Security Reduction学习笔记(1):密码系统与安全模型的定义

课件地址:Book (uow.edu.au),原作者声明该课件对人类和外星人免费开放

(￣_￣|| )

b站上郭老师本人录制的中文讲课视频:安全归约（第一讲）_哔哩哔哩_bilibili

博主自制的扫描版:安全归-郭福春_compresd.pdf - 蓝奏云 (lanzoum.com)

现代密码学概念:

现代密码学与经典密码学的区别在于它强调定义(definitions)、模型(models)和证明(proofs).

定义澄清:密码学(Cryptology)= 设计密码学(Cryptography)+分析密码学(Cryptanalysis)

密码系统(Cryptosystem):一个密码系统包含一套算法,该系统提供一个或多个安全服务.(例如"数字签名")

密码方案(Scheme):一个密码系统的具体实现.(例如,"ElGamal签名体系")

以上几个概念的关系:

如何定义密码系统:

以数字签名算法为例

动机(Motivation),或称该算法提供何种安全服务

(例如Alice想让其他人知道某消息 $m$ 是由自己发布的)
涉及哪些实体(Entities)

$(A u t h o r i t y, S i g n e r, V e r i f i e r)$
包含哪些算法

$(S y s G e n, K e y G e n, S i g n, V e r i f y)$
1. 这些算法都是由谁执行的
  
  $S y s G e n (A u t h o r i t y), K e y G e n (S i g n e r), S i g n (S i g n e r), V e r i f y (V e r i f i e r)$
2. 每个算法的输入输出都是什么
  
  $S y s G e n (λ) \to S P$
  
  $K e y G e n (S P) \to (p k, s k)$
  
  $S i g n (S P, s k, m) \to σ_{m}$
  
  $V e r i f y (m, σ_{m}, S P, p k) \to {0, 1}$
必须满足什么正确性
合法生成的签名必须被Verify算法接受,非法生成的签名被Verify算法接受的可能性极小

如何定义安全模型:

安全模型可以看作是对密码系统的多种攻击的抽象。如果所提出的方案在安全模型中是安全的，那么它就可以安全地抵御可以在此安全模型中描述的任何攻击。

使用攻击者(adversary)和防御者(challenger)之间的博弈来描述安全模型.

防御者是一个密码系统中密钥的拥有者.
攻击者试图攻破这个密码系统.

安全模型的定义由如下几部分组成

攻击者与防御者之间的初始化
攻击者的能力(Capabilities)
- 攻击者可以询问什么
- 什么时候攻击者可以询问
安全目标(Security Goal):怎样才算攻破这个密码方案(求解出密钥,伪造合法信息...)
(攻击者拥有的)优势(Advantage):定义一个参数(比如攻击者伪造出合法签名的概率),满足
- 如果这个参数可忽略,则密码系统是安全的
- 如果这个参数不可忽略,则密码系统是不安全的

例:对数字签名的,针对选择明文攻击的,不可伪造性安全模型(EU-CMA)

初始化:

设SP为系统参数,生成密钥对 $(p k, s k)$ ,攻击者获得 $p k$ ,防御者持有 $p k, s k$
攻击者能力:

生成密文 $m$ 发送给防御者,防御者生成 $m$ 的合法签名 $σ_{m}$ 并发送回来,此后,攻击者可根据防御者上一次的回答,自适应地选择下一次发送的密文
安全目标:

攻击者选择一个尚未询问过的 $m^{'}$ ,生成 $σ_{m^{'}}$ ,若能被Verify算法通过,则赢得博弈.
量化的攻击者优势:

$(m^{'}, σ_{m^{'}})$ 被Verify算法接受的概率

关于安全模型的备注:

一个密码系统可能提供多个安全服务.(例如比特承诺(密码协议学习笔记(4):比特承诺 - Isakovsky - 博客园 (cnblogs.com))同时保证隐藏性和绑定性)

那么每个安全服务可能需要不同的安全模型.

当然,一个安全模型也可以涵盖多个安全服务.

安全模型有强(Strong)弱(Weak)之分,越强的安全模型,攻击者拥有的手段越多(比如选择明文攻击模型就比唯密文攻击模型强),要达成的攻击目标越轻松(只要求攻击者伪造信息的模型,相比要求攻击者还原密钥的模型更强).在越强的安全模型下能抵抗攻击,说明这个密码系统越鲁棒.

