[关闭]
@bintou 2017-02-19T02:35:38.000000Z 字数 24377 阅读 1919

后量子安全认证密钥交换协议的关键技术研究

技术报告 项目申请书


摘要:认证密钥交换(Authenticated Key Exchange,简记AKE)协议是确保通信与信息共享安全的重要密码学构件。本项目重点关注在后量子时代中如何设计高效可证明安全的且抗量子攻击的AKE协议。在后量子时代,传统数论下基于离散对数问题或大整数分解问题等构造的认证密钥交换体制容易遭受量子攻击。目前存在多个基于格的困难问题在量子计算下还不存在多项式时间高效求解算法,基于格的密码学研究方兴未艾。因此,如何设计高效的基于格的AKE(Lattice-based AKE,简记LBAKE)协议是在后量子时代需要解决的一个重要问题。本研究的主要内容包括:首先设计通用的协议安全模型,定义量子攻击下的协议安全性,重点关注传统AKE安全性在后量子计算模型下的形式化定义。其次,使用基于格的困难问题构造对称的被动安全的密钥交换原语,为认证密钥交换协议设计奠定基础。然后,以此为基础结合不同的认证机制设计抗信息泄露的LBAKE协议,使其具有高效率、高安全性,且具有安全性的证明可规约到格下标准困难问题假设等性质。

Abstract

提纲

一、立论依据
1、研究意义
2、国内外研究现状

二、研究方案
1、目标、技术路线、关键问题
2、可行性分析
3、研究计划

三、研究条件与基础

一、立论依据

1、研究意义(对基础研究,着重结合国际科学发展趋势,论述项目的科学意义;对应用基础研究,着重结合学科前沿、围绕国民经济和社会发展中的重要科技问题,论述其应用前景);

认证密钥交换(Authenticated Key Exchange,简记AKE)协议,可在不安全的公开网络中为用户协商安全的共享会话密钥,使得用户能借助安全的会话密钥以及相应的密码学算法进行安全通信,是确保通信安全的重要密码学构件。目前,AKE协议被广泛地应用于各种不同的网络应用系统,主要部署在电子商务系统和电子政务系统等安全需求相对高的系统中。作为一种重要的密码学构件,密钥交换协议一直是密码学界的核心研究领域[1]。同时,标准化组织也重点关注此类协议的设计与分析,致力于将其标准化并固化为通用网络协议的重要部件。比如,在互联网安全协议(IPSec)和传输层安全协议(TLS)等标准中都实现了相应的AKE协议[1]。因此,对AKE协议设计与分析的研究具有深远的理论意义与的较高实践价值。

在后量子时代,由于离散对数问题或大整数分解问题在量子计算下存在多项式求解算法[2],因此,基于传统数论难题(比如,离散对数问题、大整数分解问题等)构造的公钥密码体制容易遭受量子攻击,其安全性受到严重威胁,研究抗量子攻击(即达到后量子安全)的新型公钥密码体制已成为业界关注的热点问题。目前的AKE协议点安全性普遍基于离散对数问题或大整数分解问题的难解性,如何设计高效且后量子安全的AKE协议也是后量子时代必须迫切解决的重要科学问题[3]。

本研究致力于后量子安全的AKE协议设计与安全性证明,此项研究尚处于起步阶段,远未达到成熟的阶段,还存在大量亟需解决的问题,是新的研究热点。后量子时代AKE协议的安全性将面临严重挑战,鉴于其所处的研究现状,我们认为非常有必要通过立项来对此课题展开更加深入的研究,无论是从理论价值,还是从实践应用方面来看,本项目均具有重大的研究意义。

2、国内外研究现状

以下分别介绍和分析安全模型、被动安全KE协议设计及主动安全AKE协议设计三个方面的研究现状,并指出当前存在的一些有意义的开放难题。

(1)基于格密码的密码交换协议

后量子安全密钥交换(KE)协议的设计方案主要有两种:基于格(Lattice)密码的设计及基于超奇异Isogeny的设计。本研究重点关注前者。

格理论是设计后量子安全公钥密码体制的一种重要基础理论[3]。已知存在多种基于格的困难问题在量子计算下还不存在多项式时间高效求解算法,因此基于格设计的公钥密码算法可以抵御量子攻击。而且基于格设计的公钥密码算法还具有以下两个突出的优点:其一是安全性高,因为格上密码算法的安全性可以归约到格上难题最坏情形下的困难性;其二是计算速度快,因为格上密码不需要大整数运算,仅涉及单精度整型向量的加法和乘法以及格上高斯抽样等。

近年来,基于格的密码体制得到了广泛重视且正快速发展,基于格的公钥加密方案[4-8]、数字签名方案[9-13]和同态加密方案[14-16]等已见诸文献报道。格上密码有望在未来成为后量子密码技术的标准。格密码的蓬勃发展也为密钥交换协议的研究奠定了丰富的理论基础。

以格密码为基础设计出高效合理的被动安全KE协议是成功设计后量子安全AKE协议的重要前提。DH协议是被动安全KE协议的一种重要代表,它具有优异的结构与特性,因而得到了广泛的研究与应用。后量子安全KE协议的研究者也充分认识到了DH协议的重要性,一直在试图运用格上的难题设计出与DH协议相类似的基于格的KE(Lattice-based Key Exchange,简记LBKE)协议。已知文献显示,以带误差学习问题(Learning with Errors ,简记为LWE)[17]设计的协议[],及以LWE问题的变种问题--环上带误差学习问题(Ring Learning with Errors ,简记为RLWE)[]设计的协议[]。

