第9章 基于身份的公钥密码体制.

Slides:



Advertisements
Similar presentations
苗付友 年 12 月.
Advertisements

2.5 函数的微分 一、问题的提出 二、微分的定义 三、可微的条件 四、微分的几何意义 五、微分的求法 六、小结.
PKI基础.
中小学教育网课程推荐网络课程 小学:剑桥少儿英语 小学数学思维训练 初中:初一、初二、初三强化提高班 人大附中同步课程
学习情境4-2 网上交易安全问题 ——数据加密技术
全国高等职业教育计算机类规划教材 实例与实训教程系列 网络安全应用技术 密码技术.
3.4 空间直线的方程.
學生兼任勞動型助理(工讀生) 勞健保投保作業說明會
經費核銷說明 101年3月28日.
第四章 公钥密码 本科生必修课《现代密码学》 主讲教师:董庆宽 副教授 研究方向:密码学与信息安全
计算机网络(第 5 版) 第 7 章 网络安全 课件制作人:谢希仁.
安全协议理论与方法 第一章 引论.
引入 在开放的、非安全的网络上如何安全的传送数据? 我怎么确认你发给我的文件没被别人篡改过?.
現代華文小說選讀 授課老師:楊翠
06学年度工作意见 2006年8月30日.
(第十四讲) 认证 张焕国 武汉大学计算机学院
计算机网络安全 第五章.
身心障礙者業務簡介 報告人:林美凰 98年8月27日.
第一次世界大战的时候,一位法国飞行员在2 000 m高空飞行的时候,发现脸旁有一个小玩意儿在游动着,飞行员以为这是一只小昆虫,敏捷地把它一把抓了过来,令他吃惊的是,他发现他抓到的竟是一颗德国子弹!     问题:大家都知道,子弹的飞行速度是相当快的,这名法国飞行员为什么会有这么大的本领呢?为什么飞行员能抓到子弹?
《现代密码学》第10章 密钥管理与密钥分配.
第5章 定积分及其应用 基本要求 5.1 定积分的概念与性质 5.2 微积分基本公式 5.3 定积分的换元积分法与分部积分法
前 言.
第十六章 计算机密码学.
第二章 导数与微分 第二节 函数的微分法 一、导数的四则运算 二、复合函数的微分法.
实验十二、PKI的部署和安全应用 实验开发教师:郑方伟 谌黔燕 佘 堃.
现代密码学理论与实践 第10章 密钥管理和其他公钥密码体制
第十讲公钥加密算法 (续) 公钥密码(续) RSA \ ElGamal algorithms.
网络与系统安全实验 一 传统加密技术 古典密码技术.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
现代密码学理论与实践 第15章 电子邮件的安全 Fourth Edition by William Stallings
数字签名与身份认证 本章内容: 数字签名 鉴别协议 数字签名标准 身份认证技术.
走进编程 程序的顺序结构(二).
第五章 数字签名.
Cyclic Hanoi问题 李凯旭.
Online job scheduling in Distributed Machine Learning Clusters
现代密码学理论与实践 第9章 公钥密码学与RSA
第2讲 密码学简介 苏兆品.
3.4 概率公钥系统 虽然可以通过在明文后面附上随机生成指定长度的字符串挫败上述攻击,但是要付出时空代价。
2019/2/24 标准模型下的并行强密钥隔离签名方案 于佳 青岛大学 2019年2月24日星期日.
第 5 章 加密与认证技术 本章学习目标: 掌握加密通信的系统模型 了解密码学知识及常见的密码体制 了解三种网络加密方法的特点
C++语言程序设计 C++语言程序设计 第七章 类与对象 第十一组 C++语言程序设计.
第二章 经典密码学 加密通信的模型 Oscar x x y Alice 加密机 解密机 Bob k 安全信道 密钥源.
信息安全 第四章 密钥管理与分配技术 /4/9.
第3章 密钥分配与管理.
第四章 电子商务的安全认证体系 本章主要内容 本章要点 4.1身份认证与认证体系 4.2身份认证协议 4.3数字证书与认证机构
第二十二章 曲面积分 §1 第一型曲面积分 §2 第二型曲面积分 §3 高斯公式与斯托克斯公式.
线 性 代 数 厦门大学线性代数教学组 2019年4月24日6时8分 / 45.
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
复习.
IT 安全 第 11节 加密控制.
第十章 双线性型 Bilinear Form 厦门大学数学科学学院 网址: gdjpkc.xmu.edu.cn
定理21.9(可满足性定理)设A是P(Y)的协调子集,则存在P(Y)的解释域U和项解释,使得赋值函数v(A){1}。
iSIGHT 基本培训 使用 Excel的栅栏问题
§6.7 子空间的直和 一、直和的定义 二、直和的判定 三、多个子空间的直和.
计算机问题求解 – 论题4-4 - 密码算法 2017年04月05日.
1.设A和B是集合,证明:A=B当且仅当A∩B=A∪B
多层循环 Private Sub Command1_Click() Dim i As Integer, j As Integer
第3章 密码技术 教学提示:上一章我们已经学习了协议安全的有关知识,本章将介绍与密码算法相关的一些知识,包括其基本概念和简单的实现方法。
教育部特殊教育通報網 學生異動、接收操作說明.
RSA算法 夏之冰雪.
2.2矩阵的代数运算.
第15讲 特征值与特征向量的性质 主要内容:特征值与特征向量的性质.
《离散结构》 二元运算性质的判断 西安工程大学计算机科学学院 王爱丽.
§2 方阵的特征值与特征向量.
定义5 把矩阵 A 的行换成同序数的列得到的矩阵,
第四节 向量的乘积 一、两向量的数量积 二、两向量的向量积.
第十七讲 密码执行(1).
第十二讲 密码执行(上).
§2 自由代数 定义19.7:设X是集合,G是一个T-代数,为X到G的函数,若对每个T-代数A和X到A的函数,都存在唯一的G到A的同态映射,使得=,则称G(更严格的说是(G,))是生成集X上的自由T-代数。X中的元素称为生成元。 A变, 变 变, 也变 对给定的 和A,是唯一的.
App 加密算法建议 Possible lab 土豪军 小陈.
Presentation transcript:

