计算机工程文章样本

《计算机工程文章样本》由会员分享，可在线阅读，更多相关《计算机工程文章样本（3页珍藏版）》请在装配图网上搜索。

1、第37卷第9期Vol.37 No.9计算机工程Computer Engineering安全技术文章编号：10003428(2011)09000文献标识码：A中图分类号：TP309一种无证书签密方案的安全性分析宋明明，张彰，谢文坚(广西民族大学数学与计算机科学学院，南宁530006)摘要：分析一种可公开验证的无证书签密方案，从机密性和不可伪造性2个方面对无证书签密方案进行安全性分析，证明该方案不能抵 抗类型H和敌手A的攻击，并给出具体的攻击过程。分析结果表明，该方案不满足机密性，还可以产生任意的伪造，是一种不安全的无证2书签密方案。关键词：无证书；签密；双线性对；机密性；不可伪造性Securit

2、y Analysis of Certificateless Signcryption SchemeSONG Ming-ming, ZHANG Zhang, XIE Wen-jian(College of Mathematics and Computer Science, GuangxiUniversity for Nationalities, Nanning 530006)Abstract This paper analyzes the security of a certificateless signcryption scheme, which includes confidentiali

3、ty and unforgeability. It is shown that the scheme is insecure . It can not resist the attack of the second type H and adversary A?, the attack process is gives in detail. Analysis result shows the scheme can not meet confidentiality, it can produce random forgery, and it is unsafe.Key words certifi

4、cateless; signcryption; bilinear pairing; confidentiality; unforgeabilityDOI: 10.3969/j.issn.1000-3428.2011.09.0001概述在传统的加密签名体制中，通过先签名后加密的方式来 保证保密性和认证性，但是其实现效率非常低。Zheng Y于 1997 年提出了签密的概念1，签密能够在一个逻辑步骤内完 成公钥加密和数字签名的功能，能够保证安全性和可认证性， 同时其实现效率远远高于先签名后加密的方式。随后人们又 提出了一些有效的签密方案2-3。文献4提出了一种无证书公钥密码体制，其中 KGC 只

5、负责产生用户的部分私钥，在获得 KGC 产生的部分私钥后， 用户随机选择一个秘密值，然后用户通过部分私钥和秘密值 来产生自己的公钥和私钥，这样就从根本上解决了传统公钥 密码体制中存在的密钥托管问题和证书管理问题。目前，对签密方案的安全性研究主要集中在方案的机密 性、不可伪造性和不可否认性方面。(1) 机密性：指除了接收者以外的其他任何人或者机构都 不能够从密文得到明文。(2) 不可伪造性：指除了发送者以外其他任何人或者机构 不能够伪造合法的签密。(3) 不可否认性：指发送者不能够否认自己发送过的签密 的消息。文献5提出一个可公开验证的无证书签密方案，该方案 在签密和解签密阶段虽然只用了4 个对

6、运算，然而，其方案 在 Barbosa 和 Farshim 给出的安全性模型中是不安全的，因为 KGC 可以计算出任意用户的私钥，此外该方案用于加密消息 的密钥是一个可以由发送者的秘密值和接收者的公钥值直接 计算出的固定的值，而不是随机的。本文对文献5方案的安 全性问题提出了质疑，并证明了该方案是不安全的。2 预备知识2.1 双线性对及相关的困难问题令G ,G的阶为素数q的加法循环群和乘法循环群，p为12G的阶，假设G ,G中的离散对数问题都是困难问题，定义1 1 2双线性映射e : G x G T G，满足下列性质：1 1 2(1) 双线性性：如果P, Qe G且a, b g Z *,那么有

7、1qe(aP, bQ) = e(P, Q)ab ；(2) 非退化性：存在P, Q e G使得e(P, Q)工1；1(3) 可计算性：对所有的P,Q e G，存在有效的算法计算1e(P,Q)。双线性映射可以通过有限域上超椭圆曲线上的Tate对和Weil 对来构造，详见文献2。本文涉及到的相关困难问题 如下：(1)计算性双线性Diffie-Hellman问题(CBDH问题):对于 任意的 a,b,c e Z* ,给定(P,aP,bP, cP)，计算 e(P,P 脚。q判定性双线性Diffie-Hellman问题(DBDH问题)：对 于任意的a,b,c e Z*，给定(P,aP, bP, cP)和

8、h e G，判定h与 q2 e(P,P)abc 是否相等。2.2 无证书签密的形式化定义及安全性模型 一个基于双线性对的签密方案由系统初始化、部分私钥 提取、用户设置秘密值、生成用户公钥、生成用户私钥、签 密和解签密 7 个算法组成。无证书签密方案的定义在文献6 中有详细的介绍，这里不在赘述。在无证书签密方案中主要同时考虑方案的机密性和不可 伪造性，文献6首次给出了无证书签密的安全性模型。其中 包括 2 种类型的敌手攻击以及在适应性选择密文攻击下具有 不可区分性和在适应性选择消息攻击下存在不可伪造性：(1)第I种类型的敌手A代表第三方用户对无证书签密1方案的攻击， A 不能获得系统主密钥，但他

9、可以任意替换任1作者简介：宋明明(1984)，男，硕士研究生，主研方向：密码学;张彰，副教授、硕士研究生导师；谢文坚，硕士研究生收稿日期： 2010-11-10E-mail: songmingming1111何用户的公钥值，同时 A 能够多项式次进行 Hash 询问。i(2)第II种类型的敌手A代表能产生部分私钥的KGC,2A 拥有系统的主密钥,但不能替换任何用户的公钥,同时 A 22 也能够和A 一样进行多项式次适应性Hash询问5i3 文献5方案(1)初始化(Setup)给定一个安全参数k，对算法做如下 操作：1)输出具有相同素数阶q 2k的双线性映射群(G,G )的 i2 描述。2) 随

