基于适应性选择密文不可区分性的抗辅助输入泄漏公钥加密方案

基于适应性选择密文不可区分性的抗辅助输入泄漏公钥加密方案

作者：王占君 马海英 王金华 来源：《计算机应用》2014年第05期

摘要：现有的抗辅助输入公钥加密方案仅满足选择明文攻击（INDCPA）安全性，难以满足实际应用的安全需求。基于判定性DiffieHellman （DDH）假设下CS 98加密方案和域GF（q）上GoldreichLevin定理，构造出一种新型的抗辅助输入泄漏的公钥加密方案。该方案满足适应性选择密文不可区分性（INDCCA2）安全性，允许攻击者利用辅助输入泄漏信息攻击挑战密文时询问解密预言机。与BHHO加密方案相比，尽管加密/解密运算量都增加了近一倍，却实现了更加严格的INDCCA2安全性。

关键词：公钥加密；辅助值输入；适应性选择密文不可区分性；GoldreichLevin定理 中图分类号：TP309 文献标志码：A 0引言

现代密码学假定所有攻击者均不能获知用户密钥的任何信息，且要求用户密钥在不同系统中独立选取。然而，在实际应用中，攻击者往往可以利用能量消耗、冷启动等各种边信道攻击获知密钥的部分信息，或者用户在不同密码系统中使用相同的密钥或秘密随机值也会造成部分密钥信息的泄漏。

近年来，学者们针对这些攻击提出了许多不同的泄漏模型[1-9]。2009年Akavia等[1]在密码学理论会议（Theory of Cryptography Conference， TCC）上首先提出了有界泄漏模型，为了模拟密钥（Secret Key， SK）泄漏，攻击者可以选择任意可计算性函数 f： SK → {0，1}*， 并得到关于SK的输出结果（显然，必要的限制是攻击者所选函数f不能完全暴露密钥）；该模型[1， 5]要求所有可计算泄漏函数f的输出长度总和不能超过预定的边界值（该值必须小于密钥长度，且是它的某个分数倍）。Naor[2]提出了有噪泄漏模型，减少了对泄漏函数f限制，允许攻击者获知更多的泄漏信息。为进一步放松对泄漏函数f的限制。2009年Dodis等[3]在计算机理论研讨会（Symposium on Theory of Computing， STOC）上提出了辅助值输入泄漏模型，攻击者能够获知不少于密钥长度的泄漏信息，唯一的限制是任意泄漏函数f可逆的概率都是可忽略的，即攻击者利用泄漏信息f（SK）仅能以可忽略的优势计算出密钥SK；同时，Dodis等[3]构造出选择明文/密文安全的抗辅助输入泄漏的对称加密方案。2010年Dodis等[4]在TCC会议上将辅助输入泄漏模型扩展到公钥加密体制中，基于误差学习假设和判定性DiffieHellman （Decisional DiffieHellman， DDH）假设，构建了3个抗辅助输入泄漏的公钥加

龙源期刊网 http://www.qikan.com.cn

密方案；然而这些方案仅满足选择明文攻击安全性（Indistinguishability under Chosen Plaintext Attack， INDCPA），即在利用泄漏信息试图攻破挑战密〖HJ1.4mm〗文时，不允许攻击者询问解密预言机。尽管INDCPA安全的公钥加密方案具有一定的理论研究价值，但是在实际应用中往往允许攻击者询问解密预言机，且适应性选择密文不可区分性（Indistinguishability under Adaptive Chosen Ciphertext Attack， INDCCA2）的安全性已成为公钥加密系统的实用性标准。因此，构造INDCCA2抗辅助值输入的公钥加密方案将是一项非常有意义的研究工作。 本文首先给出抗辅助输入公钥加密的INDCCA2安全性定义。通过修改CS 98公钥加密方案[10]，将辅助值输入泄漏模型扩展到该方案中，基于DDH假设和域GF（q）上

GoldreichLevin定理[4]，构造出一种具体的INDCCA2抗辅助值输入泄漏的公钥加密方案，在利用泄漏信息试图攻破挑战密文时，允许攻击者询问解密预言机，实现了更严格安全性定义下的抗辅助值输入的公钥加密机制。