第9章 基于身份的公钥密码体制

9.1 公钥认证方法 1976年,Diffie和Hellman提出了公钥密码体制,解决了单钥密码体制中最难解决的两个问题:密钥分配和数字签名。在公钥密码体制中,每个用户拥有两个密钥:私钥和公钥,其中只有私钥由用户秘密保存,公钥可以由一个证书权威(certificate authority, CA)保存在一个公钥目录中。然而,公钥密码体制易受到“公钥替换”攻击,即攻击者用自己选定的假公钥替换一个公钥目录中真实的公钥。当一个用户用这个假公钥加密一个消息时,这个攻击者就可以正确地解密。因此,我们需要让用户的公钥以一种可验证和可信的方式与用户的身份信息关联起来。目前,认证用户的公钥有三种方法:基于证书的方法、基于身份的方法和基于自证明的方法。事实上,我们可以根据公钥认证方法的不同,把公钥密码体制分为基于证书的公钥密码体制、基于身份的公钥密码体制和基于自证明的公钥密码体制 。

1 基于证书的公钥密码体制 每个用户的公钥都伴随一个公钥证书,这个公钥证书由CA签发。公钥证书是一个结构化的数据记录,它包括了用户的身份信息、公钥参数和CA的签名。任何人都可以通过验证证书的合法性(CA的签名)来认证公钥。如果一个用户信任CA,那么,在他验证了另一个用户的证书的有效性后,他就应该相信公钥的真实性。

