密码学的发展方向与最新进展
上海交通大学 曹珍富 薛庆水/文
密
密码。
码技术是信息安全的核心技术。如今,计算机网络环境下信息的保密性、完整性、可用性和抗
提高以及密码应用需求不断增长的情况下,迫切需要发展密码理论和创新密码算法。
在2004年信息安全国际会议上,本文第一作者(即曹珍富教授)做了“密码理论中的若干问题”的主题报告,其中也介绍了密码学的最新进展。这在不同程度上代表了当前密码学的发展方向。
1.在线/离线密码学
公钥密码学能够使通信双方在不安全的信道上安全地交换信息。在过去的几年里,公钥密码学已经极大地加速了网络的应用。然而,和对称密码系统不同,非对称密码的执行效率不能很好地满足速度的需要。因此,如何改进效率成为公钥密码学中一个关键的问题之一。
针对效率问题,在线/离线的概念被提出。其主要观点是将一个密码体制分成两个阶段:在线执行阶段和离线执行阶段。在离线执行阶段,一些耗时较多的计算可以预先被执行。在在线阶段,一些低计算量的工作被执行。
2.圆锥曲线密码学
圆锥曲线密码学是1998年由本文第一作者首次提感兴趣的密码算法。在圆锥曲线群上的各项计算比椭圆曲线群上的更简单,一个令人激动的特征是在其上的编码和解码都很容易被执行。同时,还可以建立模n的圆锥曲线群,构造等价于大整数分解的密码。现在已经知道,圆锥曲线群上的离散对数问题在圆锥曲线的阶和椭圆曲线的阶相同的情况下,是一个不比椭圆曲线容易的的研究内容。
抵赖性,都需要采用密码技术来解决。密码体制大体分为对称密码(又称为私钥密码)和非对称密码(又称为公钥密码)两种。公钥密码在信息安全中担负起密钥协商、数字签名、消息认证等重要角色,已成为最核心的
当前,公钥密码的安全性概念已经被大大扩展了。像著名的RSA公钥密码算法、Rabin公钥密码算法和ElGamal公钥密码算法都已经得到了广泛应用。但是,有些公钥密码算法在理论上是安全的,可是在具体的实际应用中并非安全。因为在实际应用中不仅需要算法本身在数学证明上是安全的,同时也需要算法在实际应用中也是安全的。比如,公钥加密算法根据不同的应用,需要考虑选择明文安全、非适应性选择密文安全和适应性选择密码安全三类。数字签名根据需要也要求考虑抵抗非消息攻击和选择消息攻击等。因此,近年来,公钥密码学研究中的一个重要内容——可证安全密码学正是致力于这方面的研究。
消息认证等重要角色,已成为最核心的密码。目前密码的核心课题主要是在结合具体的网络环境、提高运算效率的基础上,针对各种主动攻击行为,研究各种可证安全体制。其中引人注目的是基于身份(ID)密码体制和密码体制的可证安全模型研究,目前已经取得了重要成果。这些成果对网络安全、信息安全的影响非常巨大,例如公在密码分析和攻击手段不断进步,计算机运算速度不断
公钥密码在信息安全中担负起密钥协商、数字签名、出,C.Schnorr认为,除椭圆曲线密码以外这是人们最
钥基础设施(PKI)将会更趋于合理,使其变为ID-PKI。问题。所以,圆锥曲线密码已成为密码学中的一个重要
19
3.代理密码学
代理密码学包括代理签名和代理密码系统。两者都目前,代理密码学的两个重要问题亟需解决。一个是构造不用转换的代理密码系统,这个工作已经被本文第一作者和日本Tsukuba大学的学者进行了一些研究。另外一个是如何来构造代理密码系统的较为合理的可证安全模型,以及给出系统安全性的证明。已经有一些研究者开始在这方面展开工作。
4.密钥托管问题
