可证明安全公钥签密理论

第1章绪论 1.1信息安全概述 信息安全（information security，IS）的保障能力是21世纪经济竞争力、生存 能力、综合国力的重要组成部分。信息安全技术能防御信息侵略和对抗霸权主义。信息是战略资源和决策之源，信息必须要安全可信，如果信息不安全，错误的信息则会起到很大的反作用。解决不好信息安全问题，国家就会处于信息战、信息恐怖和经济风险等威胁之中。没有网络安全就没有国家安全；没有信息化就没有现代化。不强化网络化信息安全保障，不解决信息安全的问题，信息化不可能持续健康发展。 人们从事各项活动往往需要借助互联网，无时无刻面临着或者难以避免各种信息安全威胁。如今信息安全问题日益突出，信息安全威胁的事件频繁在媒体上报道，信息安全形势不容乐观，严重威胁着人们正常生活甚至国家安全。 信息安全可使计算机信息系统的硬件、软件、网络及其系统中的数据受到保护，不因偶然的或恶意的原因遭到破坏、更改、泄露，保障系统连续可靠正常运行并使信息服务不中断。信息安全技术可确保信息不暴露给未授权实体或进程，只有得到授权的实体才可修改数据和辨别数据是否已被修改；可保证得到授权的实体在需要时能访问数据，攻击者不能占用所有资源阻碍授权者的工作；可控制授权范围内的信息流向、信息传播、信息内容等，信息资源的访问是可控的，网络用户的身份是可验证的，用户活动记录是可审计的；可防止信息通信过程中的任何参与方否认过去执行过的操作。 信息安全不得不面临很多自然或人为的威胁，自然威胁来自各种各样的自然灾害、电磁辐射或电磁干扰、网络设备老化等事件，这些事件会影响信息存储介质、威胁信息的安全。人为威胁含信息泄露、破坏信息完整性、拒绝服务、非授权访问、旁路控制、业务流分析、窃听、假冒、授权侵犯、抵赖等。 随着网络的普及和信息技术的广泛应用，网络信息安全问题存在于国家层面，也与每个人息息相关，使得网络信息安全成为全社会关注的问题。我国网络信息安全人才需求快速扩张，供应严重不足，网络信息安全人才培养非常重要。实战型人才储备不足、专业人才流失、人才成长和培养落后于社会变革速度等问题逐渐显现。伴随着国内经济的高速回温、网络业务重要性不断提升，人才缺口持续拉大。我国目前的网络信息安全人才建设进入复杂阶段，除数量供给不足，人才质量也很难满足社会需求，缺乏敏锐的安全意识和实战攻防的经验，尤其能分析与解决复杂安全问题和高级别安全威胁的高层次专业人才严重紧缺，各个区域网络信息安全领域人才供求存在很大差异。各个区域网络信息安全人才招聘规模占比各不相同，人才需求在不同区域快速扩张，供应不足现象严重。2021年多个城市网络安全人才需求量如图1-1所示。据清华大学王传毅老师介绍，以信息安全、大数据、云计算、人工智能等为代表的信息技术产业的人才缺口150万，到2050年人才缺口会达到950万。 1.2密码理论 信息安全涉及密码科学与技术、网络空间安全、计算机科学与技术、信息与通信、信息对抗技术、信息编码理论、数学、物理、生物、管理、法律、教育、数据库系统、操作系统等诸多学科。其中，密码科学与技术是信息安全的灵魂。 密码学在信息安全领域起着举足轻重的作用。密码学含密码分析学和密码编码学两个分支，二者相互对立又相互依存，推动了密码学自身的快速发展。密码分析学是破译密码的科学，是在不知道密钥的情况下从密文推导出原始明文或密钥的技术。密码编码学是对明文进行编码的科学，保护信息在网络传递过程中不被窃取、解读和利用。网络上应用的公钥加密、数字签密、网络编码密码、区块链密码、抗量子计算密码等，都是使用密码学理论设计的。密码科学与技术的应用非常广泛，各国政府都非常重视密码科学与技术的研究和应用。 密码学是信息安全的核心和基础。密码系统是密码学用来提供信息安全服务的原语。密码系统分为对称密码系统和非对称密码系统。对称密码系统又称为单钥密码系统或私钥密码系统，加解密的密钥是保密的、不公开的。公钥密码系统出现前，对称密码系统的安全性通过对密钥和加密算法的保密来保障。对称密码系统的代价昂贵，主要用于军事、政府和外交等机要部门。对称密码系统中加密和解密的密钥是相同的，通常使用的加密算法简单高效、密钥短、安全性高，然而，传送密钥和保管密钥是个严峻的问题。 1976年Diffie和Heilman发表的论文《密码学的新方向》是公钥密码诞生的标志，在密码学发展史上具有里程碑意义。公钥密码可实现发送方和接收方之间不需要传递密钥的保密通信。公钥密码系统（public key cryptosystem，PKC）又称为双钥密码系统或非对称密码系统，PKC解决了对称密码系统中*难的密钥分配问题和数字签名问题，加密密钥即公钥（public key）和解密密钥即私钥（private key）是不同的，公钥公开，私钥保密。公钥密码系统模型如图1-2所示。 1.3公钥签密理论 密码系统可确保通信各方在不安全的信道中安全传输信息。保密性和认证性是密码学提供信息安全服务的重要内容，是数字签密体制形式化定义的基本安全概念。保密性可保证信息只为授权用户使用而不能泄露给未授权用户。认证性可防止通信各方否认以前的许诺或行为。加密能使可读的明文信息变换为不可读的密文信息，签名能保证接收者确认数据的完整性和签名者的身份。