-
1976年,Diffie和Hellman提出了公钥密码体制[1]。根据公钥认证方法的不同,公钥密码体制分为如下3种:基于PKI的公钥密码体制(PKC)、基于身份的公钥密码体制(IBC)和无证书公钥密码体制[2]。
签密是一个密码学原语[3],它包括了加密和签名的功能,可以同时实现消息的机密性和认证性,既保证了信息传输的安全性,又提高了执行效率,受到诸多研究者的关注[4-9]。这些研究成果涉及了3种公钥密码体制。
由于公钥密码体制的多样化,通信系统采用的安全技术也不尽相同。为了解决使用不同安全技术的通信系统之间的通信问题,文献[10]提出了异构签密的概念,致力于实现不同通信系统间的安全通信。
本文关注PKC和IBC之间的签密方案的构造,包括两种类型:类型1,发送者使用PKC技术,接收者使用IBC技术;类型2,发送者使用IBC技术,接收者使用PKC技术[2]。文献[11]提出了一个类型2的签密方案;文献[12]提出了类型1和类型2的签密方案。这些方案的安全性都基于传统的数论假设,不能抵抗量子计算机的攻击。
随着量子计算机的迅猛发展,构造能够抵抗量子攻击的密码体制,成为一个迫切的课题。基于格理论的公钥密码体制,由于其最坏情况的安全性保证和线性运算的快速实现,成为后量子密码的典型代表。文献[9]提出了一个基于格的公钥签密方案。在此工作的基础上,本文构造了第一个格上的类型1异构签密方案。
-
因为AidTid=0(mod q),所以有:
$$\eqalign{ & T_{{\text{id}}}^{\text{T}}{c_1}(\bmod q) = T_{{\text{id}}}^{\text{T}}(A_{{\text{id}}}^{\text{T}}v + e)(\bmod q){\text{ = }} \cr & T_{{\text{id}}}^{\text{T}}A_{{\text{id}}}^{\text{T}}v + T_{{\text{id}}}^{\text{T}}e(\bmod q) = \cr & {({A_{{\text{id}}}}{T_{{\text{id}}}})^{\text{T}}}v + T_{{\text{id}}}^{\text{T}}e(\bmod q) = \cr & T_{{\text{id}}}^{\text{T}}e(\bmod q) \cr} $$ 因为矩阵Tid和向量e都只有足够小的数值作为分量, $T_{{\text{id}}}^{\text{T}}e(\bmod q) = T_{{\text{id}}}^{\text{T}}e$ ,则(TidT)-1TidTe=e。
进而,AidT=c1 - e(mod q),高斯消元法解线性方程组可得v。又c2= $\varpi \oplus $ H3 (v,e),所以 $\varpi = {c_2} \oplus $ H3 (v,e)。
因e=SamplePre (AS,TS,H2( $\varpi ,\xi $ ),σ2),由算法3的定义,ASe=H2 ( $\varpi ,\xi $ )和 $\left\| e \right\| \leqslant {\sigma _2}\sqrt m $ 成立。
综上,解签密算法是正确的。
-
定理 1 IND-HSC-CCA2安全性
在LWE问题难解性假设下,方案作为类型1异构签密体制是IND-HSC-CCA2安全的。
证明:挑战者C有一个LWE问题的实例(A0,C0=A0Tv0+e0),如果存在敌手A能够以不可忽略的概率ε攻击方案作为类型1异构签密体制的IND-HSC-CCA2安全性,则C求解LWE问题实例的解v0的概率ε'≥1/Q1ε-(Q2Qu)/2n+1,其中Q1是H1查询的次数,Q2是H2查询的次数,Qu是解签密查询的次数。挑战者C和敌手A之间的交互如下。
1) 初始阶段:C抽取R0 ←Dm×m,令,A=A0R0同时运行PKC密钥生成算法获得发送者S的公钥As和私钥Ts。C将A,As和Ts发送给A。
2) 阶段1:A可执行多项式有界次数的如下查询,且默认hash查询在其他查询之前,C负责应答。
①H1(idi)查询:
如果是第i0次查询,把(id0,R0,A0,⊥)存在H1列表中,返回R0。否则,运行算法SampleRwithBasis(A),得Ri和Ti,把(idi,Ri,Ai=ARi-1,Ti)存在H1列表中,返回Ri。
② H2( $\varpi $ i,ζi)查询:
随机选取h2i∈Zqn,把( $\varpi $ i,ζi,h2i)存在H2列表中,返回h2i。
③ H3(vi,ei)查询:
随机选取h3i∈{0,1}l,把(vi,ei,h3i)存在H3列表中,返回h3i。
④ IBC密钥查询(idi):
遍历Hl列表查找(idi,Ri,Ai,Ti),返回Ti.
