从Goldwasser-Micali谈起 - 广州大学※数学与信息科学学院

本报告内容来自我和合作者最近完成的两篇论文

从二次剩余到k 次剩余的密码体制

曹珍富

上海交通大学计算机系

上海交通大学可信任数字技术实验室

•Zhenfu Cao; Xiaolei Dong; Licheng Wang; Jun Shao; Xiaodong Lin.

"More Efficient Cryptosystems From k-th Power Residue Symbols”.

•Zhenfu Cao; Xiaolei Dong; Licheng Wang; Jun Shao; Xiaodong Lin.

"A Unified Goldwasser-Micali Type Cryptosytem”.

•开始于两三年前，

一种全新的密码

理论体系将得到

研究。•开始于十几年前，

多方密码学解决

了云计算安全和

隐私的基础问题：

•想法很简单：做一个应用需求的理论实践者。

提纲

•星光闪耀•历史回顾•最新进展•总结

•CNET\NEWS 2013年3月13日报道Cryptography scientists

win 2012 Turing Award

•获得ACM 图灵奖的主要工作

–Probabilistic Encryption 概率加密

–Interactive Proof Systems 交互证明系统

•CNET\NEWS 2013年3月13日报道Cryptography scientists

win 2012 Turing Award

•ACM 图灵奖颁奖词部分摘录

–开创了可证明安全性的领域

–建立了将密码学从艺术变为科学的数学结构

•1982 STOC：第一个公钥概率加密体制–密钥生成：N=pq, y∈R J N\QR N

pk=(n,y), sk=(p,q)

–加密：m=(m0m1…m k-1)2, x∈R Z N

c i= y m_i x2mo

d N

–解密：m i=0 if (c i/p)=1, m i=1 if (c i/p)=-1

–安全性：IND-CPA, 标准模型

基于QR假设：不知p,q，判断J

中二次剩余困难

N

Game G0: 原方案

Game G1: y∈R QR N, 密文已不含m任何信息

•1982 STOC：第一个公钥概率加密体制–密钥生成：N=pq, y∈R J N\QR N

pk=(n,y), sk=(p,q)

–加密：m=(m0m1…m k-1)2, x∈R Z N

c i= y m_i x2mo

d N

–解密：m i=0 if (c i/p)=1, m i=1 if (c i/p)=-1

–特性：加密、解密高效（尽管逐比特）

支持加法同态（仅对消息空间大小为2有意义）

密文长度：k·log N

密文扩展因子：log N

•1984 CRYPTO：Blum & Goldwasser –密钥生成：

•N=pq，p=q=7 (mod 8)，公钥N，私钥p，q –加密：借助一个强随机比特串发生器G •c1=m⊕G(r), c2=r2^(h+1)mod N,

•其中r∈R QR N，h仅由N和m的长度决定（公开）–解密：

•利用p，q，根据CRT，由c2解出r

•再计算G(r) 并由c1解出m

–特点：

•密文长度小：k+log N

•不再支持加法同态

•第一种改进框架：仅在剩余次数上下功夫！

–加密消息m，基于模N的k次剩余符号

c=y m x k mod N, (x, N)=1 (1)其中y是模N的k次非剩余。

–解密：解特殊形式的离散对数问题

cφ(N)/k =(y m x k)φ(N)/k =[yφ(N)/k ]m mod p (2)–改进着眼点：如何使(2)式易求（知道p）？

•k = 2时，即为GM方案，(2)式易求。

•k 决定消息空间的大小

•1985 FOCS：J. Cohen & M. Fischer

–可验证的鲁棒电子选举方案

–基于k 次剩余：

•k为素数、且大于投票人数

•k整除p-1、但不整除q-1

–解密：在[0,k)空间内搜索

–但本质上仍然只是加密0或1（代表有效选票），然而利用增大的消息空间[0,k)和加法同态性质

可以实现选票计数。

•1988 IEICE, Y. Zheng, T. Matsumoto, H. Imai –基于奇数次剩余

–加密：逐块加密，每块不超过剩余次数k

–解密：逐块解，每块随机反复试——直到成功–缺点：剩余次数k 不能太大

•定义了剩余类指数(Class-index)问题–Class-index比较问题——相当于判定两个随机元素是否具有相同的广义Jacobi符号。

–Class-index计算问题——相当于求给定某个元素的广义Jacobi符号。

•1988~1990：曹珍富

–基于三次剩余，定义在Eisenstein环上

（88年全国“三码”会议论文集，178-186页）–基于k次剩余，将GM的不可区分性概念推广到k不可区分性，并提出长消息处理机制

（自然杂志’89，通信学报’90)

（详见本人：《公钥密码学》，1993）