在现代保密通信中,存在两个矛盾的要求:一个是用户间要进行保密通信,另一个是政府为了抵制网络犯罪和保护国家安全,要对用户的通信进行监督。密钥托管系统就是为了满足这种需要而被提出的。在原始的密钥托管系统中,用户通信的密钥将由一个主要的密钥托管代理来管理,当得到合法的授权时,托管代理可以将其交给政府的监听机构。但这种做法显然产生了新的问题:政府的监听机构得到密钥以后,可以随意地监听用户的通信,即产生所谓的“一次监控,永远监控”问题。另外,这种托管系统中“用户的密钥完全地依赖于可信任的托管机构”的做法也不可取,因为托管机构今天是可信任的,不表示明天也是可信任的。
在密钥托管系统中,法律强制访问域LEAF(LawEnforcement Access Field)是被通信加密和存储的额外信息块,用来保证合法的政府实体或被授权的第三方获得通信的明文消息。对于一个典型的密钥托管系统来说,LEAF可以通过获得通信的解密密钥来构造。为了更趋合理,可以先将密钥分成一些密钥碎片,用不同的密钥托管代理的公钥加密密钥碎片,然后再将加密的密钥碎
片通过门限化的方法合成。以此来达到解决“一次监控,永远监控”和“用户的密钥完全地依赖于可信任的托管信息安全形式问题,通过建立可证安全信息形式模型来界定一般的网上信息形式。
5.基于身份的密码学
基于身份的密码学是由Shamir于1984年提出的。其主要观点是,系统中不需要证书,可以使用用户的标识如姓名、IP地址、电子邮件地址等作为公钥。用户的私钥通过一个被称作私钥生成器PKG(Private KeyGenerator)的可信任第三方进行计算得到。基于身份的数字签名方案在1984年Shamir就已得到。然而,直到2001年,Boneh等人利用椭圆曲线的双线性对才得到Shamir意义上的基于身份的加密体制(IBE)。在此之前,一个基于身份的更加传统的加密方案曾被Cocks提出,但效率极低。目前,基于身份的方案包括基于身份的加密体制、可鉴别身份的加密和签密体制、签名体制、密钥协商体制、鉴别体制、门限密码体制、层次密码体制等。
6.多方密钥协商问题
密钥协商问题是密码学中又一基本问题。
Diffie-Hellman协议是一个众所周知的在不安全的信道上通过交换消息来建立会话密钥的协议。它的安全性基于Diffie-Hellman离散对数问题。然而,Diffie-Hellman协议的主要问题是它不能抵抗中间人攻击,因为它不能提供用户身份验证。
当前已有的密钥协商协议包括双方密钥协商协议、双方非交互式的静态密钥协商协议、双方一轮密钥协商协议、双方可验证身份的密钥协商协议以及三方相对应类型的协议。
提供代理功能,另外分别提供代理签名和代理解密功能。机构”的问题。现在对这一问题的研究产生了构造网上
0
如何设计多方密钥协商协议?存在多元线性函数(双线性对的推广)吗?如果存在,我们能够构造基于多元线性函数的一轮多方密钥协商协议。而且,这种函数如果存在的话,一定会有更多的密码学应用。然而,直到现在,在密码学中,这个问题还远远没有得到解决。目前已经有人开始作相关的研究,并且给出了一些相关的应用以及建立这种函数的方向,给出了这种函数肯定存在的原因。
7.可证安全性密码学
当前,在现有公钥密码学中,有两种被广泛接受的安全性的定义,即语义安全性和非延展安全性。语义安全性,也称作不可区分安全性IND(Indistinguishability),首先由Goldwasser和Micali在1984年提出,是指从给
模型和假设能够让我们来解释所提出的新方案的安全性,按照相关的数学结果,确认基本的设计是没有错误的。
随机预言模型是由Bellare和Rogaway于1993年从Fiat和Shamir的建议中提出的,它是一种非标准化的计算模型。在这个模型中,任何具体的对象例如哈希函数,都被当作随机对象。它允许人们规约参数到相应的计算,哈希函数被作为一个预言返回值,对每一个新的查询,将得到一个随机的应答。规约使用一个对手作为一个程序的子例程,但是,这个子例程又和数学假设相矛盾,例如RSA是单向算法的假设。概率理论和技术在随机预言模型中被广泛使用。