⑤ 解签密查询(idi,Ci=(ζi,cli,c2i)):
遍历Hl列表查找(idi,Ri,Ai,Ti),若Ti≠⊥,执行方案的解签密算法;若Ti=⊥,遍历H2和H3列表寻找( $\varpi $ i,ζi,h2i)和(vi,ei,h3i),满足cli=AiTvi+ei,c2i= ${\varpi _i} \oplus $ h3i。如果这样的三元组不存在,返回⊥并终止。如果这样的三元组存在,而且满足Asei=h2i和 $\left\| {{e_i}} \right\| \leqslant {\sigma _2}\sqrt m $ ,返回 ${\varpi _i}$ 作为解签密的结果。否则,返回⊥并终止。
3) 挑战阶段:阶段1由A宣告终止,同时A选择两个相同长度的明文 ${\varpi _1},{\varpi _2}$ 和接收者身份id*,将其发送给C。如果id* ≠ id0,返回⊥并终止。否则,C随机选择ζ*∈{0,1}n,c2*∈{0,1}n,c2*∈{0,1}l令c1*=c0,将C*=(ζ*,c0,c2*)返回给A。
4) 阶段2:A执行阶段1的操作,除了不能查询id0的私钥,不能对(id0,C*)执行解签密查询。
5) 猜测阶段:A输出对b的猜测b'。
最后,C查询H3列表寻找(v*,e*,h3*),它满足如下条件:存在( ${\varpi ^ * }$ ,ζ*,h2*)在列表H2中,且满足c0= A0Tv* + e*,c2*= ${\varpi ^ * } \oplus $ h3*,Ase* =h2*和 $\left\| {{e^ * }} \right\| \leqslant {\sigma _2}\sqrt m $ 。如果这样的元组存在,C输出v*作为LWE问题实例的解。否则,输出⊥并终止。
设E是如下事件:A在游戏中查询了H3(v*,e* )。如果游戏完美地模拟了真实的攻击,E在游戏中发生的概率就和它在真实攻击中发生的概率是一样的。
在真实的攻击中。
Pr[b′ = b]≤Pr[b′ = b |⌉E]Pr[⌉E]+ Pr[E] =Pr[b′ = b |⌉E](1- Pr[E]) + Pr[E] =1/2 +1/2·Pr[E]
因此,ε = |2Pr[b′= b]-1|≤Pr[E]。
下面考虑游戏不能完美地模拟真实攻击的情况。这实际上是合法的密文在解签密查询中被拒绝的情况。对H3列表中的每一个(vi,ei,h3i),存在着唯一的( $\varpi $ i,ζi,h2i,)与之对应,因此拒绝合法密文的概率不超过Q2/2n+l。
此外,id*=id0的概率为1/Q1。所以,ε′≥1/Q1·ε-(Q2Qu)/2n+1。如果ε是不可忽略的,则ε'也是不可忽略的。这与LWE问题的难解性相矛盾。因此,在LWE问题难解性假设下,能够以不可忽略的概率攻击方案作为类型1异构签密体制的IND-HSC- CCA2安全性的敌手A是不存在的。所以,在LWE问题难解性假设下,方案作为类型1异构签密体制是IND-HSC-CCA2安全的。
定理 2 EUF-HSC-CMA安全性
在ISIS问题难解性假设下,方案作为类型1异构签密体制是EUF-HSC-CMA安全的。
证明:假设存在敌手F以不可忽略的优势ε攻击方案的EUF-HSC-CMA安全性,就会存在挑战者C,他能够借助F的攻击能力来攻击GPV签名方案的EUF-CMA安全性。C和F之间的交互如下。
1) 初始阶段:C获得GPV签名方案的验证公钥A0∈Zqn×m。他运行TrapGen算法生成(A,T),A为主公钥,T为主私钥。C将A0和(A,T)发送给F。
2) 攻击阶段:F可以执行多项式有界次数的签密查询,C负责给出合理的应答。在签密查询中,F提交一个接收者的身份id j和一个消息 $\varpi $ j给C。C对消息 $\varpi $ j运行GPV签名查询得,(ζj, ej)。他随机选择vj∈Zqn,计算Aj=AHl(idj)-1,clj=AjTvj+ej和c2j= ${\varpi _j} \oplus $ H3(vj,ej),返回Cj=(ζj,clj,c2j)给F。
3) 伪造阶段:F提供一个接收者的身份id*和一个新的合法密文C*=(ζ*,cl*,c2*),返回给C。
C如下操作得到一个新的合法的GPV签名:
1) 计算R*=H1(id*),运行算法BasisDel (A,T,R*,σ1)产生(A*,T*)。
2) 输入(A*,T*),对密文C*(ζ*,c1*,c2*)运行解签密算法获得明文 $\varpi $ *和相应的e*,则(ζ*,e*)就是对消息 $\varpi $ *的合法伪造,即满足A0e*=H2(( $\varpi $ *,ζ*)和 $\left\| {{e^ * }} \right\| \leqslant {\sigma _2}\sqrt m $ 。
由以上过程可以看出,如果F伪造合法密文的概率ε是不可忽略的,则C伪造合法的GPV签名的概率也是不可忽略的。而由文献[13],在ISIS问题难解性假设下,GPV签名是EUF-CMA安全的。因此,能够以不可忽略的优势攻击方案的EUF-HSC-CMA安全性的敌手F是不存在的。所以,在ISIS问题难解性假设下,方案是EUF-HSC-CMA安全的。
A Lattice-Based Heterogeneous Signcryption
-
摘要: 现存的类型1异构签密方案,安全性都基于传统的数论假设,因此无法抵抗量子计算机的攻击。针对这个问题,以抗量子攻击的格中困难问题——带错学习问题和非齐次小整数解问题为基础,运用格上签密方案的构造方法,结合格上固定维数的格基代理技术,构造了第一个格上的异构签密方案,并证明了该方案的正确性和安全性。该方案实现了异构签密方案的抗量子攻击属性,为PKI系统到身份密码系统的抗量子攻击的安全信息传输提供了理论支撑。