习题:

在线/离线签名:

动机:

用预计算的方式加速签名的生成
离线模式下,大多数繁重的计算任务可在不知道待签名信息的情况下预计算
在线模式下,可利用离线模式时计算出的信息快速生成签名

尝试为该系统构造密码系统定义和安全模型.

参考答案

在线/离线签名系统定义:

动机:

用预计算的方式加速签名的生成

实体:

$S i g n e r, V e r i f i e r$

执行者与算法:

$S i g n e r : K e y G e n (λ) \to (p k, s k)$

$S i g n e r : O f f l i n e P a r a m G e n (s k) \to p a r a m$

$S i g n e r : O n l i n e S i g n (s k, p a r a m, m) \to σ$

$V e r i f i e r : V e r i f y (p k, m, σ) \to {0, 1}$

要满足的正确性:

合法生成的签名必须被Verify算法接受,非法生成的签名被Verify算法接受的可能性极小

对在线/离线签名的,针对选择明文攻击的,不可伪造性安全模型定义:

初始化:

设 $S P$ 为系统参数,生成密钥对 $(p k, s k)$ ,攻击者获得 $p k$ ,防御者持有 $s k$
防御者使用 $s k$ 生成 $p a r a m$

攻击者能力:

生成密文 $m$ 发送给防御者,防御者生成 $m$ 的合法签名 $σ_{m}$ 并发送回来,此后,攻击者可根据防御者上一次的回答,自适应地选择下一次发送的密文

安全目标:

攻击者选择一个尚未询问过的 $m^{'}$ ,生成 $σ_{m^{'}}$ ,若能被 $V e r i f y$ 算法通过,则赢得博弈.

量化的攻击者优势:

$(p k, m^{'}, σ_{m^{'}})$ 被 $V e r i f y$ 算法接受的概率

基于身份的签名:

动机:

由可信机构生成主密钥对,包括主公钥和主私钥
系统中用户可申请一个个人密钥对,个人公钥就是用户身份,例如用户Alice的个人公钥就是 $I D = " A l i c e "$ ,而个人私钥则是通过主密钥对和个人公钥生成的.
用户可通过个人密钥对,对消息进行签名
验证者可通过主公钥和签名者的个人公钥,验证签名的有效性

尝试为该系统构造密码系统定义和安全模型.

参考答案

基于身份的签名系统定义:

动机:

用户直接将其 $I D$ 作为公钥,私钥则是可信机构使用用户 $I D$ 生成的

实体:

$C A, S i g n e r, V e r i f i e r$

执行者与算法:

$C A : S e c r e t K e y G e n (S P, I D) \to (s k)$

$S i g n e r : S i g n (s k, m) \to σ$

$V e r i f i e r : V e r i f y (I D, m, σ) \to {0, 1}$

要满足的正确性:

身份为 $I D$ 的用户合法生成的签名,连同它的 $I D$ 一起,必须 $V e r i f y$ 算法接受,非法生成的签名被 $V e r i f y$ 算法接受的可能性极小

基于身份的的签名,针对选择ID攻击的,任意ID对应的签名不可伪造性安全模型定义(较强的模型):

初始化:

设 $S P$ 为系统参数

攻击者能力:

生成用户 $I D$ 发送给防御者,防御者生成 $I D$ 对应的密钥 $s k$ 并发送回来(攻击者自然可以通过此 $s k$ 任意生成签名),此后,攻击者可根据防御者上一次的回答,自适应地选择下一次发送的 $I D$

安全目标:

攻击者选择一个尚未询问过的 $I D^{'}$ ,选择一个明文 $m$ ,然后生成一个签名 $σ_{m^{'}}$ ,若 $(I D^{'}, m, σ_{m^{'}})$ 能被 $V e r i f y$ 算法通过,则赢得博弈.

量化的攻击者优势:

$(I D^{'}, m, σ_{m^{'}})$ 被 $V e r i f y$ 算法接受的概率

基于身份的的签名,针对选择明文攻击的,固定ID对应的签名不可伪造性安全模型定义(较弱的模型):

初始化:

设 $S P$ 为系统参数, $I D$ 为用户身份,防御者生成 $I D$ 对应的 $s k$ ,将 $I D$ 发送给攻击者

攻击者能力:

生成明文 $m$ 发送给防御者,防御者生成签名 $σ_{m}$ 并发送回来,此后,攻击者可根据防御者上一次的回答,自适应地选择下一次发送的明文

安全目标:

攻击者选择一个尚未询问过的明文 $m^{'}$ ,然后生成一个签名 $σ_{m^{'}}$ ,若 $(I D, m, σ_{m^{'}})$ 能被 $V e r i f y$ 算法通过,则赢得博弈.