然而,随机预言模型证明的有效性是有争议的。因为哈希函数是确定的,不能总是返回随机的应答。1998
定的密文中,攻击者没有能力得到关于明文的任何信息。年,Canetti等人给出了一个在ROM模型下证明是安全非延展安全性NM(Non-malleability)是由Dolev、的数字签名体制,但在一个随机预言模型的实例下,它Dwork和Naor在1991年提出的,指攻击者不能从给定的密文中,建立和密文所对应的与明文意义相关的明文的密文。在大多数令人感兴趣的研究问题上,不可区分安全性和非延展安全性是等价的。
对于公钥加密和数字签名等方案,我们可以建立相应的安全模型。在相应的安全模型下,定义各种所需的安全特性。对于模型的安全性,目前可用的最好的证明方法是随机预言模型ROM(Random Oracle Model)。在就像其名字所言,它可以证明密码算法设计的有效性。现在,所有出现的标准算法,如果它们能被一些可证明安全性的参数形式所支持,就被人们广泛地接受。就如我们所知道的,一个安全的密码算法最终要依赖于NP问题,真正的安全性证明还远远不能达到。然而,各种安全
是不安全的。
尽管如此,随机预言模型对于分析许多加密和数字签名方案还是很有用的。在一定程度上,它能够保证一个方案是没有缺陷的。
但是,没有ROM,可证明安全性的问题就存在质疑,而它是一个不可忽视的问题。直到现在,这方面仅有很少的研究。
密码学还有许许多多这样的问题。当前,密码学发展时代的到来,给密码学提供了前所未有的发展机遇。在密码理论、密码技术、密码保障、密码管理等方面进行创造性思维,去开辟密码学发展的新纪元才是我们的追求。希望我国的同行们携起手来!
最近几年里,可证明安全性作为一个热点被广泛地研究,面临着挑战和机遇。计算机网络通信技术的发展和信息
21
密码学的发展方向与最新进展
上海交通大学 曹珍富 薛庆水/文
密
密码。
码技术是信息安全的核心技术。如今,计算机网络环境下信息的保密性、完整性、可用性和抗
提高以及密码应用需求不断增长的情况下,迫切需要发展密码理论和创新密码算法。
在2004年信息安全国际会议上,本文第一作者(即曹珍富教授)做了“密码理论中的若干问题”的主题报告,其中也介绍了密码学的最新进展。这在不同程度上代表了当前密码学的发展方向。
1.在线/离线密码学
公钥密码学能够使通信双方在不安全的信道上安全地交换信息。在过去的几年里,公钥密码学已经极大地加速了网络的应用。然而,和对称密码系统不同,非对称密码的执行效率不能很好地满足速度的需要。因此,如何改进效率成为公钥密码学中一个关键的问题之一。
针对效率问题,在线/离线的概念被提出。其主要观点是将一个密码体制分成两个阶段:在线执行阶段和离线执行阶段。在离线执行阶段,一些耗时较多的计算可以预先被执行。在在线阶段,一些低计算量的工作被执行。
2.圆锥曲线密码学
圆锥曲线密码学是1998年由本文第一作者首次提感兴趣的密码算法。在圆锥曲线群上的各项计算比椭圆曲线群上的更简单,一个令人激动的特征是在其上的编码和解码都很容易被执行。同时,还可以建立模n的圆锥曲线群,构造等价于大整数分解的密码。现在已经知道,圆锥曲线群上的离散对数问题在圆锥曲线的阶和椭圆曲线的阶相同的情况下,是一个不比椭圆曲线容易的的研究内容。
抵赖性,都需要采用密码技术来解决。密码体制大体分为对称密码(又称为私钥密码)和非对称密码(又称为公钥密码)两种。公钥密码在信息安全中担负起密钥协商、数字签名、消息认证等重要角色,已成为最核心的
