前在密码学中得到了广泛的 应用,尤其是在认证协议、数字签名方面。
精选PPT
14
❖ Goldwasser等人提出的零知识证明是交 互式的,也就是证明者和验证者之间必 须进行双向对话,才能实现零知识性, 因而称为交互零知识证明。
精选PPT
15
❖ 在交互零知识证明的研究中,目前受到关注的
有两种基本模型。一种是GMR模型,在这种模
型中,证明者具有无限的计算能力,验证者具
中心 TA 签名的有效性;
3、 验证者 B 选择一个随机整数 e Zb ,并将其发给识别者 A;
4、 识别者 A 计算 y rme mod n ,并将其发送给验证者 B;
5、 验证者 B 通过计算 X ve yb mod n 来验证身份信息的有效性。
可以看出,Guillou-Quisquater 身份认证协议的安全性与 RSA 公钥密码体
精选PPT
10
Hamilton回路零知识协议
❖ 许多计算上困难的问题可以用来构造零知识 协议。
❖ 在图论中,图 G中的回路是指始点和终点相 重合的路径,若回路通过图的每个顶点一次 且仅一次,则称图 G为哈密尔顿回路,构造 图 G的哈密尔顿回路是 NPC 问题。
精选PPT
11
❖ 假定 P知道图 G的哈密尔顿回路,并希望向 V证明这一事实,可采用如下协议:
零知识身份认证
4.零知识身份认证零知识证明(zero-knowledge proof)的思想是:证明者Peggy拥有某些知识(如某些长期没有解决的难问题的解决方法),零知识证明就是在不将该知识的内容泄露给验证者Victor的前提下,Peggy向Victor证明自己拥有该知识。
首先,我们看下面Peggy和Victor之间的一段对话:Peggy:“我可以对密文为C的消息进行解密。
”Victor:“我不相信。
请证明。
”Peggy(糟糕的回答):“密钥是K,您可以看到消息解密成了M。
”Victor:“哈哈!现在我也知道了密钥和消息。
”这里,Peggy虽然证明了自己拥有某些知识(密钥K及明文M),却向Victor 泄露了这些知识。
一个更好的对话是:Peggy:“我可以对加密为C的消息进行解密。
”Victor:“我不相信。
请证明。
”Peggy(好的回答):“让我们使用一个零知识协议,我将以任意高的概率证明我的知识(但是不会将关于消息的任何情况泄露给您)。
”Victor:“好”。
Peggy 和 Victor 通过该协议……可以使用洞穴例子来解释零知识,C和D之间存在一个密门,并且只有知道咒语的人才能打开。
Peggy知道咒语并想对Victor证明,但证明过程中不想泄露咒语。
图7.13 零知识洞穴步骤如下:(1)Victor站在A点;(2)Peggy一直走进洞穴,到达C点或者D点;(3)在Peggy消失在洞穴中之后,Victor走到B点;(4)Victor随机选择左通道或者右通道,要求Peggy从该通道出来;(5)Peggy从Victor要求的通道出来,如果有必要就用咒语打开密门;(6)Peggy和Victor重复步骤(1)至(5)n次。
如果Peggy不知道这个咒语,那么只能从进去的路出来,如果在协议的每一轮中Peggy都能按Victor要求的通道出来,那么Peggy所有n次都猜中的概率是1/2n。
经过16轮后,Peggy只有65536分之一的机会猜中。
基于数字签名的用户认证方案
基于数字签名的用户认证方案鲁江【摘要】利用RSA算法及Feige-Fiat-Shamir数字签名协议构造了一种交互式用户认证方案,并且在此基础上实现了双向认证.该方案与只利用其中一种实现用户认证比较,增强了安全性,具有良好的应用价值和前景.【期刊名称】《甘肃广播电视大学学报》【年(卷),期】2005(015)004【总页数】3页(P52-54)【关键词】RSA;Feige-Fiat-Shamir;数字签名、双向身份认证【作者】鲁江【作者单位】甘肃广播电视大学,现代教育技术中心,甘肃,兰州,730030【正文语种】中文【中图分类】TP309.7随着计算机网络的迅猛发展,网络安全正逐步成为人们关注的焦点。
而对用户的身份认证则是保证网络通讯和数据安全的首要条件,是许多应用系统的第一道防线。
在计算机网络中,身份认证的目的在于识别合法用户和非法用户,从而阻止非法用户访问系统,而如何正确地鉴别用户的真实身份却是问题的关键,为此,各国专家、学者提出了多种身份鉴别方案。
在1984年,Shamir[1]提出了“基于身份的密码系统”这一概念,该系统实现了用户身份信息零知识泄漏,它的安全性是基于分解大数的困难性,在这种系统中,每一用户入网前必须到密钥认证中心(KAC)注册,由KAC发给用户密钥。
这样,用户只需要知道网上另一用户的身份标识就可与之进行保密通信。
此后,出现了各种类型的基于身份的密码方案。
Okamoto提出了基于身份的密钥分配方案;Ohta扩展了Okamoto方案用于身份鉴别;Tsujii[2]利用离散对数也提出了基于身份的密码系统[1];Harn和Yang提出了一种可用于身份鉴别、数字签名、密钥分配的密码方案。
受到以上各方案的启发,本文利用RSA算法和Feige-Fiat-Shamir签名协议构造一种基于身份的交互式用户认证与双向认证方案,用户在证实自己身份的同时不必暴露自己的秘密信息,且具有较好的安全性。
第四十七个知识点:什么是Fiat-Shamir变换?