目前,设计抗量子攻击的被动安全KE的方法主要有两种:基于密钥封装机制(Key Encapsulation Mechanism,简记KEM)为基础构造协议[24];基于格上带误差学习问题(learning with errors ,简记为LWE) 的变种问题构造协议[21]。
自2005年LWE问题[32]被提出之后,格上公钥密码体制得到了飞速的发展,各种公钥加密体制和数字签名被提出[4-13],然而被动安全的KE协议尚未见诸文献。在一些不正式发表的讲稿上我们可以看到一些基于LWE问题的LBKE协议构造,其中包括著名格密码学家Peikert的协议。这一类协议除了LWE问题外通常还同时需要借助小整数解问题(Small Integer Solution,简记为SIS),且难以做成完全对称的形式(收发双方发相同结构的报文),最致命的是,难以设计合理的编解码机制来支持此类协议的高效实现。可以说,以LWE问题和SIS问题构造被动安全KE协议在理论上看似可行但实现上却有很大的难度。
退而求次,使用被动安全的KEM机制则是一种新的思路。KEM与KE有微妙的区别,最主要的区别是前者需要发送方对某些秘密比特进行编码,而后者没有此过程,收发双方必须从协商出的秘密报文中通过特定的解码技术抽取出共同的秘密比特。KEM的这种要求给编解码的设计带来了极大的方便,使得秘密比特高效传输成为可能。在2014年后量子密码会议上,Peikert提出一种基于理想格(Ideal lattice)的新编解码方案,从而构造出一种被动安全的高效KEM体制,并以此作为AKE协议的设计原语。此技术有望进一步得到推广,成为LBAKE协议设计的重要基础。
不能不说,试图设计出与原始DH协议类似的格上KE体制依然是业界的追求。Ding等人在12年基于LWE问题的一种变形设计了一种被动安全的KE协议。该协议高效且具有与DH协议类似的对称结构,该协议还可扩展为借助环上LWE问题的协议,得到更高的效率和更短的密钥长度。可惜此协议所借助的变形问题假设并未得到严格证明,因此,安全证明的规约关系并不严谨。但是,此类协议的设计思路依然为进一步的研究带来许多的启发。

,同时我们也注意到,基于格的AKE协议的设计与分析研究方兴未艾,尚有许多的理论空白,适时开展此项研究势在必行。

(2)AKE安全模型

安全模型刻画攻击者能力,描述协议安全需求并准确定义协议安全性,是指导AKE协议设计与分析、确保协议可证明安全性的基础性理论工具。CK模型[17]和eCK模型[18]是目前应用最广泛的两种安全模型。该类模型通过预言机查询(Oracle Query)来刻画攻击者能力,让攻击者获得协议执行过程中使用或产生的秘密信息,最后,通过协议生成的会话密钥与随机比特串的不可区分性来描述协议的安全需求。后量子时代中攻击者的能力与传统计算模型下的攻击者具有很大的区别,如何考量后量子时代计算模型的能力从而定义出合理的安全模型是后量子安全AKE协议设计的一大重点,也是确保协议安全性得以正确分析的重要保障。

定义协议安全模型的研究源自于Bellare和Rogaway的创新性工作(简称BR模型)[25],而CK模型和eCK模型是目前应用最广泛的两种安全模型。与BR模型相比,CK模型与eCK模型定义了更丰富的攻击者能力,除常规的消息重放攻击、中间人攻击、平行会话攻击和已知密钥攻击等攻击类型外,还着重关注:密钥泄露伪装攻击、临时私钥泄露攻击、未知密钥共享攻击等。一些高级安全属性,如完全前向安全性(Perfect Forward Secrecy,简记PFS)与可否认性等,是目前研究的重点。定义这些攻击的一个共同出发点就是在合理的范围内给攻击者更强的攻击能力,从而使得协议的安全性更强。通常,安全模型通过定义不同的预言机查询来刻画攻击者行为,不同的安全模型定义了不同的预言机查询。
在CK模型中,定义了三类查询:会话密钥泄漏(Session Key Reveal),会话状态泄漏(Session-State Reveal)和长期私钥泄漏(Corrupt)查询。eCK模型试图通过向攻击者提供更强的查询能力来给出一个更强的安全定义。为此,该模型定义了一个新的临时密钥泄漏(Ephemeral Key Reveal)查询,该查询输出某用户执行协议过程中的与特定会话相关的秘密信息,并用来取代在CK模型中定义的Session-State Reveal查询。eCK模型定义了新的会话新鲜性定义,根据定义,允许攻击者对测试会话(Test Session)进行Ephemeral Key Reveal查询。从定义上看,eCK模型似乎比CK模型更强,但目前结论显示[26-28],这两个模型的表达能力各具特性,并不构成明显的强弱对比关系,这意味着一些协议可以在其中一个模型中证明安全,但却可在另一个模型中证明不安全,反过来说也一样。比如,NAXOS协议[18]在eCK模型下可证明安全,但却在CK模型下被证明不安全[28]。
在CK模型和eCK模型之后,为了满足不同协议安全性的需求,衍生出了多种改进模型,包括CK+、eCK+、eCK-w和seCK模型等。这些安全模型各自定义了不同的攻击者查询,并且所定义的攻击者查询缺乏精确性,因此难以对不同的安全模型能力进行严格的比较。比如,在CK模型中,Session-State Reveal查询是模拟攻击者获取指定会话的所有中间计算结果的能力。该查询存在的歧义在于中间状态(Session State)包含哪些信息是由具体的AKE协议设计者来确定的。为了准确刻画攻击者能力,Wang等人提出PACK模型[29],强调攻击者能力的物理解释,同时要求协议设计者不可自行选定攻击者能力及协议的泄露信息,而是由协议的真实执行来唯一确定攻击者所允许的能力。
在后量子安全KE协议的证明中,主要使用了BR模型和CK模型(及其衍化版本),即不完全考虑攻击者在量子环境的攻击能力。我们必须面对的一个问题就是,后量子时代攻击者的能力与传统计算模型下的攻击者相比有什么不同?答案显然是否定的,目前的文献显示,量子攻击者的能力比传统攻击者能力更强[30,31]。因此,如果在安全模型中不能体现攻击者在量子环境中的真实能力,就难以完全体现安全协议在后量子时代的安全性。换而言之,目前使用传统安全模型证明的AKE协议都不具备完全抗量子攻击的能力,即攻击者具有量子计算能力,但是协议的执行依然在传统的计算环境当中。这迫使我们必须重新考虑后量子时代安全模型的定义,本研究致力于此,试图填补此项理论空白。