当前,公钥密码的安全性概念已经被大大扩展了。像著名的RSA公钥密码算法、Rabin公钥密码算法和ElGamal公钥密码算法都已经得到了广泛应用。但是,有些公钥密码算法在理论上是安全的,可是在具体的实际应用中并非安全。因为在实际应用中不仅需要算法本身在数学证明上是安全的,同时也需要算法在实际应用中也是安全的。比如,公钥加密算法根据不同的应用,需要考虑选择明文安全、非适应性选择密文安全和适应性选择密码安全三类。数字签名根据需要也要求考虑抵抗非消息攻击和选择消息攻击等。因此,近年来,公钥密码学研究中的一个重要内容——可证安全密码学正是致力于这方面的研究。
消息认证等重要角色,已成为最核心的密码。目前密码的核心课题主要是在结合具体的网络环境、提高运算效率的基础上,针对各种主动攻击行为,研究各种可证安全体制。其中引人注目的是基于身份(ID)密码体制和密码体制的可证安全模型研究,目前已经取得了重要成果。这些成果对网络安全、信息安全的影响非常巨大,例如公在密码分析和攻击手段不断进步,计算机运算速度不断
公钥密码在信息安全中担负起密钥协商、数字签名、出,C.Schnorr认为,除椭圆曲线密码以外这是人们最
钥基础设施(PKI)将会更趋于合理,使其变为ID-PKI。问题。所以,圆锥曲线密码已成为密码学中的一个重要
19
3.代理密码学
代理密码学包括代理签名和代理密码系统。两者都目前,代理密码学的两个重要问题亟需解决。一个是构造不用转换的代理密码系统,这个工作已经被本文第一作者和日本Tsukuba大学的学者进行了一些研究。另外一个是如何来构造代理密码系统的较为合理的可证安全模型,以及给出系统安全性的证明。已经有一些研究者开始在这方面展开工作。
4.密钥托管问题
在现代保密通信中,存在两个矛盾的要求:一个是用户间要进行保密通信,另一个是政府为了抵制网络犯罪和保护国家安全,要对用户的通信进行监督。密钥托管系统就是为了满足这种需要而被提出的。在原始的密钥托管系统中,用户通信的密钥将由一个主要的密钥托管代理来管理,当得到合法的授权时,托管代理可以将其交给政府的监听机构。但这种做法显然产生了新的问题:政府的监听机构得到密钥以后,可以随意地监听用户的通信,即产生所谓的“一次监控,永远监控”问题。另外,这种托管系统中“用户的密钥完全地依赖于可信任的托管机构”的做法也不可取,因为托管机构今天是可信任的,不表示明天也是可信任的。
在密钥托管系统中,法律强制访问域LEAF(LawEnforcement Access Field)是被通信加密和存储的额外信息块,用来保证合法的政府实体或被授权的第三方获得通信的明文消息。对于一个典型的密钥托管系统来说,LEAF可以通过获得通信的解密密钥来构造。为了更趋合理,可以先将密钥分成一些密钥碎片,用不同的密钥托管代理的公钥加密密钥碎片,然后再将加密的密钥碎
片通过门限化的方法合成。以此来达到解决“一次监控,永远监控”和“用户的密钥完全地依赖于可信任的托管信息安全形式问题,通过建立可证安全信息形式模型来界定一般的网上信息形式。
5.基于身份的密码学
基于身份的密码学是由Shamir于1984年提出的。其主要观点是,系统中不需要证书,可以使用用户的标识如姓名、IP地址、电子邮件地址等作为公钥。用户的私钥通过一个被称作私钥生成器PKG(Private KeyGenerator)的可信任第三方进行计算得到。基于身份的数字签名方案在1984年Shamir就已得到。然而,直到2001年,Boneh等人利用椭圆曲线的双线性对才得到Shamir意义上的基于身份的加密体制(IBE)。在此之前,一个基于身份的更加传统的加密方案曾被Cocks提出,但效率极低。目前,基于身份的方案包括基于身份的加密体制、可鉴别身份的加密和签密体制、签名体制、密钥协商体制、鉴别体制、门限密码体制、层次密码体制等。
6.多方密钥协商问题
密钥协商问题是密码学中又一基本问题。
