公钥密码学进展.docVIP

公钥密码学进展 伍前红??张焕国武汉大学 关键词：密码交换???公钥加密 密钥交换 许多密码系统都要求用户之间有一个秘密信道，密钥交换的目的就是要建立一个这样的信道。密钥交换协议是公钥密码系统中最基本、最核心的协议，也是公钥密码学的基础之一。 经典的密钥交换协议 密钥交换协议的目的是使两方或多方在一个公开网络中协商出一个公共密钥。经典的密钥协商协议有迪菲-赫尔曼（Diffie-Hellman（DH））协议[1]、布尔梅斯特-德梅特（Burmester-Desmedt（BD））协议[2]、尤克斯（Joux）协议和博内-席维伯格（Boneh-Silverberg（BS））协议。这些巧妙的协议都是为静态群设计的，它们在被动攻击下是安全的。但这种安全性只是直觉上的，除了2003年在假设迪菲-赫尔曼协议安全的条件下，布尔梅斯特-德梅特协议完成过安全性证明[3]外，其 余协议的安全性都没有证明，而是直接作为密 码学中的标准假设。 基本的迪菲-赫尔曼协议是一个单轮两方协议。如果在每次会话中固定一方而让另一方动态改变，从迪菲-赫尔曼协议就可以得到一种公钥加密方案，即著名的盖莫尔（ElGamal）密码体制[4]。布尔梅斯特-德梅特协议是一个两轮n方协议，作为目前效率最高的群密钥交换（Group?Key?Exchange，GKE）协议，其轮效率不受n的限制。尤克斯协议是一个类似于DH协议的单轮三方协议，如果固定三方中的两方，从尤克斯协议就可以得到一个微型的广播加密方案，除了发送者，只有被固定下来的两方可以解密消息。尤克斯协议只适用于三方密钥交换，到目前为止，是否能将其扩展到三方以上而不增加额外的轮数仍然是一个公开问题。博内-席维伯格协议是一个单轮n+1方协议，它基于多线性对，但多线性对的构造本身也是一个公开问题。如果将n个用户公开的消息作为他们的公钥，则该协议蕴含着一个 n个用户的广播加密方案。遗憾的是，多线性 继迪菲（Diffie）和赫尔曼（Hellman）的开创性工作之后，密码学的研究从密室里走向了公开。经过数十年的发展，公钥密码学已经成为现代密码学的最主要内容之一，其本身也得到极大的丰富，并在实践中保护着成千上万用户的敏感数据和隐私。本文综述了公钥密码学的主要分支，包括密钥协商、公钥加密、数字签名以及可证明安全理论的基本模型，并回顾了这些领域的历史发展和现状，指出这些领域中的一些公开的重要问题，从而帮助有兴趣的读者进行深入研究。此外，还讨论了一些密码学界在可证明安全理论方面的很有启发意义的争议。 wk_ad_begin({pid : 21});wk_ad_after(21, function(){$(.ad-hidden).hide();}, function(){$(.ad-hidden).show();}); 21 对构造不出来，而且与尤克斯协议类似，即使假设存在多线性对，博内-席维伯格协议最多也只适用于ｎ+1方，将其扩展到超过ｎ+1方而不增加额外的轮数似乎很难。因此，构造单轮的ｎ方密钥交换协议仍然是一个长期的公开问题。 认证密钥交换协议 除了在被动攻击（窃听）下安全的基本密钥交换协议外，许多工作致力于研究如何对抗主动攻击者。这个目标基本上可以使用认证方法来实现，另外还有一些工作致力于研究如何提高密钥交换协议在实际应用中的效率。 最早提出密钥协商安全性概念的是贝拉尔（Bellare）和罗加威（Rogaway）[5]。文献[5]的主要贡献是使用了不可区分性来定义协商出来的密钥的安全性。粗略地说，在该定义中，如果在允许的攻击行为下，攻击者仍然不能区分一个密钥是由真实协议生成的，还是来自密钥空间的一个独立随机值，那么就称该密钥交换协议是安全的。后来对这个模型也有一些扩展，最著名的是布莱克-威尔逊（Blake-Wilson）等所作的研究。对两方密钥交换协议的研究已经比较成熟且被广泛接受，如文献[1]、[5]和[6]等。 对如何在n方中安全建立一个秘密信道的群密钥交换协议的研究还不多，还有一些工作致力于研究如何将两方的迪菲-赫尔曼协议推广到多方的环境[2]中去。这些协议都只考虑了被动攻击下的安全性。在抗主动攻击的认证群密钥交换协议方面具有开创性意义的工作包括文献[7~9]所列的内容，它们最早给出了群密钥交换协议安全性在标准模型下的形式化证明。随后，文献[10~11]分别提出了在随机预言机模型下可证明安全的常数轮的认证群密钥交换协议。文献[7]中的安全性模型和可证明安全性协议是用于静态认证群密钥交换的，其安全模型源于贝拉尔等的两方密钥交换的安全模型[5~6]。 他们的方案需要O(n)轮。在文献[10~11]中分别提出了具有常数轮的静态认证群密钥交换协议。博伊德（Boyd）和涅托（Nieto）在随机预言机模