(3)抗强信息泄露的主动安全AKE协议设计
从被动安全KE协议出发,借助数字签名、MAC等认证机制可设计出主动安全的AKE协议,借助不同的安全模型进行分析,可考察协议的抗强信息泄露性。AKE协议的设计有丰富的理论与实践成果,主要分为两类,一类是显式认证协议,包括STS、IKE、SIGMA协议等;一类是隐式认证协议,包括MQV、HMQV、CMQV协议、OAKE协议等。其中,由于隐式认证协议结构简单、效率高,且安全分析、证明相对容易,逐渐成为AKE协议研究的主流目标。而此类工作也为后量子安全的AKE协议设计奠定了理论基础,许多方法可以借鉴用于LBAKE协议的设计。
目前已知的LBAKE协议并不多,显式认证LBAKE协议包括:Peikert的协议[24]和Bos等人设计的协议[33]。Peikert对SIGMA协议[34]进行变形,将被动安全的KEM体制与数字签名、MAC体制结合(这些体制都使用格上的具体实例),从而得到后量子安全的AKE协议。有意思的是,Bos等人设计的AKE与传统AKE协议设计有较大的区别。他们不设计格上的AKE协议,而是把格上被动安全的协议嵌入到传统的带认证的体制中去,比如TLS协议,使用传统的认证机制,比如RSA签名或者椭圆曲线数字签名等,从而得到带认证的密钥交换。显然,这并非一种完整的LBAKE协议的解决方案。
隐式认证的LBAKE协议主要包括一种通用构造方法所得到的协议和Ding等人的协议[23]。Fujioka等人提出一种使用KEM体制构造LBAKE的通用方法[35],即从单向CCA安全的KEM出发可得到CK模型下安全的AKE,通过构造格上满足要求的KEM体制,则可得到一系列不同的LBAKE设计。这种方法的缺陷是,构造依然不对称,需要同时使用主动安全与被动安全的两种KEM,需额外发送被动安全KEM的公钥,增加了通信报文的复杂度,安全性证明依赖随机预言机。最糟糕的是,这种构造将KEM看作黑盒子进行调用,KEM体制中所有中间计算信息的泄露情况均无法考察,这种通用构造难以在强信息泄露环境下进行安全性分析和证明。尽管Fujioka等人声称所得到的体制的安全性可在强信息泄露的CK模型下得到证明,但是其前提条件是所有内存私密信息都必须删除,不允许泄露[35]。AKE的通用构造方法还包括Boyd等人使用MAC的技术[36,37]和Moriyama等基于Hash Proof System(简记HPS)的构造[38],如果将其实例化为格上抗量子攻击的密码体制,都可得后量子安全的AKE,只是目前尚不存在格上的HPS实例构造。
最近Ding等人使用理想格构造出一种与HMQV、OAKE非常类似的LBAKE协议,与HMQV不同的是,该协议的安全性不依赖于数字签名,而仅仅依赖于环上LWE问题的困难性。使用BR模型,该协议的安全性在随机预言模型下得以证明。该协议以Ding等人12年的被动KE为基础,所以,也存在同样的缺陷:使用一种安全性未得到严格证明的LWE变形问题假设,安全证明的规约关系并不严谨。

其次,传统AKE协议大多以被动安全的KE协议为原语,结合不同的认证机制,比如,数字签名、报文认证码(Message Authentication Code,简记MAC)等,从而设计出相应的抗主动攻击的AKE协议。原始的DH协议是应用最广泛的被动安全KE协议,其形式简单直观、具有对称性(发送方与接收方的行为相同)。又因为DH协议基于离散对数假设,使得许多基于类似数学结构的密码学认证机制,比如:Schnorr签名[19]、知识证明体制[20]等,可以与之很好地结合形成高效安全的AKE协议,其中HMQV协议就是其中优秀代表。然而在格密码体制中,如何设计与DH协议相当的被动安全KE协议还是一个尚待解决的问题。针对此问题的初始研究已经逐步展开[21-24],目前研究现状显示,基于格难题设计出的KE协议与传统的DH协议在数学结构上具有巨大的差异,这使得传统的协议设计技术遭受重要的挑战。
小结:
简而言之,目前AKE与格密码的研究领域已具有较大规模的研究阵营,形成了相对成熟的理论研究体系,并取得了不少理论成果,这为后续LBAKE研究打下了坚实的基础。在国内,不少高校或研究机构对密钥交换协议的设计与分析方面展开了较深入的研究,基于格的密码体制研究也在蓬勃发展,取得了许多国际一流的研究成果[39-43]。中国科学院、西安电子科技大学、解放军信息工程大学、北京邮电大学、北京大学、清华大学、上海交通大学、山东大学、浙江大学、武汉大学、复旦大学、南京大学、中山大学和西南交通大学等许多高校及研究机构的信息安全研究者们在这一领域做了大量开创性的工作。比如:王小云等人提出了一个改进的求解SVP 问题的筛选算法[39],余位驰与何大可提出了l-次归约概念[40],卢晓君和胡予濮对格上快速密码算法进行了实现和安全分析[41],夏峰等人构造了基于LWE问题的两方保密计算协议[42],王凤和等人设计了格上不经意传输协议[43]。这也为本项目奠定了一个很好的研究氛围。
同时,我们认识到,LBAKE协议的设计与证明也面临着许多理论上与应用上的新挑战,有许多关键问题亟待解决:分析研究传统数论下AKE协议的设计原则及思想,为LBAKE协议设计后量子环境下的安全模型;设计对称的、且安全性可规约到格上标准难题的被动安全KE协议;设计同时满足多种安全需求的,比如强前向安全与强可否认性要求,LBAKE协议设计;在标准模型下设计可紧致归约到格上最坏情况界(worst-case)难题的高效LBAKE协议设计等。鉴于该研究的重要性及其所处的研究现状,我们认为有必要系统研究LBAKE协议,设计与分析满足需求的实用、高效、可证明安全的协议,为后量子时代信息系统安全提供强有力的保障工具。

3、本项目的创新之处;
本项目的创新之处体要完成以下工作分别填补后量子安全密钥交换协议设计领域的三方面理论空白。
1、设计一种用于分析证明后量子安全AKE协议的安全模型,形式化定义后量子环境下合理的攻击者能力,据此给出后量子安全AKE协议的安全定义,支持多种高级安全属性的分析与证明。
2、设计一轮高效被动安全LBKE协议,其结合满足对称性,且在标准模型下其安全性可规约到格上标准难题。
3、设计抗强信息泄露的LBAKE协议,其同时满足多种安全需求的,比如强前向安全与强可否认性要求,且安全性可紧致规约到格上标准难题。
4、主要参考文献及出处(格式:论文--作者.题目.刊名.年份.卷(期).页码/专著--作者.书名.出版者.年份);

M. Braithwaite. Google Security Blog: Experimenting with post-quantum cryptography. July 2016. https://security.googleblog.com/2016/07/experimenting-with-post-quantum.html.

C. Costello. Microsoft Security Blog: SIDH Library. April 2016. https://www.microsoft.com/en-us/research/project/sidh-library/

Erdem Alkim, Léo Ducas, Thomas Pöppelmann, Peter Schwabe.
Post-quantum Key Exchange - A New Hope. USENIX Security Symposium 2016: 327-343, 2016.

