无证书的密码算法与代理密码算法的设计及分析.pdfVIP

DoctoralDissertation ShandongUniversity 密码系统的一大优点．但是Baek等人的模型是不允许提前加密的，因为解密者在没 得到部分私钥之前是不可能公布公钥的，那样加密者就不可能提前加密． 上面的几种模型有两个共同的缺点s首先，KGC和用户之间的通信通道必须是 秘密的而且可信的，因为一旦偷听者从通信通道中获得信息，他就可以通过代替用 户的公钥而进行任何的密码操作；其次，上面定义的无证书的密码算法是不能达到 和传统公钥密码算法一样的可信任水平的，它只达到2级可信任水平，而传统公钥 密码算法则是3级可信任水平． 为了弥补这两个缺点，一种更实用的模型被提供了，这种模型也是包括七个算 法：系统建立、设定秘密值、设定公钥、部分私钥提取、设定私钥值、加密和解密． 这七个算法的排列顺序是和前面的定义不同的，这样排列，就可以使得用户的公钥可 以作为部分私钥提取算法的其中一个输入参数．那么，即使偷听者获取到了通信通 道中的信息，由于他不能得到和这个部分私钥相对应的用户的秘密值，他仍然无法 冒充用户进行任何的密码操作．从另一方面来看，如果KGC通过用自己选择的公钥 代替用户的公钥来冒充用户进行密码操作，那么用户就可以公布他的部分私钥来揭 露KGC，这样，这个新的模型就可以使得无证书的密码算法达到3级可信任水平， 而且，用户和KGC之间的通道可以是公开的，这样就避免了‘鸡和蛋”的两难问题． 作为本篇博士论文的第一个结果，我们首先在第三章里分析了两个无证书的密 码算法：一个是无证书的加密算法，该算法声称在标准模型下是抗两种型号的攻击 的，但是据我们分析该算法在密钥代替攻击下是不安全的，即任何一个外部攻击者 都能够选择可以验证有效的公钥来代替原有的合法公钥，从而轻易的解密在此公钥 下加密所得的密文；另外一个是无证书的签名算法，我们发现该算法不能抵抗恶意 的KGC攻击，即使KGC无法得到用户的秘密值，他仍然可以通过设定特殊的系统 参数来构造用户的私钥．这是基于Waters的无证书的密码算法所共同面临的问题． 然后，基于上面的比较实用的模型，我们设计了—个有效的无证书加密算法，我们的 算法具有下列比较好的性质： Truncated ·如果Decisionalq—ABDHE问题是困难的，那么我们的无证书的加密 算法被证明是标准模型下抗型号，攻击者适应性选择密文不可区分的． 明是标准模型下抗恶意的KGC适应性选择密文不可区分的． ·我们的无证书加密算法可以达到Girault的3级可信任水平． DoctoralDissertation University Shandong ·在我们的算法里，KGC和用户之间的通信通道是不需要保密的． ·比较于以前的标准模型下的无证书的加密算法，该算法具有较短的系统公钥． 最后，我们给出了一个无证书的签名算法，满足在标准模型下抗恶意的KGC攻 击和DoD攻击存在不可伪造的，这是据我们所知第一个满足这些性质的无证书的签 名算法： ·在BB+签名算法是存在不可伪造的情况下，我们的新的无证书的签名算法是标 准模型下抗恶意的KGC伪造攻击的． ·在Computationalq-BSDH 下，此无证书签名算法是在标准模型下抗第一种型号的伪造攻击的． 基于以上的签名算法，我们又构造了一个常数大小的群签名算法，不同于以往 由基于身份的签名算法直接转变而来的群签名算法，我们的群签名算法是在标准模 ．型下抗恶意的群管理者攻击的，而且由同一个签名者得到的群签名是不可连接的， 并且此群签名算法也同时满足CCA匿名性和强的开脱性． 密码操作的代理需要导致了代理密码的产生．1996年，Mambo等人首先提出 了代理签名的定义，自那以后，由于其在现实生活中的广泛的应用，代理签名得到了 快速的发展．根据应用背景的不同，出现了很多种代理签名的分类；Mambo等人首 先根据代理能力的不同把代理签名分成了三种等级：完全代理，部分代理和带授权 的代理．部分代理和带授权的代理要比完全代理安全得多，部分代理的优势是速度 比较快，而带授权的代理对于授权的撤