第四⼗七个知识点:什么是Fiat-Shamir变换?第四⼗七个知识点:什么是Fiat-Shamir变换?只要Alice和Bob同时在线,Sigma协议能快速的完成Alice向Bob证明的任务。
Alice向Bob发送承诺,Bob返回⼀个挑战,最后Alice给出⼀个回应。
不幸的是,没有进⼀步的修改,Sigma协议实际上不是零知识的:它们仅仅是诚实验证者零知识的。
Fiat-Shamir变换是⼀种可以将Sigma协议变成⾮交互证明的技术。
这不仅仅会让Alice可以通过给Bob发送邮件完成证明(Bob可以稍后阅读邮件⽽不必返回⼀个挑战),⽽且它能把任何⼀个Simga协议变成⼀个数字签名,签名的含义就是“知道这个Sigma协议的秘密的⼈已经签署了这个消息”。
Alice能够创造⼀个签名⼀次然后⽆数次的进⾏分发,验证者可以不必联系Alice。
同时零知识也变得容易了,因为Bob或者其它读者不能做任何事情。
尽管菲亚特和沙⽶尔在1986年的论⽂中解释了这种技术,但过去⼏位著名的密码学家曾指出,这种技术实际上是布鲁姆在更早的著作中提出的,尽管我们还没有能够追踪到这⼀点。
⼀个Sigma协议能够通过四个算法实现:“承诺”,“挑战”,“回应”,“验证”。
下⾯给出了解释:Alice Bob----- -----co,st = Commit(secret,public)---------- co --------->c = Challenge()<--------- c ----------r = Respond(st,c)---------- r --------->Check(co,c,r)Fait-Shamir变换中,Alice选择了哈希函数H,然后使⽤它创造挑战:Alice World----- -----co, st = Commit(secret,public)c = H(public,co)r = Respond(st,c)------ co,r ----------->c = H(public,co)Check(co,c,r)如果Alice想要签署⼀个消息m,她需要让c = H(public, co, m),然后把(m, co, r)公布出去作为消息。
随机谕言模型
软件学报ISSN 1000-9825, CODEN RUXUEW E-mail: jos@Journal of Software ©中国科学院软件研究所版权所有. Tel/Fax: +86-10-62562563随机谕言模型∗贾小英, 李 宝, 刘亚敏+(中国科学院 研究生院 信息安全国家重点实验室,北京 100049)Random Oracle ModelJIA Xiao-Ying, LI Bao, LIU Ya-Min +(State Key Laboratory of Information Security, Graduate University, The Chinese Academy of Sciences, Being 100049, China)+ Corresponding author: E-mail: ymliu@, Jia XY, Li B, Liu YM. Random oracle model. Journal of Software /1000-9825/4092.htmAbstract : In this paper we give a survey of the random oracle model, which is an important tool in provablesecurity. We introduce the random oracle model on several aspects, including its origin and development, basicproperties and methodology, representative schemes, plaintext awareness, random oracle instantiation, theuninstantiable properties and related negative results, and the research of weakened random oracle models. Besides,other ideal models are compared with the random oracle model, and construction of encryption schemes in thestandard model is also referred.Key words : public-key cryptography; provable security; random oracle model; random oracle instantiation;uninstantiability of random oracle; weakened random oracle model摘 要: 介绍了可证明安全理论中的重要工具——随机谕言模型,包括随机谕言模型的起源、基本性质和方法、随机谕言模型中的代表方案、明文知晓性质、随机谕言的实例化、随机谕言不可实例化的性质和相关负面结论以及对弱化的随机谕言模型的研究.