[理学]密码学5.ppt

密码学与信息安全;可证明安全性;标准模型;随机预言机模型的定义;随机预言机模型的定义;随机预言机模型的定义;虽然随机预言机模型仍然是基于计算复杂性理论，但为了加以区分，我们将计算复杂性安全模型中没有使用随机预言机的称之为标准模型（Standard Model） 随机预言机模型一经提出，便成为了平衡密码方案可证安全性和实用性的重要途径。在随机预言机模型下设计一个实用，高效并且安全的方案不再是不可平衡的矛盾。许多广泛应用的密码方案都是基于随机预言机模型安全的，如数字签名方案[2]，公钥加密方案RSA-OAEP[2,3]，密钥分配协2议[1]。;[1]M.Bellare and P.Rogaway.Random oracles are practical-a paradigm for designing efficient protocols.In Proceedings of the First ACM Conference on Computer and Communications Security,pages 62–73,1993. [2]M.Bellare and P.Rogaway.The exact security of digital signatures-how to sign with rsa and rabin. In U.Maurer, editor,Advances in Cryptology-Proceedings of EUROCRYPT’96,volume LNCS 1070,pages 399–416,1996. [3]M.Bellare and P.Rogaway.Optimal asymmetric encryption—how to encrypt with rsa.In Advances in Cryptology– EUROCRYPT’94,volume LNCS 950,pages 92–111.Springer-Verlag,1995. [4]E.Fujisaki and T.Okamoto.Secure integration of asymmetric and symmetric en- cryption schemes.In Advances in Cryptology-Crypto’99,volume LNCS 1666,pages537–554,1999.;随机预言机模型下可证明安全过程 ;随机预言机模型下可证明安全过程;随机预言机的类型;随机预言机的类型;随机预言机模型下可证明安全规约方法;随机预言机模型下可证明安全规约方法;分叉引理规约方法;分叉引理规约方法;分叉引理规约方法;分叉引理规约方法;可计算性理论图灵机;图灵机的形式化定义;图灵机的形式化定义;预言图灵机;图灵机的时间复杂度;非确定型图灵机概率图灵机;分叉引理规约方法;e=H(M,r)，H(·):{0,1}*→{0,1}l定义为一个密码学散列函数。在随机预言机模型下的方案用到散列函数时，往往假定散列函数为密码学散列函数，保证其与随机预言机的可替换性。 s是对应消息M和承诺r的签名，它是由私钥x，消息M，承诺r所确定的一个线性值。通常选用的方式为: s=-l-1(rx-e)(mod q) 根据??上定义，我们可以通过下面的等式来验证对应消息M的（r,e,s）是否合法： yrrs=ge(mod p);Forking引理[1]:设(Kgen,sign,verf)是安全参数为k的一般签名体制，A是概率多项式时间的图灵机,其输入为公共数据。设Q0为A访问随机预言机H的次数.假设在时间T内,A以概率 得到有效签名(m,r,h,s)，则在有效时间 通过重置攻击, 可以以概率 获得两个有效签名(m,r,h,s)和(m,r,h’,s’)，满足;分叉引理规约方法;使用分叉引理来证明ElGamal数字签名;因为获得两个有效签名(m,r,e,s)和(m,r,e’,s’)，所以;攻击者可以通过解下列方程来计算离散对数问题： ;随机预言机模型的不足之处