Douglas Stebila, Michele Mosca.
Post-Quantum Key Exchange for the Internet and the Open Quantum Safe Project. IACR Cryptology ePrint Archive 2016: 1017 (2016)

[1] W. Diffie and M. E. Hellman. New Directions In Cryptography. In IEEE Transactions on Information Theory. Vol.IT-22(6),pages 644-654, November 1976.
[2] P. W. Shor. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer. SIAM J. Comput., 1997, 26(5):1484--1509.
[3] C. Peikert. Public-key cryptosystems from the worst-case shortest vector problem: extended abstract. STOC 2009, pp. 333-342, 2009.
[4] D. Micciancio and C. Peikert. Trapdoors for Lattices: Simpler, Tighter, Faster, Smaller. EUROCRYPT 2012, LNCS, vol. 7237, pp.700-718, 2012.
[5] D. Stehle and R. Steinfeld. Making NTRUEncrypt and NTRUSign as Secure as Standard Worst-Case Problems over Ideal Lattices. eprint archive, 2013/014, 2013.
[6] J. Alperin-Sheriff and C. Peikert: Circular and KDM Security for Identity-Based Encryption. Public Key Cryptography 2012, LNCS, vol. 7293, pp. 334-352, 2012.
[7] C. Peikert. Public-key cryptosystems from the worst-case shortest vector problem: extended abstract. STOC 2009, pp. 333-342, 2009.
[8] C. Gentry, C. Peikert and V. Vaikuntanathan. Trapdoors for hard lattices and new cryptographic constructions. STOC 2008, pp. 197-206, 2008.
[9] V. Lyubashevsky. Lattice Signatures without Trapdoors. EUROCRYPT 2012, LNCS, vol. 7237, pp. 738-755, 2012.
[10] M. Abdalla, P. Fouque, V. Lyubashevsky and M. Tibouchi. Tightly-Secure Signatures from Lossy Identification Schemes. EUROCRYPT 2012, LNCS, vol. 7237, pp. 572-590, 2012.
[11] V. Lyubashevsky. Fiat-Shamir with Aborts: Applications to Lattice and Factoring-Based Signatures. ASIACRYPT 2009, LNCS, vol. 5912, pp. 598-616, 2009.
[12] V. Lyubashevsky and D. Micciancio. Asymptotically Efficient Lattice-Based Digital Signatures. TCC 2008, LNCS, vol. 4948, pp. 37-54, 2008.
[13] X. Boyen. Lattice Mixing and Vanishing Trapdoors: A Framework for Fully Secure Short Signatures and More. Public Key Cryptography 2010, LNCS, vol. 6056, pp. 499-517, 2010.
[14] C. Gentry. Fully homomorphic encryption using ideal lattices. STOC 2009, pp. 169-178, 2009.
[15] C. Gentry. Toward Basing Fully Homomorphic Encryption on Worst-Case Hardness. CRYPTO 2010, LNCS, vol. 6223, pp. 116-137, 2010.
[16] Z. Brakerski, C. Gentry and S. Halevi. Packed Ciphertexts in LWE-Based Homomorphic Encryption. Public Key Cryptography 2013, LNCS, vol.7778, pp. 1-13, 2013.
[17] O. Regev. On lattices, learning with errors, random linear codes, and cryptography. J. ACM, 56(6):1–40, 2009. Preliminary version in STOC 2005.
[17] R. Canetti and H. Krawczyk. Analysis of key exchange protocols and their use for building secure channels. In Proc. of EUROCRYPT'01, LNCS vol. 2045, pp. 453-474, Springer-Verlag, New York, 2001.
[18] B. LaMacchia, K. Lauter and Anton Mityagin. Stronger security of authenticated key exchange. In Proc. of ProvSec 2007, LNCS 4784, pp. 1-16, Springer-Verlag, 2007.
[19] C. P. Schnorr. Efficient Identification and Signatures for Smart Cards. EUROCRYPT 1989, LNCS, vol. 434, pp. 688-689, 1989.
[20]M. Blum, P. Feldman and S. Micali. Non-interactive zero-knowledge and its applications. In Proceedings of the twentieth annual ACM symposium on Theory of computing, pages 103–112. ACM, 1988.
[21] J. Ding, X. Xie and X. Lin. A Simple Provably Secure Key Exchange Scheme Based on the Learning with Errors Problem. Cryptology ePrint Archive, Report 2012/688 (2012).
[22] J. Ding. New cryptographic constructions using generalized learning with errors problem. Cryptology ePrint Archive, Report 2012/387 (2012).
[23] J. Zhang, Z. Zhang, J. Ding and M. Snook. Authenticated Key Exchange from Ideal Lattices. Cryptology ePrint Archive, Report 2014/589 (2014).
[24] Chris Peikert. Lattice cryptography for the internet. In Michele Mosca, editor, Proc. 6th International Conference on Post-Quantum Cryptography (PQCrypto) 2014, LNCS. Springer, 2014. To appear. Full version available at http://eprint.iacr.org/2014/070.
[25] M. Bellare and P. Rogaway. Entity Authentication and Key Distribution. In Proc. of CRYPTO’93, LNCS 773, pp. 232-249, 1993.
[26] J. Xia, J. Wang, L. Fang, Y. Ren and S. Bian. Formal proof of relative strengths of security between ECK2007 model and other proof models for key agreement protocols. Cryptology ePrint Archive, Report 2008/479 (2008).
[27] J. Lee and C. S. Park. An efficient authenticated key exchange protocol with a tight security reduction. Cryptology ePrint Archive, Report 2008/345 (2008).
[28] C. J. Cremers. Session-state reveal is stronger than ephemeral key reveal: Attacking the NAXOS authenticated key exchange protocol. In Proceedings of the 7th International Conference on Applied Cryptography and Network Security. Springer-Verlag, Berlin, Heidelberg, 20-33, 2009.
[29] W. Wen and L. Wang and J. Pan. A Unified Security Model of Authenticated Key Exchange with Specific Adversarial Capabilities. Cryptology ePrint Archive, Report 2013/871(2013).
[30] D.Simon. On the Power of Quantum Computation. In Proc. Of 35th IEEE Symp. on Foundations of Computer Science, pp. 116-123, 1994.
[31] D. Boneh, Ö. Dagdelen, M. Fischlin, A. Lehmann, C. Schaffner and M. Zhandry. Random Oracles in a Quantum World. ASIACRYPT 2011, LNCS, vol. 7073, pp. 41-69, 2011.

