弱伪随机性研究与其密码学应用.pdfVIP

弱伪随机性研究及其密码学应用 陈伟东1冯登国2 1信息安全国家重点实验室(中国科学院研究生院) 1北京市7223信箱10分箱(100072) 。信息安全国家重点实验室(中国科学院软件研究所，北京100080) 摘要：本文推广了作为现代密码学基础的伪髓机理论，提出了弱伪随机生 成器等概念，重点研究了序列多项式取样的弱计算不可分辨性质， 并证明，弱单向函数的存在性暗示了弱伪随机生成器的存在性。最 后指出弱伪随机理论有较广泛的密码学应用前景。 关键词：密码学；弱单向函数；弱伪随机性；基于口令的密钥分配协议 中图法分类号：TP309 1．研究背景 伪随机性理论是现代密码学的主要理论基础之一。实际上，我们熟知 的序列密码本质上就是这样一个伪随机生成器G，其输出的乱数序列和随 机序列是计算不可分辨的；而分组密码的设计目标实质上就是设计一个伪 随机置换，它与随机置换也是计算不可分辨的。伪随机性概念最早见于Yao 在上世纪80年代初的工作【1】；Blum和Micali进而给出了一个基于离散对 数问题的伪随机生成器【2】；[3】在以上基础上又作了深入讨论。主要论断： 伪随机序列与随机序列是计算不可分辨的；伪随机生成器存在当且仅当单 向函数是存在的。显然(多项式时间)计算不可分辨和单向函数概念是伪 随机理论的基础概念。伪随机函数概念是由Goldreich、Goldwasser以及 Mieali引入的[4】，因为它可由伪随机生成器构造，故本文不再重点论及。 近年来，伪随机理论又成为密码学的新兴研究予领域一可证明安全性 研究的主要研究工具之--[6】，因此在更广泛的范围内得到了重视。 密钥分配协议一直是密码学的基本问题之一，而当前可证明安全性研 究领域的一个热点问题是：如何设计基于易记口令的会话密钥分配协议， 文献[7，8，9]等在这方面做了较好的工作。但值得说明的是，人类易记忆口 令属于某基数为多项式级的“小”字典D，是可以穷举的。因此上述协议 ’ 的基本安全目标应该是： 1)敌手(adversary)发动线下字典攻击的成功概率是可忽略的(通 俗的说，可忽略函数就是这样的函数，当参数n--oo时，它趋于 ． 0的速度比任何多项式的倒数1／p(咒)的“速度快”)． 21敌手发动线上字典攻击(或假冒)的成功概率为 D o(1／II)卡∥仞)，这里∥(尼)是可忽略函数。 注意2)中成功概率是多项式而非指数函数的倒数，这在具体应用中是允许 的，因为通常线上通信的次数必然是多项式时间。上述协议的突出优点还 在于，口令是易选、易记的。目前尚无文献深入研究这类协议的密码学基 础；下面我们将从[7】的“弱计算不可分辨”定义出发，推广伪随机理论。 2．基本概念 为了方便，以下定义均忽略辅助输入。设re(n)是某固定多项式，11 是安全参数。 362 ． 定义1．((1-1／m(甩))一计算不可分辨)设 X={X一}甩EⅣ，Y={匕)以EⅣ是2个概率空间，称X，】厂是 (1—1／聊(，z))一计算不可分辨的，若满足：V概率多项式时间(PPT)算 法D，V多项式p(·)，对足够大的n， l 注意如果取1／m(以)=0，就得到通常的计算不可分辨概念[5]。我们 也称定义1为弱计算不可分辨，它是本文所有讨论的最基础概念。 定义2．(弱伪随机性)如果概率空间X={X一)以EⅣ和均匀空间 U={U一)一EⅣ是弱计算不可分辨的，则称X={X一}一EⅣ是弱伪随机的。 定义3．(弱伪随机生成器)(1一l／m(厅))一伪随机生成器是一个满足 以下条件的确定性多项式时间算法G：