还比较了随机谕言模型和其他的理想模型,并简介了标准模型中的方案设计状况.关键词: 公钥密码学;可证明安全;随机谕言模型;随机谕言实例化;随机谕言的不可实例化性质;弱化的随机谕言模型中图法分类号: TP316 文献标识码: A随机谕言模型(random oracle model,简称ROM)[1],亦可翻译为随机谕示模型,随机预言模型或随机预言机模型等,是可证明安全理论中的重要工具.可证明安全是指将密码方案的安全性归约为某些问题的难解性(intractability),从而使方案的安全性有具体的度量标准的理论和方法.自Goldwasser 和Micali 建立可证明安全理论以来[2,45],寻找高效率并且可证明安全的方案就成为公钥密码学领域的首要问题.起初的安全性证明模型中只有对某些数学问题的难解性假设,而没有对密码学原语的理想化假设.这种模型称为标准模型(standard model),并被认为是最接近现实状况的模型.然而,最初在标准模型中设计的具有可证∗ 基金项目: 国家自然科学基金(61070171); 国家重点基础研究发展规划(973)(2007CB311201)收稿时间: 2010-10-15; 定稿时间: 2011-07-08; jos 在线出版时间: 2011-09-09网络出版时间:2011-09-09 13:54网络出版地址:/kcms/detail/11.2560.TP.20110909.1354.003.html2 Journal of Software软件学报明安全性的密码方案的效率并不理想.为了提高效率,理想化的随机谕言模型成为平衡效率和安全性的一种方式,也成为可证明安全领域的一大争议问题:一方面是层出不穷的在随机谕言模型下设计的密码协议,另一方面是对随机谕言模型特殊性质的探讨和各种负面结论.因此,对随机谕言模型的研究已经成为可证明安全领域的重要部分.本文将介绍随机谕言模型的起源与发展、基本性质与方法、应用实例以及关于随机谕言模型的热点研究问题.此外,1 随机谕言模型1.1 起源1986年,Fiat和.图1.给定如图1(hash function)h FS来是(α,β,γ).Fiat-Shamir发送者S(sk,pkFig.1图1在证明谕言.自此,1.2 基本性质和方法随机谕言模型中假设协议各方都能够访问一个公开的随机函数,即“随机谕言”.随机谕言必须满足如下基本性质:1) 确定性:对于相同的谕言询问q,总是给出相同的回答;2) 有效性:对于任意随机谕言询问q,总是在多项式时间内给出回答;3) 随机性:谕言的输出分布均匀随机.应用随机谕言方法构造密码方案则包括以下步骤:1) 在随机谕言模型中构造方案,并建立方案的安全性;2) 用合适的函数代替方案中使用的随机谕言,即随机谕言的实例化.由于随机谕言的输出熵大于它的输入熵,即,它的确定性和随机性要求是矛盾的,这一点表明随机谕言只是理想存在的原语[46].因此,随机谕言模型中建立的方案安全性并不等同于实例化之后的方案实际安全性,这一点也成为随机谕言模型受到质疑的原因.在随机谕言模型中证明方案的安全性时,需要模拟随机谕言.这一点通常使用“查表法”来实现,即,保持一个动态增长的列表L.对于询问q,首先在L中查找是否已有项(q,y)存在.如果是,则输出y作为回答;否则,均匀随机贾小英 等:随机谕言模型 3 地选择y ,输出y ,并将(q ,y )添加到表L 中.这种模拟方法得到的随机谕言完全满足它的3种基本性质,并且能够简化方案的安全性证明.2 随机谕言模型中的方案和概念随机谕言模型自提出以来便成为构造高效率密码方案的重要工具,并且一些密码概念都是先在随机谕言模型下构造出可行的方案,再在标准模型中实现.可以说,随机谕言模型也是方案构造的一个“实验台”.本节将介绍两个成功的随机谕言模型方案,即f -OAEP 公钥加密方案[5]和Fujisaki-Okamoto 变换[6],以及起源于随机谕言模型的安全概念、明文知晓性质[5].2.1 f -OAEP 方案1994年,Bellare 和Rogaway 在随机谕言模型下构造了具有密文比特最优性质的公钥加密方案,f -OAEP 方案.随后,RSA-OAEP,即f 为RSA 函数时得到的公钥加密方案,成为PKCS#1 V2.0中的加密标准.2.1.1 方案描述约定方案的安全参数为1k ,k 0,k 1,n 为正整数.01:{0,1}{0,1}k n k G +a 和是随机谕言,F 是一 01:{0,1}{0,1}k n k H +a 个陷门置换生成器.1) 密钥生成:运行F (1k )得到(f ,f −1).f 是公钥,f −1是私钥;2) 加密:f -OAEP 方案首先使用随机谕言G 和H 对明文消息m 进行填充变换,即OAEP 变换(optimal asymmetric encryption padding).OAEP 算法是一个不对称的两轮Feistel 结构,其中,随机谕言G 和H 的作用与 Feistel 结构中的轮函数类似.对于消息m ∈{0,1}n ,均匀随机地选择随机数,并计算:0{0,1}k r ∈1||0(),(),||.k s m G r t r H s u s =⊕=⊕=t将填充后的消息u 应用单向陷门置换f ,便得到密文y =f (u ).3) 解密:对于密文y ,首先计算u =f −1(y ).将u 解析为s ||t ,并计算:ˆ(),().r t H s ms G r =⊕=⊕ 将解析为m ∈{0,1}ˆmn 和,若z 是全0串,则表示y 是合法密文,输出明文m ;否则,输出错误符号⊥. 0{0,1}k z ∈2.1.2 效率和安全性f -OAEP 方案的主要开销为f 函数的计算.与f 函数的计算开销相比,算法中的消息填充、随机谕言询问以及异或运算的开销微乎其微.因此,f -OAEP 计算上具有高效率.此外,f -OAEP 方案中的明密文长度之比,较之此前的其他加密方案也是最优的.f -OAEP 方案的安全性证明却是一波三折.起初在提出f -OAEP 时,Bellare 和Rogaway 声称对于任何单向陷门置换f ,f -OAEP 在随机谕言模型中都能达到IND-CCA2安全.然而2001年,Shoup 指出[7],若仅要求f 具有单向性还无法保证f -OAEP 的IND-CCA2安全性,并给出了若f 具有异或可延展性质(XOR-malleability)则f -OAEP 无法达到IND-CCA2安全性的证明.幸运的是,Fujisaki 等人发现,若f 具有部分定义域单向性(partial domain one- wayness),则f -OAEP 在随机谕言模型下仍然能够达到IND-CCA2安全性[8].而RSA 函数便具有这种性质,因此RSA-OAEP 在随机谕言模型下仍然是IND-CCA2安全的.2.2 Fujisaki -Okamoto 变换1999年,Fujisaki 和Okamoto 提出了一种利用随机谕言将具有弱安全性的公钥加密方案转化为具有强安全性的公钥加密方案的变换方法[6],称为Fujisaki-Okamoto 变换(FO 变换).以下介绍FO 变换的一个简化形式.2.2.1 方案描述和安全性令E pk 为一个概率公钥加密方案,G ,H 是两个随机谕言.对E pk 应用FO 变换,可以得到一个混合形式的公钥加密方案.hy hy pkpk E E 的密钥生成算法与E pk 的密钥生成算法相同一样,在加密时,对于消息m ,hy pk E 选择随机数σ并计算: ()(;(,))||().hy pk pk m H m G σσσ=⊕E E m4 Journal of Software软件学报对于密文y=(C,U),其中,C是密文中来自E pk加密的部分,U是随机谕言G的对应值和明文的异或部分.使用E pk 的私钥便可对C密文解密得到σ,再计算m=U⊕G(σ)并验证是否有C=E pk(σ;H(σ;m)):如果是,则输出明文m; 否则,输出错误符号⊥.E的公钥加密在随机谕言模型下便能只要公钥加密方案E pk具有IND-CPA安全性,经过FO变换后得到的hypk达到IND-CCA2安全.而具有IND-CPA安全性的公钥加密方案比具有IND-CCA2安全性的方案容易构造,因此FO变换可以方便地将弱安全的公钥加密方案转化为强安全的公钥加密方案.FO变换的一个著名应用便是Boneh-Franklin的基于身份的加密方案(BF-IBE方案)[9].自1984年Shamir提出基于身份的加密方案(identity-based encryption,简称IBE)的构想以来[10],构造高效率IBE方案的问题一直悬而未决;直到2001年,Boneh和Franklin利用Weil对子(Weil pairing)和FO变换构造了在随机谕言模型下达到IND-ID-CCA2安全的BF IBE方案.BF IBE方案是第一个现实的IBE方案,并且已经进入2009年公布的IEEE P1363.3关于基于身份的公钥密码协议的标准草案中.2.3 明文知晓性(plaintext awareness)在随机谕言模型中产生的不只是高效率的密码方案,还有新的安全概念.明文知晓性便是起源于随机谕言模型然后被推广到标准模型下的一个强安全性概念.明文知晓性是1994年Bellare和Rogaway为了方便证明f-OAEP方案的IND-CCA2安全性而提出的,它的直观含义是指,如果敌手产生了一个有效密文,则它一定已经知道对应的明文,这样,CCA模型中的解密谕言对敌手就没有用处了.随后,Bellare等人又细化了明文知晓性的概念,为敌手增加了窃听密文的能力[11],将概念推广到标准模型下,并细分为PA0,PA1,PA2等不同难度等级[12]. PA0,PA1,PA2与标准的安全性定义存在对应关系,即IND-CPA+PA0⇒IND-CPA,IND-CPA+PA1⇒IND-CCA1, IND-CPA+PA2⇒IND-CCA2.为了使PA在随机谕言模型和标准模型中的定义兼容,Bellare和Palacio推荐将随机谕言模型中的PA定义也区分成PA0-RO,PA1-RO和PA2-RO.以下是PA1-RO和PA2-RO的定义,其中的敌手A称为密文生成器,解密模拟器A*称为明文提取器.定义1(PA1-RO). 一个公钥加密方案,如果对任意密文生成器A都存在明文提取器A*,只给定公钥和A的随机谕言询问列表R[A],A*与真实解密算法的输出分布不可区分,则称此方案满足PA1.PA0的定义与PA1相似,只是在PA0中,敌手A只被允许询问一次明文提取器A*,而在PA1中,A可以向A* 发送多项式次解密询问.PA1中的敌手并没有窃听密文的能力.