公钥加密和签密KEM%2fDEM混合构造.pdf

摘 要 公钥密码学是现代密码学的一个重要组成部分，它解决了对称密码中最困难 的两个问题：密钥分配问题和数字签名问题。纯粹的公钥密码算法(只用公钥技术 实现的)，其消息空间往往被限制在某个特定的区域，而且当消息长度较长时，计 算效率非常低——这对于实际应用而言是非常不利的。所以一般把非对称(公钥) 技术和对称技术结合起来使用，其中公钥模块用于产生对称密钥，对称模块用于 加密消息，这样做不仅能取消对消息空间的限制，而且能提高计算效率。这种对 称和非对称混合的技术在公钥加密和签密里得到了最充分的展现。公钥加密分两 步进行，第一步用消息接收者的公钥产生一个对称密钥，第二步用对称加密算法 加密消息。前一部分被称为密钥封装机谍gJ(KeyEncapsulation 一部分被称为数据封装机韦lJ(DataEncapsulation 造的公钥加密被称为KEM／DEM混合加密。 签密是一种同时实现保密性和认证性的密码体制，它的计算代价和密文长度 都小于“先签名再加密”的传统模式。与公钥加密情况类似，从实际应用角度考 虑，签密方案在设计上往往也采用与对称体制相结合的混合模式，用公钥算法(包 含签名算法)产生对称密钥，用对称加密算法加密消息，前者被称为签密密钥封装 机铝Jl(SigncryptionKeyEncapsulation 机制(Data Encapsulation SC—KEM／DEM混合签密。 基于身份的公钥密码体制的优点是无需公钥证书，不足是密钥生成中心PKG 掌握所有用户的私钥。无证书公钥密码体制解决了基于身份体制的这一不足，同 时保留了“无证书的优点，但是在各类算法的实现上比基于身份的稍微复杂些。 于身份系统和无证书系统下的构造和优化等闯题，得到如下主要结果： 1．利用混合加密方法构造了一个高效的无证书加密方案，与现有方案相比， 新方案的密文长度较短，加解密速度较快，方案满足适应性选择密文攻击下的安 全性(IND．CCA2安全性)，基于的困难问题是Gap—BDH问题。 安全性基于标准的BDH问题。密钥长度：对于80比特安全级别，部分私钥、秘 密值、公钥的长度分别为320比特、160比特和320比特。 身份的多接收者签密方案，与常规方法(对每个接收者分别签密)相比，前者的通信 效率远高于后者。 4．设计了一个高效的无证书混合签密方案，与现有方案相比，新方案拥有较 快的签密和解密验证速度(分别只需计算1次双线性对和1次点乘)，如果考虑预计 算，那么该方案的计算效率与对称加密相当。另外，新方案的密文长度较短，比 如对于80比特的安全级别，数据封装采用OCB[21，那么密文长度比其他方案至少 短416比特，这对于带宽窄的通信环境而言，优势是很明显的。 了具体的算法定义和安全模型，并且构造了实例来说明。在多接收者的情形下， 由mCLSC．KEM所构造的无证书混合签密方案，与常规方法(对每个接收者分别签 密、)相比，前者的通信效率远高于后者。 关键词：混合加密混合签密密钥封装机制数据封装机制 Abstract all role features Public inmodem KeyCryptographyplaysimportant cryptography．It distributionandfunctional with easykey digitalsignature，compared uses cryptography．Purepublickeyprimitives(thatonly public-key sufferfromrestricted andlow overcome messagespace computationefficiency．To these