基于证书的公钥密码体制缺点 使用任何公钥前都需要先验证公钥证书的合法性,增加了用户的计算量; CA需要管理大量的证书,包括证书的撤销、存储和颁发。

2.基于身份的公钥密码体制 为了简化密钥管理,Shamir于1984年首次提出了基于身份的密码体制(identity-based cryptography)的概念。在基于身份的密码体制中,用户的公钥可以根据用户的身份信息(姓名、身份证号码、电话号码、E-mail地址等)直接计算出来,用户的私钥则是由一个称为私钥生成中心(private key generator, PKG)的可信方生成。基于身份的密码体制取消了公钥证书,减少了公钥证书的存储和合法性验证。但是,基于身份的密码体制有一个致命的缺点,所有用户的私钥都由PKG生成。PKG知道所有用户的私钥不可避免地引起密钥托管问题,因此,PKG可以容易地冒充任何用户,且不被发现。在一个基于身份的加密方案中,PKG可以解密任何密文,在一个基于身份的签名方案中,PKG可以伪造任何消息的签名。自1984年以来,相继提出了许多实用的基于身份的签名方案,但一个满意的基于身份的加密方案直到2001年才被找到。

3.基于自证明的公钥密码体制 1991年,Girault提出了自证明公钥(self-certified public keys)的概念。在基于自证明的公钥密码体制中,用户的公钥是从CA对该用户的私钥与身份的签名中推导出来的,也就是说,CA和用户合作产生公钥,但CA并不知道用户的私钥。用户的公钥不必有单独认证的证书,公钥的认证同接下来的一些密码协议(如密钥交换协议、签名、加密等)一起完成。比如说,认证签名者的公钥与验证此人的签名在一个验证方程式中完成,如果说通过了这个验证,那么公钥和签名将被同时验证。2003年,Al-Riyami和Paterson提出的无证书公钥密码体制(certificateless public key cryptography)在本质上与基于自证明的公钥密码体制是相同的。

基于自证明的公钥密码体制优点 由于不需要证书,降低了存储空间和通信成本; 由于不需要公钥验证,减少了计算量; 与基于证书的公钥密码体制相比,由于不需要维护公钥证书目录,基于自证明的公钥密码体制更加高效。与基于身份的公钥密码体制相比,由于CA并不知道用户的私钥,基于自证明的公钥密码体制更加安全。

公钥密码体制三个信任标准 信任标准1:CA知道(或者可以轻松得到)用户的私钥,因而可以冒充用户,且不被发现。 信任标准3:CA不知道用户的私钥(或者不能轻松得到),如果CA产生一个假的证书冒充用户,他将被发现。

9.2 基于身份的加密体制

双线性对 令G1为由P生成的循环加法群,阶为q,G2为具有相同阶q的循环乘法群,a、b是中的元素。假设G1和G2这两个群中的离散对数问题都是困难问题。双线性对是指满足下列性质的一个映射: ① 双线性性:对所有P, Q∈G1, 。 ② 非退化性:存在P, Q∈G1,使得。 ③ 可计算性:对所有的P, Q∈G1,存在有效的算法计算。

相关难问题 (1)计算性Diffie-Hellman问题(Computational Diffie-Hellman Problem, CDHP)给定(P, aP, bP),计算abP∈G1,这里是未知的整数。 (2)判定性Diffie-Hellman问题(Decisional Diffie-Hellman Problem, DDHP)给定(P, aP, bP, cP),判断c = ab mod q是否成立,这里是未知的整数。如果(P, aP, bP, cP)满足这个条件,我们称它为一个“Diffie-Hellman元组”。 (3)双线性Diffie-Hellman问题(Bilinear Diffie-Hellman Problem, BDHP)给定(P, aP, bP, cP),计算,这里是未知的整数。 (4)判定性双线性Diffie-Hellman问题(Decisional Bilinear Diffie-Hellman Problem, DBDHP)给定(P, aP, bP, cP)和h∈G2,判断是否成立,这里是未知的整数。 容易看出,在G1中的DDHP是容易的。已知(P, aP, bP, cP),判断c = ab mod q是否成立等价与判断下式是否成立:

Boneh-Franklin加密体制 (1)系统建立 设G1为由P生成的循环加法群,阶为q,G2为具有相同阶q的循环乘法群,:为一个双线性映射。明文空间为{0,1}n,密文空间为。定义两个安全的哈希函数:和:。PKG随机选择一个主密钥,计算Ppub=sP。PKG公开系统参数{G1, G2, q, n, ê, P, Ppub, H1, H2},保密主密钥s。 (2)密钥提取 给定一个用户的身份ID,PKG计算该用户的私钥SID=sQID并把此值安全地发送给该用户,其中QID =H1 (ID)为该用户的公钥。 (3)加密 对于明文m∈{0,1}n,首先随机选取一个整数,然后计算: 则密文c =(U, V)。 (4)解密 为了解密一个密文c =(U, V),计算:

