混合加密体制的弱适应性选择密文安全性.pdfVIP

ina 密码学进展一一Ch Crypt’2008 混合加密体制的弱适应性选择密文安全性 路献辉1来学嘉2何大可1李国民1 成都61003 (1．西南交通大学信息科学与技术学院I匹lJlI 1) (2．上海交通大学电子信息与电气工程学院上海200240) 摘 要：针对混含加密体制的特点提出了一种新的安全性定义，称为弱适应性选择密 区别是攻击者不能询问KnM(密钥封装机制)部分与挑战密文的KEM部分相同的密文。 安全性不变的情况下可以选择效率更高的DEM部分。例如可以直接将DHIES方案中的认证 码去掉，得到一个效率更高的IND—wCCA2安全的混合加密方案． 关键词：混合加密体制；IND-CCA2：IND-WCCA2 中图分类号：T309 文献标识码：A 0引言 适应性选择密文安全性 0ND．CCA2)，已经被广泛地接受作为公 公钥加密体制将明文空间限制在某 钥加密体制的标准安全性要求【2】。目 个特定的群内，无法处理任意长度的消 前，混合加密体制沿用了传统公钥加密 息。为了解决这一问题，人们设计了混 体制的标准安全性要求心DCCA2。 合加密体制。混合加密体制使用对称加 密算法来加密消息，而非对称加密算法 则用来产生对称加密算法需要的密钥。 安全的DEM得到IND-CCA2安全的混 这一体制已经成功地应用了很多年。 合加密体制【8】。然而，Kurosawa和 2003年Cramer和Shoup给出了混合加 密体制的形式化定义，即KEM／DEM模 IND．CCA2安全的情况下也可以得到 型【l】。这一模型将混合加密体制分为密 IND．CCA2安全的混合加密体制。这一 钥封装机制(KEM)和数据封装机制 Abe等人扩展为 情况被Masayuki (DEM)两个完全独立的部分。 KEM，DEM模型的结构非常清晰，KEM 模型可以使用小DCCA2安全的 和DEM可以独立地进行研究，因此得 到了广泛的应用。 IND．CCA2安全的混合加密体制。根据 收稿H期：2∞8-07．16 摹金项目：十一五国家密码发展基金 作者简介：路献辉男．【1980-)博士研究生研究方向为信息安全，密码学．E-mail：luxianhei鲫naiLco=． 对称密码 【ll】中的定义，IND．CCA2安全的是，这并不是IND．WCCA2的额外负担， IND．CCA2安全的方案在实际应用中也 tag．KEM比IND．CCA2安全的KEM要 要求不能解密与目标密文相同的密文。 求更高。因此，tag．KEM／DEM模型增强 了对KEM部分的安全性要求，减弱了 1弱适应性选择密文安全性 对DEM部分的安全性要求。Dennis Hofheinz和Eike Kiltz则将这一情况扩 本章讨论弱适应性选择密文安全性 展为另外一个模抛KEM／ASKE[121，这 (IND—WCCA2)，包括定义这一安全性的 一模型通过