[33] J. W. Bos, C. Costello, M. Naehrig and D. Stebila. Post-quantum key exchange for the TLS protocol from the ring learning with errors problem. Cryptology ePrint Archive, Report 2014/599 (2014).
[34] H. Krawczyk. SIGMA: The ‘SIGn-and-MAc’ approach to authenticated Diffie-Hellman and its use in the IKE-protocols. In CRYPTO, pp 400-425. 2003. Full version at http://webee.technion.ac.il/˜hugo/sigma.html.
[35] A. Fujioka, K. Suzuki, K. Xagawa and K. Yoneyama. Strongly secure authenticated key exchange from factoring, codes, and lattices. In Public Key Cryptography, pages 467-484, 2012.
[36] C. Boyd, Y. Cliff, J. G. Nieto and K. G. Paterson. Efficient one-round key exchange in the standard model. In Proceedings of the 13th Australasian Conference on Information Security and Privacy, 2008, pp 69-83.
[37] C. Boyd, Y. Cliff, J. G. Nieto and K. G. Paterson. One-round key exchange in the standard model. Int. J. Appl. Cryptol., 2009, 1, (3), pp 181-199.
[38] D. Moriyama and T. Okamoto. Leakage resilient eCK-secure key exchange protocol without random oracles. In Proceedings of the 6th ACM Symposium on Information, Computer and Communications Security, ASIACCS, 2011, pp 441-447.
[39] X. Wang, M. Liu, C. Tian and J. Bi. Improved Nguyen-Vidick heuristic sieve algorithm for shortest vector problem. ASIACCS’11-Proceedings of the 6th ACM Symposium on Information, Computer and Communications Security, HongKong, 2011.
[40] 余位驰, 何大可. 格基规约理论及其在密码设计中的应用. 西南交通大学博士学位论文,2005.
[41] 卢晓君, 胡予濮. 一种基于格快速公钥算法的分析与实现. 西安电子科技大学硕士学位论文,2006.
[42] 夏峰, 杨波, 张明武, 马莎, 雷涛. 基于LWE的集合相交和相等的两方保密计算. 电子与信息学报, 34(2), pp. 462-467, 2011.
[43] 王凤和, 胡予濮, 刘振华. 格基不经意传输协议. 通信学报, 32( 2), pp. 125-130, 2011.
[44] Vadim Lyubashevsky, Chris Peikert and Oded Regev. On ideal lattices and learning with errors over rings. In EUROCRYPT, pages 1-23, 2010.
[45] Miklόs Ajtai and Cynthia Dwork. A public-key cryptosystem with worstcase/average-case equivalence. In Proceedings of the Twenty-ninth Annual ACM Symposium on Theory of Computing, STOC 1997, pages 284-293, New York, NY, USA, 1997. ACM.
[46] Cas Cremers and Michele Feltz. One-round Strongly Secure Key Exchange with Perfect Forward Secrecy and Deniability. Available at http://eprint.iacr.org/2011/300.
[47] Oded Regev. New lattice-based cryptographic constructions. J. ACM, 51(6):899-942, November 2004.
[48] M. Jakobsson, K. Sako and R. Impagliazzo. Designated Verifier Proofs and Their Applications. In Proceedings 15th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Saragossa, 12-17 May, 1996, LNCS 1070, pp. 143-154.
[49] C. Peikert, V. Vaikuntanathan, B. Waters. A Framework for Efficient and Composable Oblivious Transfer. In EUROCRYPT, pages 554-571, 2008.
[50] D. Cash, D. Hofheinz, E. Kiltz and C. Peikert. Bonsai Trees, or How to Delegate a Lattice Basis. EUROCRYPT 2010, pages 523-552, Berlin, Heidelberg, 2010. Springer-Verlag.
[51] Fenghe Wang, Yupu Hu and Baocang Wang. Lattice-based Strong Designate Verifier Signature and Its Applications. Malaysian Journal of Computer Science, 2012, 25(1):11--22.

二、研究方案

1、研究目标、研究内容和拟解决的关键问题。

研究目标:
设计一种表达能力丰富且合理的安全模型,它形式化地定义后量子环境下攻击者的现实能力,并给出后量子安全AKE协议的准确安全定义,能支持多种高级安全属性的分析与证明。
设计被动安全的LBKE协议,使其满足:1)结构、效率与DH协议相当;2)安全性规约到标准格上最坏情况界假设;3)在标准模型下可证明安全。
设计预言机模型下的抗信息泄露的LBAKE协议,使其满足:1)效率与HMQV协议相当;2)安全性规约到标准格下困难问题假设;3)去除Forking Lemma,使协议具有紧致安全界。
设计同时满足前向安全和可否认性的抗信息泄露安全LBAKE协议,要求该协议在形式化模型下可证明安全。
研究内容:
针对安全模型的设计,我们展开以下工作。首先研究量子计算环境中攻击者能力,一方面考察对比在不同计算模型(传统图灵机与量子图灵机模型)中攻击者的计算能力,同时还考察攻击者在量子环境中信息泄露的合理能力。其次,要明确后量子安全AKE协议的各种安全需求,设定明确的协议设计原则。进一步,设定量子环境中可信第三方(包括公钥证书基础设施)对攻击者的限制。最后,设计形式化的攻击者可访问的预言机查询,定义合理的会话模型,比如,给出协议会话的新鲜性、匹配会话、会话标识等合理定义。支持定义不同攻击环境下的协议安全性定义,重点关注前向安全性和可否认性的定义。
为了构造一轮对称被动安全LBKE协议,我们重点研究格的结构属性。传统数论下的DH对称结构是高效AKE协议的重要基础,本研究关注格下的一轮对称LBKE协议构造,重点考察一般格下困哪问题和运算属性。进一步,我们考察基于多项式对称环的理想格下的困难问题和运算属性。一方面,我们研究如何突破目前一般格上的非对称KE构造,如何基于不可交换的运算设计对称LBKE协议;另一方面,考察如何在理想格下利用环上的可交换运算属性设计一轮对称,基于格下标准难题的LBKE协议。
为了构造一轮对称主动安全LBAKE协议,我们重点研究和借鉴目前已有的相关工作和技术手段。在传统数论下,存在高效安全的HMQV、CMQV和SMQV等AKE协议。我们重点关注如何将以上高效构造的思路和技术应用到格下的AKE构造,以得到高效LBAKE构造。进一步,我们研究如何将一般格上的设计方案推广到理想格上在理想格下,并在新模型下证明其在强信息泄露环境下的安全性,最终构造具体实用的LBAKE协议。进一步,我们构造并实现新型的显示认证工具,结合传统显式AKE的构造思路,设计同时满足前向安全和可否认性的抗信息泄露安全LBAKE协议。
构造标准模型下的LBAKE协议,我们重点考察目前已有方案的优化实现。根据传统数论下构造AKE协议的经验,高效隐式AKE协议难以去除对RO的依赖,本研究重点考察以下两点内容:一、使用格下KEM实例对通用AKE构造进行实例化,并在此基础上对协议进行效率优化,并将安全性归约到格下worst-case假设。二、从LBKE方案出发,通过构造标准模型下可证明安全的显式认证构件,使得基于该构件的显式AKE协议在标准模型下可证明安全。