Diffie-Hellman协议是一个众所周知的在不安全的信道上通过交换消息来建立会话密钥的协议。它的安全性基于Diffie-Hellman离散对数问题。然而,Diffie-Hellman协议的主要问题是它不能抵抗中间人攻击,因为它不能提供用户身份验证。
当前已有的密钥协商协议包括双方密钥协商协议、双方非交互式的静态密钥协商协议、双方一轮密钥协商协议、双方可验证身份的密钥协商协议以及三方相对应类型的协议。
提供代理功能,另外分别提供代理签名和代理解密功能。机构”的问题。现在对这一问题的研究产生了构造网上
0
如何设计多方密钥协商协议?存在多元线性函数(双线性对的推广)吗?如果存在,我们能够构造基于多元线性函数的一轮多方密钥协商协议。而且,这种函数如果存在的话,一定会有更多的密码学应用。然而,直到现在,在密码学中,这个问题还远远没有得到解决。目前已经有人开始作相关的研究,并且给出了一些相关的应用以及建立这种函数的方向,给出了这种函数肯定存在的原因。
7.可证安全性密码学
当前,在现有公钥密码学中,有两种被广泛接受的安全性的定义,即语义安全性和非延展安全性。语义安全性,也称作不可区分安全性IND(Indistinguishability),首先由Goldwasser和Micali在1984年提出,是指从给
模型和假设能够让我们来解释所提出的新方案的安全性,按照相关的数学结果,确认基本的设计是没有错误的。
随机预言模型是由Bellare和Rogaway于1993年从Fiat和Shamir的建议中提出的,它是一种非标准化的计算模型。在这个模型中,任何具体的对象例如哈希函数,都被当作随机对象。它允许人们规约参数到相应的计算,哈希函数被作为一个预言返回值,对每一个新的查询,将得到一个随机的应答。规约使用一个对手作为一个程序的子例程,但是,这个子例程又和数学假设相矛盾,例如RSA是单向算法的假设。概率理论和技术在随机预言模型中被广泛使用。
然而,随机预言模型证明的有效性是有争议的。因为哈希函数是确定的,不能总是返回随机的应答。1998
定的密文中,攻击者没有能力得到关于明文的任何信息。年,Canetti等人给出了一个在ROM模型下证明是安全非延展安全性NM(Non-malleability)是由Dolev、的数字签名体制,但在一个随机预言模型的实例下,它Dwork和Naor在1991年提出的,指攻击者不能从给定的密文中,建立和密文所对应的与明文意义相关的明文的密文。在大多数令人感兴趣的研究问题上,不可区分安全性和非延展安全性是等价的。
对于公钥加密和数字签名等方案,我们可以建立相应的安全模型。在相应的安全模型下,定义各种所需的安全特性。对于模型的安全性,目前可用的最好的证明方法是随机预言模型ROM(Random Oracle Model)。在就像其名字所言,它可以证明密码算法设计的有效性。现在,所有出现的标准算法,如果它们能被一些可证明安全性的参数形式所支持,就被人们广泛地接受。就如我们所知道的,一个安全的密码算法最终要依赖于NP问题,真正的安全性证明还远远不能达到。然而,各种安全
是不安全的。
尽管如此,随机预言模型对于分析许多加密和数字签名方案还是很有用的。在一定程度上,它能够保证一个方案是没有缺陷的。
但是,没有ROM,可证明安全性的问题就存在质疑,而它是一个不可忽视的问题。直到现在,这方面仅有很少的研究。
密码学还有许许多多这样的问题。当前,密码学发展时代的到来,给密码学提供了前所未有的发展机遇。在密码理论、密码技术、密码保障、密码管理等方面进行创造性思维,去开辟密码学发展的新纪元才是我们的追求。希望我国的同行们携起手来!
最近几年里,可证明安全性作为一个热点被广泛地研究,面临着挑战和机遇。计算机网络通信技术的发展和信息
21