量化的攻击者优势:

$(I D, m, σ_{m^{'}})$ 被 $V e r i f y$ 算法接受的概率

公钥加密:

动机:

Bob要向Alice发送消息,但它们之间没有共享密钥
Alice生成一个密钥对 $p k, s k$ ,将 $p k$ 发送给Bob
Bob将密文 $m$ 使用 $p k$ 加密为 $c$ ,将 $c$ 发送给Alice
Alice使用 $s k$ 将 $c$ 解密为 $m$

尝试为该系统构造密码系统定义和安全模型.

参考答案

公钥加密系统定义:

动机:

在没有共享密钥的情况下,使用公钥加密实现加密通信

实体:

$A l i c e, B o b$

执行者与算法:

$A l i c e : K e y G e n (λ) \to (p k, s k)$

$B o b : E n c (p k, m) \to c$

$A l i c e : D e c (p k, c) \to m$

要满足的正确性:

只有持有正确私钥的用户才能完成对密文的解密,不持有对应私钥的用户无法完成解密

公钥加密系统,针对选择密文攻击的,秘密性安全模型:

初始化:

设 $λ$ 为系统参数,防御者生成 $p k, s k$ ,将 $p k$ 发送给攻击者

攻击者能力:

生成密文 $c$ 发送给防御者,防御者将其解密为 $m$ 并发送回来,此后,攻击者可根据防御者上一次的回答,自适应地选择下一次发送的密文

安全目标:

防御者生成明文 $m^{'}$ ,将其加密为 $c^{'}$ 并发送给攻击者,攻击者回复一个 $m^{″}$ ,若 $m^{″} = m^{'}$ ,则赢得博弈.

量化的攻击者优势:

$m^{″} = m^{'}$ 的概率

基于身份的加密:

动机:

由可信机构生成主密钥对,包括主公钥和主私钥
系统中用户可申请一个个人密钥对,个人公钥就是用户身份,例如用户Alice的个人公钥就是 $I D = " A l i c e "$ ,而个人私钥则是通过主密钥对和个人公钥生成的.
另一个用户Bob要向Alice发送消息 $m$ 时,使用主公钥和Alice的个人公钥将消息加密为 $c$
Alice收到后,使用个人私钥和主公钥提取消息 $m$

尝试为该系统构造密码系统定义和安全模型.

参考答案

基于身份的加密系统定义:

动机:

用户直接将其ID作为公钥,私钥则是可信机构使用用户ID生成的

实体:

$C A, A l i c e, B o b$

执行者与算法:

$C A : S e c r e t K e y G e n (S P, I D) \to (s k)$

$B o b : E n c (I D, m) \to c$

$A l i c e : D e c (s k, c) \to m$

要满足的正确性:

只有持有正确对应 $I D$ 私钥的用户才能完成对密文的解密,不持有对应私钥的用户无法完成解密

公钥加密系统,针对选择密文攻击的,秘密性安全模型:

初始化:

设 $S P$ 为系统参数,防御者生成 $I D, s k$ ,将 $I D$ 发送给攻击者

攻击者能力:

生成密文 $c$ 发送给防御者,防御者将其解密为 $m$ 并发送回来,此后,攻击者可根据防御者上一次的回答,自适应地选择下一次发送的密文

安全目标:

防御者生成明文 $m^{'}$ ,将其加密为 $c^{'}$ 并发送给攻击者,攻击者回复一个 $m^{″}$ ,若 $m^{″} = m^{'}$ ,则赢得博弈.

量化的攻击者优势:

$m^{″} = m^{'}$ 的概率

基于身份广播的加密:

动机:

基于身份的加密的扩展
使用一组 $n$ 个用户的身份来加密信息
如果任何用户的身份在该集合中,则该用户可使用自己的私钥解密
密文长度应当为 $n$ 的亚线性级,否则不如干脆直接发送 $n$ 个用不同用户公钥生成的密文.

尝试为该系统构造密码系统定义和安全模型.