Abstract: The existing type 1 heterogeneous signcryption schemes are all based on the traditional number theoretic assumptions, so that they cannot resist a quantum computer attacks. To solve this problem, based on the quantum-resistant lattice hard problems, learning with errors problem and inhomogeneous small integer solution problem, we use the techniques of lattice-based signcryption and lattice basis delegation in fixed dimension, build the first lattice-based heterogeneous signcryption scheme. We also provide its correctness and security analysis. The scheme actualizes the property of quantum resistance, and gives theoretical support for anti-quantum communication from public key infrastructure (PKI) systems to identity-based systems.
-
[1] DIFFIE W, HELLMAN M E. New directions in cryptography[J]. IEEE Transactions on Information Theory, 1976, 22(6):644-654. [2] 李发根, 廖永建. 数字签密原理与技术[M]. 北京:科学出版社, 2014. LI Fa-gen, LIAO Yong-jian. The principle and technology of digital signcryption[M]. Beijing:Science Press, 2014. [3] ZHENG Y. Digital signcryption or how to achieve cost (signature & encryption)<<cost (signature) + cost (encryption)[C]//Advances in Cryptology-CRYPTO'97. California: Springer Berlin Heidelberg, 1997: 165-179. [4] YU Y, YANG B, SUN Y, et al. Identity based signcryption scheme without random oracles[J]. Computer Standards & Interfaces, 2009, 31(1):56-62. [5] YU G, MA X, SHEN Y, et al. Provable secure identity based generalized signcryption scheme[J]. Theoretical Computer Science, 2010, 411(40):3614-3624. [6] LIU Z, HU Y, ZHANG X, et al. Certificateless signcryption scheme in the standard model[J]. Information Sciences, 2010, 180(3):452-464. [7] LIU W H, XU C X. Certificateless signcryption scheme without bilinear pairing[J]. Journal of Software, 2011, 22(8):1918-1926. [8] WANG F, HU Y, WANG C. Post-quantum secure hybrid signcryption from lattice assumption[J]. Applied Mathematics & Information Sciences, 2012, 6(1):23-28. [9] LI F, BIN MUHAYA F T, KHAN M K, et al. Lattice-based signcryption[J]. Concurrency and Computation:Practice and Experience, 2013, 25(14):2112-2122. [10] SUN Y X, LI H. Efficient signcryption between TPKC and IDPKC and its multi-receiver construction[J]. Science China Information Sciences, 2010, 53(3):557-566. [11] HUANG Q, WONG D S, YANG G. Heterogeneous signcryption with key privacy[J]. The Computer Journal, 2011, 54(4):525-536. [12] LI F, ZHANG H, TAKAGI T. Efficient signcryption for heterogeneous systems[J]. IEEE Systems Journal, 2013, 7(3):420-429. [13] GENTRY C, PEIKERT C, VAIKUNTANATHAN V. Trapdoors for hard lattices and new cryptographic constructions[C]//Proceedings of the fortieth annual ACM symposium on Theory of computing. Victoria:ACM Press, 2008:197-206. [14] AGRAWAL S, BONEH D, BOYEN X. Lattice basis delegation in fixed dimension and shorter-ciphertext hierarchical IBE[C]//Advances in Cryptology–CRYPTO 2010. Santa Barbara: Springer Berlin Heidelberg, 2010: 98-115.
计量
- 文章访问数: 5888
- HTML全文浏览量: 1581
- PDF下载量: 248
- 被引次数: 0