拟解决的关键问题:
合理定义量子计算环境中攻击者能力的现实能力是后量子安全KE安全模型设计的关键。首先,计算复杂性的结论显示,量子攻击者的能力比传统攻击者能力更强[30]。其次,传统的安全模型不能完全准确地刻画量子攻击者的真实能力。比如,eCK模型中定义一种Ephemeral Key Reveal的预言机查询,用于刻画攻击者对协议执行者所使用伪随机数的攻击。然而,在量子环境中存在生成真随机数的算法。这使得eCK模型的这种攻击立即无效。第三,传统安全模型难以表达量子环境对协议安全性的影响,比如,Boneh等人展示[31],存在一种密码体制,在攻击者访问传统随机预言机的情况下可保证安全,但是当攻击者可以进行量子预言机查询时,则该体制就不安全。因此,原有安全模型的定义不足以支持后量子安全KE协议的分析与证明。
设计一轮对称被动安全的LBKE协议是本研究的核心问题之一。首先,我们分析在一般格下构造类似DH协议的LBKE协议。一般格构成群,满足结合律而不满足交换律,难以模拟传统数论下的可交换指数运算。因此,基于一般格难以设计对称一轮的KE协议。到目前为止,尚无文献显示基于一般格下worst-case假设的一轮对称KE协议。在文献[21]中,Ding等人将双线性配对映射的思路应用到一般格下,通过构造同行列维度的奇偶校验矩阵(Parity Check Matrix),使得协议双方报文的安全性均基于LWE[32]困难问题假设的变形。一方面,该协议所基于假设的困难性未得到很好的分析,比如,如何归约到一般格下的worst-case假设;另一方面,该协议的安全性证明中的环境难以完美模拟。因此,如何构造被动安全的LBKE协议,使其安全性归约到一般格下的worst-case假设,是一个重要的研究内容。进一步,我们考察在理想格下构造类似DH协议的基于理想格的AKE协议。DH对称结构是传统数论下高效一轮对称AKE协议设计的重要基础。需要指出的是,区别于一般格,在基于多项式交换环的理想格下构造方案的优势在于,理想格下的运算满足交换律,可用于模拟传统数论下的可交换指数运算。在文献[21]中,Ding等人进一步将双线性配对映射的思路应用到理想格下,得到基于LWE困难问题假设变形的一轮对称高效密钥交换协议,在结构上打破了以往格下加密的非对称思路。然而所基于的假设是理想格下Ring-LWE(R-LWE)[44]困难问题假设的变形,其困难性需要进一步考察。因此,目前的工作尚未有基于理想格下worst-case假设的一轮对称的LBKE协议。
随机预言机模型下构造一轮对称高效的LBAKE协议是本研究的重点问题。首先,我们关注传统数论下的AKE相关工作。在传统数论下,存在许多高效安全的AKE协议。然而,基于格直接构造类似传统数论下的AKE协议并不显然。一方面,在一般格下,区别于传统数论,并没有类似DH协议的严格对称结构,然而,在HMQV、CMQV等高效AKE协议的设计当中,DH结构对实现协议的高效起了关键性的作用。因此,设计高效的类似DH结构的LBKE是设计类似HMQV的高效LBAKE协议的重要途径;另一方面,HMQV,CMQV等协议的证明需要依赖分叉引理(Forking Lemma),此外,在HMQV协议考虑更丰富的信息泄露的情况下,如两方临时私钥泄露的情况,则需要额外依赖Gap DH(GDH)假设,大多数协议都需要依赖该假设,如NAXOS,CMQV等。而在格理论下,困难问题(如LWE)的判定性版本和计算性版本是等价的[45]。目前文献显示,在格理论下,并没有类似的GDH假设一类的Gap假设。其次,目前基于格的AKE工作也相继被提出。文献[21]同时也给出了一个基于理想格的高效密钥交换协议,但缺乏协议认证性的讨论,只考虑了最基本的被动攻击下的密钥安全性。进一步,文献[23]中,Ding等人基于该工作,进一步引入认证性,构造了一个类似HMQV协议的ILBAKE协议,然而该协议存在以下问题:一、所基于的困难问题假设非标准理想格下困难问题假设,其困难性尚未得到充分的分析。二、协议只在Bellare-Rogaway模型下可证明安全,难以抵抗丰富的信息泄露攻击。因此,在不借助任何Gap假设的情况下,如何设计一个高效的LBAKE协议,归约到格下的worst-case假设,并且不依赖Forking Lemma,具有更紧致的安全界,是关键问题之一。
同时满足前向安全和可否认性的LBAKE协议和ILBAKE协议。前向安全要求用户长期私钥泄露不会影响之前分发的会话密钥的安全性。通过分析可知,攻击者一旦成功完成主动攻击,则在获得用户长期私钥后可立即恢复出测试会话密钥。因此,为了达到前向安全,协议必须能够限制攻击者进行主动攻击的能力。目前研究结果显示[36,37,46],使用显式认证,如签名算法或报文认证函数,是抵抗主动攻击的有效方法。签名算法是一种公开验证算法,任何拥有签名者公钥的用户都可以验证签名的合法性,因此,任何拿到签名的人都可以向第三方证明签名的原始发送方,这个属性恰好与可否认性相违背。另一方面,报文认证函数是一种对称技术,要求拥有相同密钥的用户才能计算出相同的报文认证码,因此,看似可以达到可否认性,但目前并没有学者对此给出定论。在AKE协议里面使用报文认证码要求通信双方另外共享一对密钥,在抗信息泄露的安全模型下,报文认证密钥泄露是否会影响协议安全性也还没有结论,需要进一步研究分析。在2014年后量子密码会议上,Peikert基于理想格提出了一种新的编解码方案并实现了一个KEM协议,在此基础上结合签名和报文认证码,得到一轮LBAKE协议,然而该协议并未引入可否认性的考察。因此,如何基于LBKE协议,引入显式认证机制,实现同时具备完善前向安全和完全可否认性的LBAKE协议是本课题重点关注的内容。
2、拟采取的研究方法、技术路线、实验方案及可行性分析。(重大基础研究培育项目必须包含本项目研究获得国家重大基础研究项目资助的可行性分析)
研究方法:
