一个基于通用群模型的实用公钥加密方案.pdfVIP

第十八届全国信息保密学术会议(IS2008)论文集 一个基于通用群模型的实用公钥加密方案 刘文远胡庆华 燕山大学 摘要：本文提出了一个新的公钥加密方案。该方案非常实用。而且，它是 一个在通用群模型下的选择密文安全的公钥密码方案，也就是说，该加密算法对 通用选择密文攻击算法是安全的。且该方案在通用群模型下的安全性仅基于标准 假设：DDH假设成立和哈希函数的抗碰撞性质。 关键词：公钥加密通用群模型DDH假设 1 引言 通用群模型最初是Nechaev在[1]中提出来的，是一种形式化确保群中没用 特殊结构或者性质可以被攻击者利用以解决某些计算问题的方便的方法。这是因 为存在一些计算问题，其群的编码结构或特性对解决该问题没有任何帮助。椭圆 曲线上的离散对数问题就是一个很典型的例子。到目前为止，没有提出任何利用 元素编码特性解决椭圆曲线群上离散对数问题的算法。而且，目前已知的解决某 些大素数阶乘法群上离散对数问题的最好算法，比如Pohlig-Hellman算法，也没有 利用元素编码特性。因此，利用通用群模型来分析各种计算假设是一个合理的方 法。最普遍的通用群模型是Shoup在[2]中给出的。在该模型中，攻击者不能直 接访问群元素，而是访问群元素在一个随机双射下的像。群运算由一个预言机进 行，攻击者可以访问该预言机。在这种情况下，攻击者不能从群元素的表示中得 到计算问题的任何可用信息。这样，确保攻击者不能利用群元素的任何编码特征。 Shoup首次在[2]中利用通用群模型证明了如果群的阶含有一个大素数因子，那 么解决离散对数问题和Diffie—Hellman问题是困难的。现在通用群模型已经成为分 析大素阶密码群上的离散对数问题及其相关问题的一个重要工具。 通用群模型后来被引入基于大素阶密码群上的离散对数问题及其相关问题的 ·296· 一个基于通用群模型的实用公钥加密方案 密码协议的分析。目前已用该方法分析了ECDSAJ、ECIES【41密码协议。但是， 密码协议的交互特性使得分析变得非常复杂，而且并不能保证密码协议的安全 性∞’6’7】。在本文中，我们并不直接使用通用群模型分析所提的公钥密码方案的安 全性，而只分析SCDH假设的合理性，这更符合通用群分析计算假设的本意。 基于离散对数问题的公钥加密方案是除RSA以外最重要的一类公钥加密方 o的 案。其中，最重要的加密方案是E1Gamal方案【8J。EIGamal方案一个语义安全【9 公钥加密方案，它的语义安全性等价于DDH问题的困难性【101。但是，它对选择 密文攻击…1不是安全的。目前提出了很多基于E1Gamal方案的选择密文攻击安全 的公钥加密方案【12—51。其中，方案[12，13]基于通用群模型。而且，方案 [12]还依赖随机预言模型【l6。。它们都是直接使用通用群模型对加密方案做安全 分析。由于安全模型的交互特性，使得证明非常复杂。 本文基于EIGamal加密方案，提出了一个新的公钥加密方案。该方案只需要 几个幂计算，非常实用。而且，它是一个同时在通用群模型下和标准模型下选择 密文安全的公钥密码方案：在通用群模型下，该方案的安全性仅基于标准假设： DDH假设成立和哈希函数的抗碰撞性质。 本文第二节给出了一些预备知识，这些知识对我们在第三节和第五节给出的 SCDH假设合理性分析和加密方案的安全分析是必不可少的；第三节给出了SCDH 假设及其合理性分析；第四节给出了所提的公钥加密方案；第五节给出了该方案 的安全性证明；最后是总结。 2 SCDH知识假设 本文提出的公钥加密算法基于以下所提的一个知识假设，称为SCDH假设。 在这一节。我们还证明了SCDH假设在通用群模型下是成立的，给出了SCDH假 设成立的一个证据，并分析该假设的合理性。下面给出该假设的描述。 设G，是一个与Z，同构的P阶群。其中，P是一个大素数。用加法表示G，的 群运算。设G?=G，、{O}，其中O是G。的零元。选择某个群元素P∈G，，使得 tP是一个关于底P的标量乘法。 G。=P)是由P生