参考答案

基于身份广播的加密系统定义:

动机:

用户直接将其ID作为公钥,私钥则是可信机构使用用户ID生成的

实体:

$C A, A l i c e, B o b$

执行者与算法:

$C A : S e c r e t K e y G e n (S P, I D) \to (s k)$

$B o b : E n c (I D s = {I D_{0}, I D_{1}, \dots}, m) \to c$

$A l i c e : D e c (s k_{i}, c) \to m$

要满足的正确性:

对于广播集合,只有持有与其中任意一个 $I D$ 对应的私钥的用户才能完成对密文的解密,不持有对应私钥的用户无法完成解密

公钥加密系统,针对选择密文攻击的,秘密性安全模型:

初始化:

设 $S P_{0}, S P_{1}, \dots$ 为一组系统参数,防御者生成 $(I D_{0}, s k_{0}), (I D_{1}, s k_{1}), \dots$ ,将 $I D_{0}, I D_{1}, \dots$ 发送给攻击者

攻击者能力:

生成密文 $c$ 发送给防御者,防御者使用所有私钥 $s k_{0}, s k_{1}, \dots$ 将其解密为 $m_{0}, m_{1}, \dots$ 并发送回来,根据攻击者在生成时,作为参数输入的用户组,这些明文可能有的合法,有的非法,此后,攻击者可根据防御者上一次的回答,自适应地选择下一次发送的密文

安全目标:

防御者生成明文 $m^{'}$ ,使用任意的用户组将其加密为 $c^{'}$ 并发送给攻击者,攻击者回复一个 $m^{″}$ ,若 $m^{″} = m^{'}$ ,则赢得博弈.

量化的攻击者优势:

$m^{″} = m^{'}$ 的概率

posted @ 2023-10-15 21:37 Isakovsky 阅读(317) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· 密码协议学习笔记(1.5):几种常用的非对称密码体系

· 密码协议学习笔记(1):密码协议引论与密码学基础

· 安全规约-第一讲

· 《密码工程》第1、2章学习笔记

· 20211121杨博川《密码工程》1、2章笔记

阅读排行：
· 分享一个免费、快速、无限量使用的满血 DeepSeek R1 模型，支持深度思考和联网搜索！
· 25岁的心里话
· 基于 Docker 搭建 FRP 内网穿透开源项目（很简单哒）
· ollama系列01：轻松3步本地部署deepseek，普通电脑可用
· 按钮权限的设计及实现

公告

昵称： Isakovsky
园龄： 5年7个月
粉丝： 12
关注： 1

+加关注

2025年3月

日

一

二

三

四

五

六

Isakovsky

AfACMer,北京理工大学,网络空间安全学院,PhD在读 博客所有内容遵循CC0协议,但建议转载时附上原博客链接.

Security Reduction学习笔记(1):密码系统与安全模型的定义

现代密码学概念:

如何定义密码系统:

如何定义安全模型:

例:对数字签名的,针对选择明文攻击的,不可伪造性安全模型(EU-CMA)

关于安全模型的备注:

习题:

在线/离线签名:

在线/离线签名系统定义:

动机:

实体:

执行者与算法:

要满足的正确性:

对在线/离线签名的,针对选择明文攻击的,不可伪造性安全模型定义:

初始化:

攻击者能力:

安全目标:

量化的攻击者优势:

基于身份的签名:

基于身份的签名系统定义:

动机:

实体:

执行者与算法:

要满足的正确性:

基于身份的的签名,针对选择ID攻击的,任意ID对应的签名不可伪造性安全模型定义(较强的模型):

初始化:

攻击者能力:

安全目标:

量化的攻击者优势:

基于身份的的签名,针对选择明文攻击的,固定ID对应的签名不可伪造性安全模型定义(较弱的模型):

初始化:

攻击者能力:

安全目标:

量化的攻击者优势:

公钥加密:

公钥加密系统定义:

动机:

实体:

执行者与算法:

要满足的正确性:

公钥加密系统,针对选择密文攻击的,秘密性安全模型:

初始化:

攻击者能力:

安全目标:

量化的攻击者优势:

基于身份的加密:

基于身份的加密系统定义:

动机:

实体:

执行者与算法:

要满足的正确性:

公钥加密系统,针对选择密文攻击的,秘密性安全模型:

初始化:

攻击者能力:

安全目标:

量化的攻击者优势:

基于身份广播的加密:

基于身份广播的加密系统定义:

动机:

实体:

执行者与算法:

要满足的正确性:

公钥加密系统,针对选择密文攻击的,秘密性安全模型:

初始化:

攻击者能力:

安全目标:

量化的攻击者优势:

公告

搜索

常用链接

随笔分类

随笔档案

阅读排行榜

评论排行榜

推荐排行榜

最新评论

AfACMer,北京理工大学,网络空间安全学院,PhD在读博客所有内容遵循CC0协议,但建议转载时附上原博客链接.