在PA2中增加了明文生成器P用以刻画A的窃听密文能力,也就是说, P能够为A提供A不知道对应明文的密文.A从P得到的密文存放在密文列表CLIST中.A不允许用CLIST中的密文询问A*.定义2(PA2-RO). 一个公钥加密方案,如果对访问任意明文生成器P的任意密文生成器A都存在明文提取器A*,只给定公钥和A的随机谕言询问列表R[A]以及密文列表CLIST,A*与真实解密算法的输出分布不可区分, 则称此方案满足PA2.标准模型中没有随机谕言询问,因而在标准模型的明文知晓性定义中,R[A]是A的随机数列表.实际上,标准模型中的明文知晓性比IND-CCA2安全性更难证明.但是,对标准模型中的明文知晓性的研究仍然是可证明安全中有趣的研究方向,因为它还有着实际应用的需求.例如,Raimondo等人发现,SKEME密钥交换协议的可否认性的证明就需要使用加密方案的明文知晓性[13].3 随机谕言实例化随机谕言的基本性质中的确定性和随机性是矛盾的,因此随机谕言只是理想化的原语,实际计算时需要用现实函数来替代.随机谕言的实例化就是指在实际应用中用合适的杂凑函数的计算来代替对随机谕言的访问.究竟采用具有何种性质的杂凑函数来实例化随机谕言,才能够使在随机谕言模型下安全的方案在标准模型中贾小英 等:随机谕言模型 5 也能建立起至少经得起现实考验的安全性,是研究随机谕言模型的一个热点方向.本节将介绍一些用于实例化随机谕言的密码学原语以及对f -OAEP 的实例化结论.3.1 完美单向杂凑函数1997年,Canetti 提出了用于随机谕言实例化的谕言杂凑技术(oracle hashing)[14].之后在1998年,Canetti 等人为其更名为完美单向杂凑函数(perfectly one-way hash function,简称POWHF)[15].完美单向杂凑函数是一类概率杂凑函数,它能够隐藏关于其自变量的所有部分信息,并且具有完整性、抗碰撞性与完美单向性.以下是完美单向杂凑函数的形式化定义.定义3(完美单向杂凑函数). 约定安全参数为1k .算法H 为对于输入x 和随机数r ∈R k ,返回杂凑值y .算法V 能够有效地验证y 是否是输入x 的杂凑值,并输出一个判定比特.如果满足如下性质,则函数对(H ,V )被称为完美 单向杂凑函数:I. 完整性:对所有足够大的k ,任意r ∈R k 和任意输入x ,有V (x ,H (x ,r ))=1;II. 抗碰撞性:对任意概率多项式时间的敌手A ,令(x ,x ′y )←A (1k ),那么以下概率Pr [V (x ,y )=1∧V (x ′,y )=1∧x ≠x ′]是可忽略的.III. 完美单向性:对任意概率多项式时间的敌手A ,有,((,)),((,))c x x r x x r ′〈〉=〈〉A H A H ,x 的杂凑值与x ′的杂凑值计算不可区分,即H (x ,r )隐藏了x 的所有部分信息.3.1.1 强完美单向杂凑函数在实例化随机谕言时,通常需要杂凑函数具有强完美单向性,即对于不可逆函数f ,有,((),(,)),((),(,)).c x f x x r x f x x r ′〈〉=〈〉A H A H使用强完美单向杂凑函数实例化随机谕言,已经出现了一些正面结论.例如此前所述的Bellare 和Rogaway 的在随机谕言模型下达到IND-CPA 安全性的加密方案[1],E pk (m ;r )=f (r )||G (r )⊕m ,用关于f 的强完美单向杂凑函数 代替G 后,该方案仍然保持IND-CPA 安全性[14].此外,Boldyreva 和Fischilin 证明了用强完美单向杂凑函数实例化Fujisaki-Okamoto 变换中的任意一个随机谕言,所得到的部分实例化后的方案在随机谕言模型中仍然保持安全性[16].但是,Fujisaki-Okamoto 变换的完全实例化仍然是一个开放问题.3.1.2 完美单向杂凑函数的构造Canetti 等人提出了几个构造(强)完美单向杂凑函数的方法[14,15].由于完美单向杂凑函数要求杂凑值可验证,因此计算杂凑值所使用的随机数通常是公开的,这种“公开随机数”的方法在目前的随机谕言实例化结论中普遍使用.以下是Canetti 等人提出的两种(强)完美单向杂凑函数的构造:构造1:H (x ,r )=(r ,r h (x )),其中,h 是一个抗碰撞的杂凑函数.令G 为模p 的q 阶子群,g ∈G .H 的完整性很明显,其抗碰撞性质基于h 的抗碰撞性质.在判定性Diffie-Hellman(DDH)假设下(即对于有*,,,q a b c c ab ∈≠Z (,,)(,,)ca b ab a b c g g g g g g =),可以将区分 (r ,r h (x ))和(r ,r h (x ′))的问题归约为区分(g a ,g b ,g ab )和(g a ,g b ,g c )问题,从而证明H 的完美单向性质.此外,类似地,基于更 强的假设((),,)((),,)cb ab bc f a g g f a g g =,可以归约证明H 的强完美单向性质.构造2:,其中,f (,)(,())l l H x r r f r =x l (⋅)来自于一个抗碰撞的伪随机函数部落(){}{{}}n n t t T n N F ∈∈.H l 的完整性是明 显的,H l 的抗碰撞性质来自于f l (⋅)的抗碰撞,H l 的完美单向性来自于f l (⋅)的伪随机性质.