弱伪随机性研究及其.pdfVIP

弱伪随机性研究及其密码学应用 陈伟东’冯登国2 信息安全国家重点实验室 (中国科学院研究生院) ，北京市7223信箱10分箱 (100072) ，信息安全国家重点实验室 (中国科学院软件研究所，北京100080) 摘要:本文推广了作为现代密码学基础的伪随机理论，提出了弱伪随机生 成器等概念，重点研究了序列多项式取样的弱计算不可分辨性质， 并证明，弱单向函数的存在性暗示了弱伪随机生成器的存在性。最 后指出弱伪随机理论有较广泛的密码学应用前景。 关键词:密码学;弱单向函数;弱伪随机性;基于口令的密钥分配协议 中图法分类号:TP309 I.研究背景 伪随机性理论是现代密码学的主要理论基础之一。实际上，我们熟知 的序列密码本质上就是这样一个伪随机生成器G，其输出的乱数序列和随 机序列是计算不可分辨的;而分组密码的设计目标实质上就是设计一个伪 随机置换，它与随机置换也是计算不可分辨的。伪随机性概念最早见于、ao 在上世纪80年代初的工作1〔];Blum和Micali进而给出了一个基于离散对 数问题的伪随机生成器2〔];[3]在以上基础上又作了深入讨论。主要论断: 伪随机序列与随机序列是计算不可分辨的;伪随机生成器存在当且仅当单 向函数是存在的。显然(多项式时间)计算不可分辨和单向函散概念是伪 随机理论的基础概念。伪随机函数概念是由Goldreich,Goldwasser以及 Micali引入的4〔]，因为它可由伪随机生成器构造，故本文不再重点论及。 近年来，伪随机理论又成为密码学的新兴研究子领域一可证明安全性 研究的主要研究工具之一[[6]，因此在更广泛的范围内得到了重视。 密钥分配协议一直是密码学的基本问题之一，而当前可证明安全性研 究领域的一个热点问题是:如何设计基于易记口令的会话密钥分配协议， 文献[[7,8,9]等在这方面做了较好的工作。但值得说明的是，人类易记忆口 令属于某基数为多项式级的 “小”字典D，是可以穷举的。因此上述协议 的基本安全目标应该是: 1)敌手 (adversary)发动线下字典攻击的成功概率是可忽略的(通 俗的说，可忽略函数就是这样的函数，当参数n分二.时，它趋于 0的速度比任何多项式的倒数1/p(n)的 “速度快”); 2)敌手发动线上字典攻击 (或假 冒)的成功概率为 O(1/{D1)+p(n)，这里p(n)是可忽略函数。 注意2)中成功概率是多项式而非指数函数的倒数，这在具体应用中是允许 的，因为通常线上通信的次数必然是多项式时间。上述协议的突出优点还 在于，口令是易选、易记的。目前尚无文献深入研究这类协议的密码学基 础;下面我们将从口1的 “弱计算不可分辨”定义出发，推广伪随机理论。 `a.基本概念 为了方便，以下定义均忽略辅助输入·设m(哟是某固定多项式，n 是安全参数。 362 定义140一1/m(n))一计算不可分辨)设 X二{Xn)neN}y=毛乙)neN是2个概率空间，称X,Y是 (1一1/m(n))一计算不可分辨的，若满足:b概率多项式时间(PPT)算 法D，d多项式P()，对足够大的n， }Pr[D(Xn)=1]一Pr[D(Yn)=1]}1/m(n)+1/P(n). 注意如果取1/m(n)二0，就得到通常的计算不可分辨概念5〔)。我们 也称定义1为弱计算不可分辨，它是本文所有讨论的最基础概念。 定义2.溺伪随机钧如果概率空间X={XnIneN和均匀空间 U={Un)neN是弱计算不可分辨的，则称X={Xn)neN是弱伪随机的。 定义3.(W伪随机生成钧 (1一1/m(n))一伪随机生成器是一个满足 以下条件的确定性多项式时间算法G: 1)扩展性:3扩展因子1(n)n，IG(S)I=1(IsD(:。{0,1}); 2)弱伪随机性:概率空间(G(Un))neN是((1一1/m(n))一伪随机 的。 上述荃本概念是本文研究内容的基础，下面简要回顾一些基本密码学 概念[5]0 定义4.(}.向函勒称函数f:{0,1}--{0,1}’是单向的，如果满足下 面条件: