一种基于非承诺加密机制的uc协议.docxVIP

一种基于非承诺加密机制的uc协议 1 uc-ot协议的安全框架 不充分传输协议（otl）是密码学中的一项基本协议，可以执行两个相互关联的协议，即西格玛协议。在不发送协议的初始阶段，发送方t拥有m0和1m，接收者r拥有选择信息b。协议执行后，接收者r接收到选择信息b，但不知道信息b1，发送者t不知道选择信息b。 我们的目标是设计一个不经意传输协议,该协议将作为在许多应用中使用的子协议,或者和其他应用复合在一起使用的协议.同时,我们试图开发一种只需分析一次就可广泛应用的协议.为了实现这个目标,我们在协议安全的形式化方法中引入了一种特殊的方法,即通用可复合(Universally Composable,UC)安全模型. 协议安全定义通常按照真实协议“仿真”与理想协议“仿真”之间的计算不可区分性定义,该方法首先由Beaver提出,针对协议并行运行的安全需求,Canetti提出了更为实际的异步并行环境UC形式化安全模型,具有UC安全的协议在并行条件和协议复合条件下仍然保持安全性,它很容易嵌入到更加复杂的协议中,并且不需要在每次新的应用中重新分析其安全性. 在UC框架模型中,典型的UC安全的OTP都利用了非承诺加密(Non-Committing Encryption,NCE).在多方计算安全协议中,NCE广泛的用于防御自适应的攻击者.NCE是语义安全的,不能抵抗选择密文攻击.NCE除了具有基本的加密性质之外,可以构造一个“假想的仿真器”提供“可仿真密文”, “可仿真密文”可以通过两种方式解密.但是NCE的“可仿真密文”不是由密文的发送者产生,而是由“假想的仿真器”产生.在NCE的使用中,假设自适应的主动攻击者在协议执行过程中截获了密文消息,在协议结束之后,攻击者攻陷了密文消息的发送者和接收者,这时,攻击者获得接收者的私钥(non-erase模型)并要求消息发送者提供加密时使用的随机数,更进一步,攻击者可获得加密的明文消息,密文消息的发送者不具有防御自适应的主动攻击者的能力. 当使用基于仿真的可证明安全方法时,协议开始攻击者A没有攻陷发送者T,仿真器S不知道发送者T输入的消息(m1,m0),那么参与方局部仿真的输入消息(m1′ ,m0′ )将与真实的输入消息(m1,m0)不同,如果攻击者A在协议执行结束后攻陷了密文消息的发送者和接收者,那么被攻陷的参与方使用的加密体制是否能够为仿真器S提供明文消息的可仿真来防御自适应的主动攻击者是协议安全证明的关键. 可否认加密机制可以实现明文消息的可仿真性,在多方计算安全协议中,可否认加密体制可用于防御在non-erase模型的安全假设下的自适应能力攻击者.例如,可否认加密为密文消息的发送者提供一个“伪造的随机数”使得密文消息“看起来像”不同明文的加密密文,该机制提供了明文的保密性,同时,可仿真的密文是发送者提供的而不是由“假想的仿真器”提供的,当使用基于仿真的可证明安全方法时,为仿真器S提供了“同一密文的可仿真明文”.文献提出了具有可否认加密性质的基于陷门承诺的双陷门解密体制(Double Trapdoor Decryption,DTD). 本文提出了一个新的UC安全的OTP方案,新的方案利用了两个密码学安全原语:“可验证平滑投影哈希函数(Verifiably Smooth Projective Hashing,VSPH)”和具有可否认加密性质的DTD体制.新的协议具有如下功能和特点:(1)实现了“明文消息的可仿真性”,对于在non-erase模型的安全假设下的自适应能力攻击者,新的OT协议是UC安全的.(2)通过VSPH防止协议发送者和接收者的恶意行为.(3)协议的基本安全原语结构简单,具有良好的计算效率,例如,VSPH和具有可否认加密性质DTD体制可以归约为确定性复合剩余(Decisional Compounding Residuosity,DCR)假设.(4)基于公共参考串(Common References String,CRS)模型,协议在一轮交互中实现UC安全的string-OT协议,与bit-OT协议相比单轮通信效率提高O(n)倍. 本文的安排如下:第一部分是UC安全框架模型简介及UC-OT协议安全模型的定义.第二部分说明本文使用的两个安全原语,第三部分提出了一个新的UC-OT协议方案.第四部分通过基于仿真的可证明安全技术,证明该协议是UC安全的.第五部分比较了相关工作.第六部分是本文的结论. 2 预备知识 2.1 理想环境模型的建立 UC框架模型对“安全协议”进行了形式化的定义.首先,协议π的安全服务需求被定义为“理想函数F”,针对理想函数,存在虚拟攻击者S(通常称为仿真器S),该模型称为理想模型.其次,在真实的运行环境中,参与方可以实现协议的功能,同时存在真实的攻击者实体A,该模型称