因此,H l 是完美单向杂凑函数.3.2 增强的完美单向杂凑函数此后的文献中也提出了一些强原语,这些强原语的性质可以增强完美单向杂凑函数的性质.下面介绍自适应完美单向杂凑函数[17]和可提取的完美单向杂凑函数[18].6 Journal of Software软件学报3.2.1 自适应完美单向杂凑函数2008年,Pandey,Pass和Vaikuntanathan提出了自适应单向函数的概念[17].给定一个族函数F n={f tag:{0,1}n a{0,1}n},其中,tag是函数f tag的下标.如果对于每个tag和随机的r,即使敌手能够访问tag′≠tag的其他函数f tag′的求逆谕言,f tag(r)都难以求逆,则称函数族F n是自适应单向的.将自适应性质加诸完美单向杂凑函数,得到的强原语、自适应的完美单向杂凑函数,可以适用于更复杂的随机谕言模型方案的实例化.例如Bellare和Rogaway于1993年提出的在随机谕言模型下达到IND-CCA2安全性的加密方案[1],E pk(m;r)=f(r)||G(r)⊕m||H(m||r),若G,H均用自适应的强完美单向杂凑函数实例化,则该方案仍然保持IND-CCA2安全性.3.2.2 可提取的完美单向杂凑函数可提取的完美单向函数是Canetti和Dakdouk于2008年提出的又一个强原语[18].由于随机谕言本身具有可提取性质,即,如果有一种算法知道函数值,则说明它已经知道原像.这种性质使得随机谕言模型下的安全性证明十分便利.如果用具有可提取性质的函数来实例化随机谕言,则原来在随机谕言模型中的证明可以直接移植过来,加密方案E pk(m;r)=f(r)||G(r)⊕m||H(m||r)中的随机谕言G,H也可以用可提取的强完美单向杂凑函数安全地实例化.Canetti和Dakdouk给出了一些基于强假设构造可提取的单向函数的方法[18],但是可提取的(强)完美单向杂凑函数的构造仍然是未知的.如果能构造出可提取的(强)完美单向杂凑函数,即使是基于强假设,也将是随机谕言实例化问题的重要进展.3.3 对OAEP的实例化f-OAEP是随机谕言模型中最成功的方案之一.虽然Bellare和Rogaway推荐基于SHA和MD5杂凑函数来构造f-OAEP 方案中的两个随机谕言G,H的替代函数,并且在PKCS#1 V2.1标准中也类似地推荐了MD系列和SHA系列的杂凑函数来构造对G,H的替代,但是这种替代的安全性仅仅基于“经验”,并没有得到严格证明.因此,从可证明安全的角度研究对f-OAEP方案的实例化意义重大.以下介绍一些对f-OAEP方案实例化的已有结论.2005年,Boldyreva和Fischilin证明了OAEP中的两个随机谕言G,H都不能用强完美单向杂凑函数来实例化[16].随后在2006年,Boldyreva和Fischilin细致分析了OAEP中的随机谕言对方案的安全性所起的作用,并为f-OAEP方案的部分实例化“定制”了具有某些特定性质的杂凑函数[19].适合随机谕言G的是近似抗碰撞的伪随机生成器(near-collision resistant pseudorandom generator,简称NCRPRG).用NCRPRG实例化G后得到的方案在随机谕言模型中保持了IND-CCA2安全性;适合随机谕言H的是不可延展的伪随机生成器(non-malleable pseudorandom generator,简称NMPRG),用NMPRG实例化H后得到的方案在随机谕言模型中是NM-CPA安全的.如果同时实例化G,H,则得到的完全实例化的f-OAEP方案在标准模型中是$NM-CPA安全的.由于$NM-CPA是NM-CPA的较弱的变形,并非标准的安全性定义,因此Boldyreva和Fischilin提出了一个开放问题,即,能否使f-OAEP的完全实例化满足一个标准的安全性定义.2010年,Kiltz,O’Neil和Smith解决了这个开放问题,证明了f-OAEP可以满足标准的IND-CPA安全性定义[20].这是对f-OAEP实例化的最新正面结论.4 随机谕言的不可实例化性质如果说对随机谕言模型实例化的研究表现出对随机谕言方法的支持,那么反对随机谕言方法的声音主要表现在对随机谕言的不可实例化性质的研究上.虽然在随机谕言模型中构造的密码方案具有高效率,但是在随机谕言模型中的安全性证明并不能保证方案的实际安全性,这是因为随机谕言模型的一些理想化的性质是现实的原语都不具有的.以下介绍一些关于随机谕言模型的负面结果.4.1 相关难解性质1998年,Canetti,Halevi和Goldreich首次构造了在随机谕言模型中安全但是在标准模型中却无法安全实例贾小英 等:随机谕言模型7化的方案[21].这种方案的存在,正是由于随机谕言独特的相关难解性质(correlation intractability).为了刻画相关难解性质,Canetti 等人首先定义了模糊二元关系(evasive binary relation)的概念: 定义4(模糊二元关系). 给定一个二元关系R ,如果对于任何概率多项式时间的谕言机M ,以下概率Pr[(1),(,())]k x x x R ←O M O ∈]∈可忽略,则称R 为模糊二元关系,其中,O 是随机谕言.由于随机谕言O 的输出分布均匀随机,因此O (x )与x 之间并不存在明显的非平凡关系,故而模糊二元关系很 容易找到.