我们的总体研究思路是借鉴传统数论领域内高效密码方案的设计方法来构造理想格上的高效密码基础构件。首先,我们需要在格下建立AKE协议的基础原语KE协议;然后在此基础上,一方面,模拟HMQV的“挑战-应答”签名思路引入隐式认证得到LBAKE协议,另一方面,借鉴传统的通用转换,使用签名或知识证明体制引入显式认证得到LBAKE协议。为了是的显式AKE协议具备可否认性,我们为签名和知识证明方案引入指定验证方属性。其次,为了实现标准模型下的可证明安全性,我们从两方面入手,一方面,实例化目前已知的基于KEM的AKE通用构造,并进一步优化。另一方面,设计标准模型下可证明安全的指定验证方签名或知识证明方案,结合LBKE原语,得到标准模型下可证明安全的LBAKE协议。特别地,为了考察协议在后量子计算环境下的可证明安全性,我们充分分析后量子计算的行为特点,有针对性地提出考察协议在后量子计算环境下的攻击模型,为协议设计抵抗强信息泄露提供坚实的基础。
技术路线:
我们选用基于密钥不可区分性的安全模型,以PACK模型为蓝本,根据安全性的要求定义量子环境中攻击者可访问的预言机查询。首先设定协议执行环境,根据协议执行物理环境决定攻击者可执行预言机查询的条件。其次,将安全性定义分为两类:标准安全与量子安全。标准安全的定义中,攻击者有量子计算能力,但只能访问经典的预言机查询。在量子安全的定义中,攻击者不但有量子计算能力,还能访问量子预言机:输入数据的量子叠加值,得到相应的函数值。Boneh等人定义表达了量子环境中数字签名、MAC等体制的攻击者。
基于格下标准困难问题,设计一轮对称被动安全的LBKE协议。首先,我们从一般格下的worst-case假设出发设计构造方案。在2005年,Regev[47]基于格提出了一个高效的公钥加密方案,该方案的安全性可以归约到格下worst-case假设。该方案的证明思路是,首先借助一般格下的LWE假设,进一步归约到格下最短向量问题(Shortest Vector Problem, SVP)等worst-case假设。借鉴该方案的构造和证明思路,我们对该加密方案进行改造,使用公钥的一部分作为密钥交换协议起始方的报文(基于LWE假设,不泄露私密信息),使用密文的一部分作为响应方的报文(基于SIS假设,不泄露私密信息),由于存在Errors的影响,双方不能直接共享出相同的密钥。与加密方案不同的是,由于在通信报文中并不包含显式的比特密钥编码信息,我们不能简单地进行解码。在这里,我们采用纠错码(Error Correcting Code)的方式使得协议通信双方共享出相同的密钥。通过以上分析,基于高效可证明安全的加密方案,有望设计出安全性可归约到一般格下worst-case假设的LBKE协议。其次,由于理想格基于多项式交换环,环上的运算满足交换律和结合律,因此基于理想格的构造存在更多的可选方案。一方面,借鉴上述LBKE协议的设计思路,我们同样可以基于理想格下高效可证明安全的加密方案,设计高效可证明安全的ILBKE协议。另一方面,借助交换环的可交换运算属性,模拟传统数论下的DH协议,设计一轮对称协议;借助理想格下的R-LWE和R-SIS假设设计通信报文确保不泄露私密信息。在此基础上,采用纠错码协商密钥。基于以上两种方案,有望设计出高效可归约到理想格下worst-case假设的LBKE协议。
设计一轮对称主动安全的LBAKE协议。从标准数论下的高效AKE协议出发,同时结合HQMV和NAXOS协议中所使用的关键技术,其中包括两点:一、借鉴HMQV协议中的“挑战-应答”签名查询完美回答攻击者查询的技术,排除协议对Gap假设的依赖;二、使用NAXOS协议中的NAXOS技术以及生成密钥的技术排除对Forking Lemma的依赖。通过结合上述应用在标准数论下的协议构造的方法,进行LBAKE协议的构造。一方面,为了协议在证明模拟环境中对Gap假设的依赖,我们需要借助“挑战-应答”签名查询完美响应攻击者查询,其次,在构造“挑战-应答”签名过程中,为了避免协议对Forking Lemma的依赖,我们不能选用Schnorr类的签名。我们设计选用Full Domain Hash(FDH)一类签名构造“挑战-应答”签名,其次,为了降低协议对RO的依赖程度,我们可以进一步改进“挑战-应答”签名的安全性定义,使用不可区分性定义。使得协议的安全性能够更直接地归约到“挑战-应答”签名的安全性上。在文献[8]中,Gentry等人基于格给出了一个具体的FDH签名,我们可以基于该签名构造“挑战-应答”签名,并结合被动安全的LBKE协议,最终得到一个主动安全的LBAKE协议。对该构造过程进行抽象,可以得到一个通用转换算法,使得基于的原语比KEM和HPS更弱。通用转换算法从任意FDH签名出发,得到一个相应的“挑战-应答”签名,结合被动安全的一轮对称被动安全的LBKE协议,从而得到一个可证明安全抗强信息泄漏的LBAKE协议。进一步,为了得到更高效的LBAKE协议,我们将以上方案推广到理想格上。
设计同时具备前向安全和可否认性的一轮对称主动安全的LBAKE协议,并在标准模型下可证明安全。在AKE协议考察同时满足前向安全和可否认性的工作中,主要存在两个的通用构造。在协议满足基本安全性的前提下,Cremers等人借助签名体制提出了同时满足前向安全和可否认性的通用AKE协议构造[46],但是,协议只能达到受限的peer-and-time 可否认性。Peer-and-time可否认性一方面允许用户否认自己与某些指定实体通信过,另一方面允许用户否认自己在某些特定时刻被激活过。与Cremers使用的技术不同,Boyd借助报文认证函数使得AKE协议满足前向安全性[36,37]。直观上,由于报文认证函数是一种对称技术,只有获得认证密钥的用户才能计算正确的报文认证码,因此可以达到指定发送方和指定接收方的效果,使得报文接收方无法向任何第三方证明某用户曾与自己协商过会话密钥,以此获得可否认性。但是,目前并没有明确结论说明使用报文认证函数的AKE协议是否能达到完全可否认性。为了使协议在具备前向安全的同时,达到Raimondo定义的完全可否认性的要求,我们设计使用指定验证法签名(Designated Verifier Signature,简记DV-Sign)[48]作为基础的显式认证构件,该密码构件不仅为使用者提供身份证明,还具备可否认的能力,任何第三方都无法区分签名来自发送发还是指定的验证方。结合Cremers等人提出的通用AKE构造,有望设计实现同时具备前向安全和可否认性的一轮对称主动安全的显式LBAKE协议。进一步,我们将基于的显式构件推广到标准模型下,结合标准模型下可证明安全的被动安全LBKE协议,有望最终得到标准模型下可证明安全的LBAKE协议。