9.3基于身份的签名体制 2002年,Hess提出了一个基于身份的签名方案,由四个算法组成:系统建立、密钥提取、签名和验证。

1.系统建立 设G1为由P生成的循环加法群,阶为q,G2为具有相同阶q的循环乘法群, : 为一个双线性映射。定义两个安全的哈希函数 : 和 : 。PKG随机选择一个主密钥 ,计算Ppub=sP。PKG公开系统参数{G1, G2, q, ê, P, Ppub, H1, H2},保密主密钥s。 2.密钥提取 给定一个用户的身份ID,PKG计算该用户的私钥SID=sQID并把此值安全地发送给该用户,其中QID=H1(ID)为该用户的公钥。 3.签名 对于消息m,首先随机选取一个整数,然后计算: 则m的签名为(u, v)。 4.验证 对于消息签名对(m, (u, v)),首先计算: 然后验证:

9.4基于身份的密钥协商协议 1.系统建立 设G1为由P生成的循环加法群,阶为q,G2为具有相同阶q的循环乘法群,:为一个双线性映射。定义一个安全的哈希函数:和一个密钥导出函数V。PKG随机选择一个主密钥,计算Ppub=sP。PKG公开系统参数{G1, G2, q, ê, P, Ppub, H1, V},保密主密钥s。 2.密钥提取 给定一个用户的身份ID,PKG计算该用户的私钥SID = sQID并把此值安全地发送给该用户,其中QID=H1(ID)为该用户的公钥。在这里我们设用户A的身份为IDA,公钥为QA,私钥为SA,用户B的身份为IDB,公钥为QB,私钥为SB。

9.4基于身份的密钥协商协议 3.密钥交换。 如果用户A和B想协商出一个密钥,他们执行以下步骤: ① A随机选取,计算TA=aP,并将TA发送给B。 ② B随机选取,计算TB=bP,并将TB发送给A。 ③ A计算 。 ④ B计算 。 这样用户A和B就建立了一个共享密钥k = V(kA)= V(kB)。

9.5基于身份的签密体制 2003年,Libert和Quisquater提出了一个基于身份的签密方案,由四个算法组成:系统建立、密钥提取、签密和解签密。

1.系统建立 设G1为由P生成的循环加法群,阶为q,G2为具有相同阶q的循环乘法群,:为一个双线性映射。明文空间为{0,1}n,E和D分别表示一个对称密码体制(如AES)的加密和解密算法。定义三个安全的哈希函数:、:和:。PKG随机选择一个主密钥,计算Ppub=sP。PKG公开系统参数{G1, G2, q, n, ê, P, Ppub, H1, H2, H3, E, D},保密主密钥s。 2.密钥提取 给定一个用户的身份ID,PKG计算该用户的私钥SID=sQID并把此值安全地发送给该用户,其中QID=H1(ID)为该用户的公钥。在这里我们设发送者的身份为IDA,公钥为QA,私钥为SA,接收者的身份为IDB,公钥为QB,私钥为SB。 3.签密 对于消息m,发送者执行以下步骤: ① 随机选择。 ② 计算和。 ③ 计算和。 对消息m的签密密文为(c, r, S)。 4.解签密 当收到签密密文(c, r, S)时,接收者执行以下步骤: ① 计算。 ② 计算。 ③ 计算。 ④ 当且仅当r=H3(c, k1)成立时接受该密文。

安全性 Libert和Quisquater给出了方案在随机预言模型下的安全性证明。对于保密性,在DBDHP是困难的假设下,该方案对适应性选择密文攻击是安全的;对于不可伪造性,在CDHP是困难的假设下,该方案在适应性选择消息攻击下能够抵抗存在性伪造。