相关难解性正是随机谕言的理想随机性的体现.定义5(相关难解性). 给定一个函数f :{0,1}*a {0,1}poly (k ),其函数描述为s .如果对于任意模糊二元关系R 以及任意概率多项式时间图灵机M ,以下概率可忽略,则称f 具有相关难解性. {0,1}[(),(,())k s Pr x s x f x R ∈←M 函数的变量和自变量之间的映射关系由其描述决定.随机谕言的描述一般被视为多项式时间内不可计算的,而现实中使用的函数,其描述都是公开的并且是多项式时间内可计算的.因此,总是能够根据其描述构造出 一个模糊二元关系R ,使得(x ,f (x ))∈R ,例如关系,其中,{(,()):{0,1}}k s kR s f s s =∈U F *{0,1}{}s s f ∈=F 是所有下标为s 的函数的集合.故而,现实中的函数都不具备相关难解性.利用这一点,Canetti,Halevi 和Goldreich 能够从任意安全的签名方案构造在随机谕言模型下安全,但是用任 意现实中使用的函数都无法安全实例化的签名方案[20].给定一个能够抵抗存在性伪造攻击的签名方案S =(G ,S ,V ),可以构造随机谕言模型中的关于模糊二元关系R 的签名方案如下,其中,O 是随机谕言:(,,)R R R S =O O G S V O 1) 签名算法R O S :(,), (,())(,).(,), (,())R sk m m m R sk m sk m m m R∈⎧=⎨∉⎩O O S S O 2) 验证算法R O V :, (,())(,,).(,,), (,())R m m R vk m vk m m m Rσσ∈⎧=⎨∉⎩接受O O V V O 可以看出,在随机谕言模型下,签名方案的安全性仍然与方案S =(G ,S ,V )一样,因为(m ,O (m ))∈R 的概率可忽略.然而当O 被描述为s 的现实函数f (,,)R R R S =O O G S V O s 替代时,很容易构造关系R 使得(m ,f s (m ))∈R ,从而 使方案输出其签名密钥.4.2 其他负面结论2002年,Nielsen 指出[22],在随机谕言模型中很容易构造的一类密码方案——非交互非承诺的加密方案(non-interactive non-committing encryption,简称NINCE),在标准模型中是无法构造的.这是由于随机谕言模型具有的理想可编程性质(ideal programmability),现实函数并不具有.简而言之,随机谕言模型的理想可编程性质是指它在某些点的值可以预先设置而不被察觉.与相关难解性一样,理想可编程性质也是随机谕言的随机性的体现,它与相关难解性之间的关系很可能是等价的.验证这一点将是一个有趣的问题,有助于理解随机谕言模型的基本性质.探讨现实中的原语的可编程性质也是有意义的问题,如2008年,Hofheinz 和Kiltz 还尝试了在标准模型中构造具有可编程性质的杂凑函数[23].2003年,Goldwasser 和Taumann 对Fiat-Shamir 变换[4]的分析类似于Canetti 等人的结论.Goldwasser 和Taumann 证明,对于某些三轮身份验证协议,应用Fiat-Shamir 变换可以得到在随机谕言模型下可证明安全,但是无法安全实例化的签名方案.2004年,Bellare 等人研究了公钥密码学当前的一个热点研究方向——密钥封装机制(key encapsulation mechanism,简称KEM)的构造,并证明了同时具有密钥可验证性质,密文可验证性质以及IND-CCA 保持性质的KEM 只能在随机谕言模型中存在[24].Bellare 等人的结论与此前的负面结论大不一样,因为他们的着眼点不在于现实中的函数不具备随机谕言模型的理想随机性,而在于随机谕言的公开可访问性质并非总是存在.即,两个随机谕言模型中的密码系统,它们各自使用的随机谕言是独立的,并不能在这两个密码系统分别的参与方之间共8 Journal of Software软件学报享.而现实中的函数的描述总是公开的,因此不具有这种性质.2004年,Maurer,Renner和Holenstein研究了密码系统之间的可归约性[25].他们将两个密码系统的不可区分性质一般化成不可分辨性质(indifferentiability),并重新定义了可归约性.若A和B不可分辨,则将系统C(B)中的组件B替换成A后,C(B)的安全性并不受影响;而系统U能够归约为系统V,是指从V可以构造与U不可分辨的系统B(V).Maurer等人证明了随机谕言不能归约为一个较弱的原语:异步信标(asynchronous beacon),而异步信标亦不能归约为有限长度的随机串.这说明存在随机谕言模型中的密码系统,其中的随机谕言并不能用现实中的函数来替代.Maurer等人关于随机谕言模型的负面结论并不针对具体的密码方案和构造,并蕴涵了此前Canetti等人的结论[21].虽然以上这些负面结论已经触及了一些现实的密码学目标,如KEM的构造等,但是尚未涉及像RSA-OAEP 这种已经成为加密标准的方案.然而在2006年,Brown提出,实例化RSA-OAEP中的随机谕言后,可能无法将其IND-CCA2安全性归约为RSA的单向性[26].2009年,Kiltz和Pietrzak对基于填充的加密方案的随机谕言实例化给出了一个负面结论[27].