第九章可证明安全性理论分解.ppt

第8章 可证明安全性理论 可证明安全性(Provable security) 可证明安全性是指这样一种“归约”方法：首先确定密码体制的安全目标，例如，加密体制的安全目标是信息的机密性，签名体制的安全目标是签名的不可伪造性；然后根据敌手的能力构建一个形式化的安全模型，最后指出如果敌手能成功攻破密码体制，则存在一种算法在多项式时间内解决一个公认的数学困难问题。 8.1 可证明安全性理论的基本概念 公钥加密体制的安全性概念 数字签名体制的安全性概念 随机预言模型 1.公钥加密体制的安全性概念 （1）完美安全性(perfect security) （2）语义安全性(Semantic security) （3）多项式安全性(polynomial security) （1）完美安全性 如果一个具有无限计算能力的敌手从给定的密文中不能获取明文的任何有用信息，我们就说这个加密体制具有完美安全性或信息论安全性。根据Shannon理论知道，要达到完美安全性，密钥必须和明文一样长并且相同的密钥不能使用两次。然而，在公钥密码体制中，我们假设加密密钥可以用来加密很多消息并且通常是很短的。因此，完美安全性对于公钥密码体制来说是不现实的。 （2）语义安全性 语义安全性与完美安全性类似，只是我们只允许敌手具有多项式有界的计算能力。从形式上说，无论敌手在多项式时间内能从密文中计算出关于明文的什么信息，他也可以在没有密文的条件下计算出这些信息。换句话说，拥有密文并不能帮助敌手找到关于明文的任何有用信息。 （3）多项式安全性 我们很难显示一个加密体制具有语义安全性，然而，我们却可以比较容易显示一个加密体制具有多项式安全性。多项式安全性也称为密文不可区分性。幸运的是，如果一个加密体制具有多项式安全性，那么我们可以显示该体制也具有语义安全性。因此，为了显示一个加密体制是语义安全的，我们只需要显示该体制是多项式安全的。 如果没有一个敌手能以大于一半的概率赢得以下游戏，我们就称这个加密体制具有密文不可区分性，或具有多项式安全性。这个敌手A被告知某个公钥y及其相应的加密函数fy。敌手A进行以下两个阶段： 寻找阶段：敌手A选择两个明文m0和m1。 猜测阶段：敌手A被告知其中一个明文mb的加密结果，这里的b是保密的。敌手A的目标是以大于一半的概率猜对b的值。 从这个游戏可以看出，一个具有多项式安全性的加密体制一定是一个概率性加密体制。否则，敌手A在猜测阶段就可以计算： c1=fy(m1) 并测试是否有c1=cb成立。如果成立，敌手A就可以成功推断b =1，否则b=0。既然敌手A总能简单地猜测b的值，敌手A的优势定义为： 如果： 我们就称这个加密体制是多项式安全的，其中p(k)是一个多项式函数，k是一个足够大的安全参数。 三种基本的攻击模型 选择明文攻击（Chosen Plaintext Attack, CPA）， 选择密文攻击（Chosen Ciphertext Attack, CCA） 适应性选择密文攻击（Adaptive Chosen Ciphertext Attack, CCA2）。 ① 选择明文攻击 在选择明文攻击中，敌手被告知各种各样的密文。敌手可以访问一个黑盒，这个黑盒只能执行加密，不能进行解密。既然在公钥密码体制中任何人都可以访问加密函数，即任何人都可自己产生一些明文密文对，选择明文攻击模拟了一种非常弱的攻击模型。 ② 选择密文攻击 选择密文攻击也称为午餐攻击，是一种比选择明文攻击稍强的攻击模型。在选择密文攻击中，敌手可以访问一个黑盒，这个黑盒能进行解密。在午餐时间，敌手可以选择多项式个密文来询问解密盒，解密盒把解密后的明文发送给敌手。在下午时间，敌手被告知一个目标密文，要求敌手在没有解密盒帮助的情况下解密目标密文，或者找到关于明文的有用信息。 在上面给出的多项式安全性的攻击游戏中，选择密文攻击允许敌手在寻找阶段询问解密盒，但是在猜测阶段不能询问解密盒。 ③ 适应性选择密文攻击 适应性选择密文攻击是一种非常强的攻击模型。除了目标密文外，敌手可以选择任何密文对解密盒进行询问。目前普遍认为，任何新提出的公钥加密算法都应该在适应性选择密文攻击下达到多项式安全性。 语义安全 定义1 如果一个公钥加密体制在适应性选择密文攻击（adaptive chosen ciphertext attacks）下是语义安全的，我们就说该体制是安全的。 定义2 如果一个公钥加密体制在适应性选择密文攻击下是多项式安全的，我们就说该体制是安全的。 引理1 一个可展（Malleability）的加密体制在适应性选择密文攻击下是不安全的。 证明：假设一个加密体制是可展的，