10、机选择s e Z *，计算P = sP，并设s和P分别为qpubpub主密钥master - ke和系统公钥。3) 选取3个不同的密码哈希函数H : 0,1卜t G*,iiH : 0,1* t Z*和H : G* t 0,1n，其中，n是被签密消息的2q 32bit 长度。4) 系统参数为 params = G ,G ,e,q ,P P H H H ，并12pub 123公开 params 。(2) 部 分 私 钥 提 取 (Partial-Private-Ker-Extract) ： 输 入 params, master ker 和一个用户的身份ID e0,l卜，计算 Q = H (ID)

11、e G*，并输出d = sQ作为用户的部分私钥。ID 11IDID设置秘密值(Set-Secret-Value):输入params和一个用 户的身份ID，随机选取x e Z*作为用户的秘密值。ID R q公钥提取(Public-Ker-Extract):输入 params，一个用 户的身份ID和他的秘密值x ，输出该用户的公钥为IDpk = (X , Y ) = (x P, x Q )。IDID IDID ID ID(5) 私钥提取(Private-Ker-Extract):输入params，一个用 户的部分私钥d和秘密值x ，输出sk = x d = x sQ作IDIDID ID ID ID

12、 ID为该用户的私钥。(6) 签密(Signcrypt):发送消息m e 0,1”给身份为B和公 钥为pk的Bob，Alice用他的私钥sk做如下操作：BA1) 随机选取a e Z*，并计算U = aP 。R qpub2) 计算 r = H (U llm), w = x Y 和 V2A BA3) 计算 y = e(w,P ),K = H (y )和 C = K m。pub34) 令密文g = (CU,V)。(7) 解签密(Unsigncrypt):解签密一个密文g = (C,U,V)， 它来自身份为A、公钥为pk的Alice , Bob用他的私钥skAB做如下操作:1) 计算 y = e(s,

13、),K = H (y )和 m = K C。2) 计算 r = H (U llm)。23) 接受m且仅当e(V,P) = e(Y ,U)r成立，否则输出丄。A4 文献5方案的安全性分析下面分别从机密性与不可伪造性对文献5方案进行 分析:(1)关于文献5方案的机密性类型I：敌手A可以通过替换任意用户的公钥获得该用1户相应的秘密值。因此， A 可以在获得挑战密文前替换该发1送者的公钥，获得相应的秘密值。加密消息的密钥K = H (y)，3而y = e(sk , X ) = e(x Y ,P )，因此，A可以直接计算IDR IDSIDS IDR pub1出加密消息的密钥K = H (y)，从而可以成

14、功解签密挑战3密文。类型II：敌手A拥有系统主密钥s，并且可以获得任意2用户的公钥pk = (X , Y )，因此，A可以计算出任意用户IDID ID2的私钥sk = sY = sx Q，并可以用此私钥解密该用户的任IDIDID ID意密文。XIDS= x P,IDS(2)关于文献5方案的不可伪造性类型I：给定消息m，发送者ID和接收者ID ，敌手AS可以伪造从ID到ID对消息m的签密：SR(1) 随 机 选 取 x , x/ , x e Z* ， 计 算IDS IDS IDRqY = x x/ P, X = x P 和 Y = x H (ID ) 。IDSIDS IDSIDRIDRIDRID

15、R 1 R(2) 分别用 (X,Y)和 (X ,Y ) 替换 ID 和 ID 的IDS IDSIDR IDRS公钥。 S S R R(3) 计算 y = e( x x H ( x ), P ), K = H (y)和 C = Km。IDS IDR 1 IDRpub3(4) 随机选取a e Z*，并计算U = aP 。R qpub(5) 计算 r = H (U llm)和 V = arx x / P 。2ids ids pub设置密文g= (C ,U ,V)。显然，g是从ID到ID对消息m的合法签密。SR类型II：给定消息m，发送者id和接收者ID，敌手ASR1可以伪造从ID到ID对消息m的签密

16、：SR(1) 计算 y = e(sY ,X ),K = H (y )和 C = K m。IDR IDS3(2) 随机选取a e Z*，并计算U = aP 。R qpub(3) 计算 r = H (U llm)和 V = arsY 。2IDS设置密文g= (C ,U ,V)。显然g是从ID到ID对消息m的合法签密。SR5 结束语无证书签密的安全性主要集中在机密性和不可伪造性。 本文对文献5方案的机密性和不可伪造性进行了具体的安 全性分析，证明了文献5的签密方案是不安全的，该方案既 不满足机密性，也可以产生任意的伪造。参考文献1 Zheng Yinling. Digital Signcryptio

17、n or How to Achieve Cost (Signature & Encryption) Cost(Signature)+Cost(Encryption)C/ Proc. of CRYPTO97. Berlin, Germany: Springer-Verlag, 1997.2 Lee M, Wenbo J M, Birds T. One Stone: Signcryption Using RSAC/Proc. of CT-RSA03. S. 1.: Spring-Verlag, 2003.3 Baek J, Safavi-Naini R, Susilo W. Certificate

18、less Public Key Encryption Without PairingC/Proc. of the 8th Information Security Conference. Berlin, Germany: Springer-Verlag, 2005.4 Al-Riyami S S, Paterson K G. Certificateless Public Key Crypto- graphyC/Proc. of Advances in Cryptology-ASIACRYPT03. Berlin, Germany: Springer-Verlag, 2003.5 王会歌, 王彩芬 , 易 玮. 等人. 高效的无证书可公开验证签 密方案J.计算机工程,2009, 35(5): 147-1496 Barbosa M, Farshim P. Certificateless SigncryptionEB/OL. (2008-10-14). http: /eprint. iacr. org/2008/14.编辑 索书志