基于填充的加密方案(padding-based encryption)是指,像f-OAEP这种首先用一个公开的单射变换π(如OAEP)对明文消息和随机数进行填充变换,再对变换结果应用陷门置换f的加密方案.Kiltz和Pietrzak 证明,即使假设理想的陷门置换存在,基于填充的加密方案的IND-CCA2安全性,甚至IND-CCA1安全性,都无法黑箱归约到f的“理想单向性”.但是,Kiltz和Pietrzak的结论也没有排除用非黑箱归约的方法建立f-OAEP在标准模型中的安全性的可能.如果说大部分关于随机谕言模型实例化的负面结论在直观上可以归咎于真实杂凑函数并不具有随机谕言的理想随机性,那么2009年,Leurent和Nguyen的实例化负面结论则可以归咎于真实杂凑函数不那么理想的抗碰撞性.Leurent和Nguyen的分析更为精细[28],在他们的结论中,此前多种随机谕言实例化建议,例如Bellare和Rogaway早期关于随机谕言模型的文献中所提出的方法[1,5],都是不安全的.综合对随机谕言模型的实例化和不可实例化结论看来,随机谕言模型实例化进展甚微而困难重重,是一个极具挑战性的研究方向.目前的情形是,实例化方法大多效率不高,并且在完全实例化的情形下,大都不能保持在随机谕言模型中建立的安全性;而对随机谕言不可实例化性质的研究,虽然结论众多,但是也大都停留在定义层面,并没有产生对一般随机谕言模型中的方案的现实攻击.5 弱化的随机谕言模型随机谕言模型中的假设过于强大,使得它在密码方案的证明中几乎具有无所不能的性质.如果能够弱化随机谕言模型,那么在弱化的模型中建立的安全性可能会更加接近方案的实际安全性.因此,近年来对弱化随机谕言模型的研究也逐渐成为热点.下面给出简单介绍.5.1 弱化的随机谕言模型(weakened random oracle model)Liskov在2006年提出了弱理想压缩函数(weak ideal compression function)的概念,并基于弱理想压缩函数构造了与理想杂凑函数不可分辨的杂凑函数[29].弱理想压缩函数是带攻击谕言的随机谕言,以下描述了弱理想压缩函数的一些常见弱点:1) 碰撞易解(collision tractable);2) 第二原像易解(second pre-image tractable);3) 原像易解(first pre-image tractable).弱化的随机谕言模型便是指带有相应的攻击谕言的随机谕言模型,例如碰撞易解的随机谕言模型(CT-ROM)、第二原像易解的随机谕言模型(SPT-ROM)和原像易解的随机谕言模型(FPT-ROM).它们的强度依次减弱,FPT-ROM中的安全性蕴涵SPT-ROM中的安全性.2010年,Kawachi等人在弱化的随机谕言模型中分析了f-OAEP和Fujisaki-Okamoto转换在这些弱化的随机谕言模型中的安全性[30],并得到如下结论:。
非交互 零知识 区间证明协议
非交互零知识区间证明协议一、引言在当今信息社会中,隐私保护和数据安全已经变得越来越重要。
人们在进行在线交易、进行个人隐私查询等操作时,往往需要提供一些敏感数据,如年龄、收入、信用记录等。
然而,由于参与者之间的信任问题以及第三方机构的不可信性,如何在不泄露敏感数据的前提下证明其合法性成为了一个非常重要的问题。
区间证明协议是一种常用的隐私保护手段,旨在证明某一数据(如年龄、财产)处于指定的范围内,同时不泄露该数据的具体值。
非交互零知识区间证明协议则是在保护隐私的基础上,能够在不进行交互的情况下完成证明。
本文将详细介绍非交互零知识区间证明协议的概念、原理和应用领域,并比较分析现有的相关技术,最后展望未来的发展趋势。
二、概述非交互零知识区间证明协议(Non-Interactive Zero-Knowledge Range Proof Protocol)是一种密码学协议,主要用于证明某一数据位于指定范围内,同时保护数据的隐私性。
该协议旨在满足以下几个基本要求:1.非交互性:参与者只需发送一次证明消息,并能够确保其合法性,无需与第三方或其他参与者进行进一步的交互;2.零知识性:证明消息不泄露被证明数据的具体值,只能证明其位于指定范围内;3.可验证性:其他参与者或验证者能够验证证明消息的合法性,确保被证明数据的可信度。
三、原理与流程非交互零知识区间证明协议基于零知识证明(ZKP)和Fiat-Shamir转换(Fiat-Shamir transform)技术实现,主要包括以下几个步骤:1.参数设置:选择合适的安全参数、加密算法和哈希函数等;2.系统初始化:生成证明系统的公共参数,包括生成器(generator)、模数(modulus)等;3.证明者证明:– 3.1 证明者选择要证明的数据,并将其转换为对应的二进制形式;– 3.2 证明者生成一系列随机数,并计算生成证据;– 3.3 证明者通过哈希函数将证据转换为挑战(challenge),并发送给验证者;4.验证者验证:– 4.1 验证者接收到挑战,并计算生成响应(response);– 4.2 验证者通过哈希函数将响应转换为挑战的哈希值;– 4.3 验证者比较两个哈希值是否相等,以验证证明的合法性;5.结果验证:其他参与者或验证者可通过公布的协议参数和验证过程验证证明消息的合法性。