实验方案:
为了提高项目所设计的LBKE和LBAKE的可用性,我们将分别在嵌入式平台和web平台这两种环境下实现所设计的KE和AKE协议。具体地,项目将分别针对8比特和32比特这两种芯片来测试项目设计的密码算法的性能,并把它们与现有的后量子密码算法进行效率比较,找到效率瓶颈,从而进一步优化算法设计。关于web平台下的应用测试,将分别从计算量和通信量这两方面来测试算法的性能,建立权衡安全强度、计算量与通信量的模型。

可行性分析:
本课题组在密码学和信息安全领域有着10多年的研究经验,长期关注认证密钥交换协议的设计,尤其是近两年特别关注格上密码技术的设计与分析,已经设计了一系列可证明安全的高效密码算法和协议。这些研究经验知识的积累保证了本项目能够顺利的进行,另外针对我们的研究方案,继续进行如下可行性分析:
关于一轮对称被动安全的LBKE协议的构造方法。首先,我们考察一般格下的构造思路的可行性。从Regev在2004年提出格下的可证明安全的加密方案以来,持续有相关的工作针对该加密方案进行存储效率和计算效率上的优化[49,50]。因此,基于格下加密方案设计LBKE可以充分获得该加密方案效率上的优势。另一方面,从安全性来看,Ding等人[21]所提出的方案,虽然在协议效率上有很大的优势,但其安全性基础讨论不足,所基于的LWE问题假设的一类变形与格下worst-case假设之间的关系不清。而该加密方案可归约到格下worst-case假设,因此,从该加密方案出发将更有望于实现更安全的LBKE协议。其次,考察理想格下构造LBKE协议方案的可行性。一方面,在运算属性上,传统数论存在DH协议这样的严格对称结构的原因是指数映射的可交换性,从一般群的生产元出发进行任意多次指数运算后,所得的值仍然落在群中。在基于可交换多项式环的理想格下,环上的运算也满足交换律,并且,从任意多项式环的元素出发进行任意多次环运算,所得的元素依然落在环中。因此,理想格的运算具备传统数论指数运算的重要属性,很有可能可以设计类似DH结构的密钥交换协议。另一方面,在基于的困难问题上,传统数论下的离散对数问题假设用于确保DH协议报文不泄露临时秘密信息,在理想格下,基于R-LWE和R-SIS难题同样可以很好地保证通信报文不泄露临时秘密信息。进一步,虽然不具备传统数论指数运算得到的精确密钥,在理想格下,通过使用ECC,同样可以协商出相同的密钥比特。因此,充分利用理想格的优势,有望设计出可证明安全的一轮对称的高效LBKE协议。
关于一轮对称主动安全的LBAKE协议的实现。在构造主动安全LBAKE的方案中,主要涉及“挑战-应答”签名的构造和应用。在传统数论下,HMQV协议基于Schnorr签名得到一个“挑战-应答”签名并在计算性DH(computational DH,简记CDH)假设下证明其不可伪造性。在格下,基于FDH签名,应用类似的构造,我们完全有可能在格下得到一个对应于FDH签名的“挑战-应答”签名,这在传统数论下是难以实现的。在传统数论下,以RSA签名为FDH签名的代表,签名得到的群元并不满足指数定义域的要求,难以应用到HMQV,CMQV等协议中去。然而,在格理论下,应用FDH签名得到的向量维度满足使得SIS困难问题假设的要求,因此可以很好地应用到LBAKE协议构造中。其次,不可区分性的定义在密码学构件的安全性定义中应用广泛,比如伪随机函数、密钥交换协议等。在标准的签名定义中使用的不可伪造性定义,即给攻击者多项式次签名查询,攻击者仍然无法伪造出一个新的合法签名。在新的定义中,我们将不可区分性引入到“挑战-应答”签名的定义中,简单地说,给攻击者多项式次签名查询,攻击者仍然无法区分一个新的合法签名和随机数。该定义更接近AKE安全性定义,可避免LBAKE协议设计中的最终密钥生成过程对RO的依赖。在一般格下,存储及运算复杂性都很高,难以得到现实可用的AKE协议。因此,将以上方案推广到更高效的基于多项式环的理想格,将有望得到类似HMQV的高效构造。推广过程是简单可行的,由于理想格下对应有一般格下的所有困难问题假设,并且在理想格下具备更丰富的运算属性。
关于设计同时满足前向安全和可否认性的LBAKE协议的设计,并在标准模型下可证明安全。除了使用一般的签名算法和报文认证函数外,使用DV-Sign证明用户身份以此达到前向安全是另外一种可行的方式。如前文所述,DV-Sign构件可以很好地同时满足强前向安全和可否认性。目前,Wang等人[51]基于Bonsai结构给出了一个在格下的DV-Sign构造。将该签名应用到格下AKE的设计当中,将会得到一个同时具备前向安全和可否认性的AKE协议。Micciancio和Peikert等人在[4]中提出了更高效的格基,并且所提出的格基同样具备拓展能力,有望结合DV-Sign的构造思路,得到更高效的方案。进一步,目前已有格下的基于标准模型的签名。在2008年,Kiltz等人提出了Bonsai结构[50],并在此结构上进行了标准模型下的存在不可伪造-选择明文攻击(existentially unforgeable chosen message attack,简记EUF-CMA)安全签名构造。该工作有望结合DV-Sign构造,用于标准模型下的AKE协议设计中,得到标准模型下同时具备前向安全和可否认性的AKE协议。

3、年度研究计划及预期进展(重大基础研究培育项目必须包含争取国家重大基础项目的工作进度安排及阶段目标)

本课题拟在一年内完成,具体工作安排如下:
2014年10月-2015年9月:
定义合适的预言查询及会话新鲜性,描述攻击者对会话状态的各种控制行为,设计合理的AKE协议安全模型;在形式化模型下,分析已有经典协议的安全性。
2015年10月-2016年9月:
借助HMQV和NAXOS协议中使用的关键技术,在RO下设计高效的抗信息泄露LBAKE协议,并在新的形式化模型下证明协议安全性。
2016年10月-2017年9月:
借助DV-Sign及Bonsai Tree构件,设计同时满足前向安全和可否认性的抗信息泄露LBAKE协议,并将协议实现到标准模型下。总结研究成果,结题。

预期成果:
预期完成学术论文5篇左右,力争在重要的密码会议或期刊公开发表论文2篇。

三、研究条件与基础

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注