信息技术的快速发展，仅靠加密或签名无法满足安全需求，在密码学实际应用中往往需要整合加密和签名。 传统的先签名后加密的方法能提供保密性和认证性两个安全目标，计算量和通信成本是加密和签名的代价之和，计算复杂度高。数字签密（digitalsigncryption）作为整合加密和签名的代表性密码算法，在一个逻辑步骤中对传输信息的签名和加密是同时进行的，从而在很大程度上降低了信息在传输过程中进行密码操作所需要的时间开销，比起传统的方法节省了计算和通信成本。数字签密分为公钥签密（public key signcryption，PKSC）和混合签密（hybrid signcryption，HSC）[36]两类，作者在本书中主要描述PKSC。PKSC是国际标准化组织认可的安全技术的标准（ISO/IEC29150），在实际应用中PKSC可提供信息保密、身份认证、权限控制、数据完整性和不可否认等安全服务。公钥签密系统中签密阶段和解签密阶段的工作流程如图1-3所示。 传统公钥基础设施（public key infrastructure，PKI）釆用证书管理公钥，通过认证中心（certificate authority，CA）绑定用户公钥，在互联网上验证用户身份。CA的功能包含证书发放、证书更新、证书撤销和证书验证，还负责用户证书的黑名单登记和黑名单发布。公钥证书是结构化的数据记录，含有用户身份信息、公钥参数和证书机构的签名等。任何人都可通过检查证书的合法性认证公钥。PKI在使用任何公钥时，都要事先验证公钥证书的合法性，计算量很大。PKI下的公钥密码体制能达到信任标准3（认证机构不知道或不能轻松得到用户私钥，如果认证机构生成假证书冒充用户，就会被发现），同一用户拥有两个合法的证书则意味着认证机构的欺骗。 身份密码系统（identity-based publickey cryptosystem，IB-PKC）[37]简化了PKI公钥体系架构中CA对各用户证书的管理，用户公钥由用户身份信息计算得出，私钥生成器（privatekeygenerator，PKG）釆用用户身份信息（手机号码、邮箱地址等）计算用户私钥，一个用户使用另外一个用户的公钥时只需知道其身份信息即可，无须获取和验证公钥证书。IB-PKC减少了公钥证书的存储、颁发、撤销和公钥验证费用，缺点在于不诚实的PKG可冒充任意用户进行任何密码操作且不被发现，存在密钥托管的问题。PKG知道所有用户私钥，IB-PKC只达到信任标准1（认证机构知道或可轻松得到用户的私钥，可冒充用户并且不被发现）。 无证书密码系统（certificateless publickey cryptosystem，CL-PKC）[38]中，用户的完整私钥包含密钥生成中心（key generation center，KGC）计算出的部分私钥和用户随机选取的秘密值两部分，用户公钥由自己计算得到。CL-PKC不再使用证书绑定用户的公钥和身份，不需要托管密钥。CL-PKC不需要公钥证书且达到了信任标准3。 根据公钥认证方法，公钥签密体制可分为PKI下的公钥签密体制、IB-PKC下的公钥签密体制和CL-PKC下的公钥签密体制。融合公钥签密体制和具有特殊性质的数字签名，可设计具有特殊性质的公钥签密体制。 接下来，本书大部分内容描述具有不同特殊性质的可证明安全公钥签密体制。公钥签密技术在网上报关、网上报检、网上办公、网上采购和网上报税等领域具有很大应用价值，也可用于电子支付、电子邮件、数据交换、物联网和电子货币等领域。在实际的电子签章系统中，只有合法拥有印章和密码权限的用户才能在文件上加盖电子签章；可通过密码验证、签名验证、数字证书等验证身份的方式，验证用户的合法性，还可查看和验证数字证书的可靠性。具有不同特殊性质的可证明安全公钥签密算法的工作仍没有完成，目前还在继续进行和完善之中。可证明安全公钥签密理论看似简单，然而，根据密码学界的不同研究目的，公钥签密技术的实现方式却又丰富多彩，不断沿着不同研究方向延伸和发展。可证明安全公钥签密算法的设计研究工作还需不断改进和创新。 虽然已经公布不少使用不同公钥认证方法的公钥签密理论方面的研究成果，然而，设计安全性强、计算复杂度低和通信效率高的公钥签密算法仍然具有非常重要的理论意义和实际价值。本书的重点在于，在数学理论基础之上设计在不同数学困难问题的假设下具有特殊性质的无证书公钥签密体制和通用可组合公钥签密体制，在随机谕言（random oracle，RO）模型中米用归约方法证明密码算法的安全性，然后给出概率和性能的分析过程。 公钥签密算法的安全性证明中随机谕言模型通常是现实中哈希函数的理想化替身，如果在随机谕言模型中证明密码算法是安全的，则在实际执行的时候密码算法使用具体哈希函数来替换随机谕言机。标准模型中敌手受时间和计算能力的约束没有其他假设，标准模型下的可证明安全性可将密码算法归约到困难问题上。然而在实际中很多密码算法在标准模型下建立安全性归约比较困难。因此，为了降低证明的难度和计算复杂度，往往在安全性归约过程中加入其他假设条件。随机谕言模型下安全性证明除了散列函数外的环节都可达到安全要求，目前大多数可证明安全公钥签密算法都是在随机谕言模型下设计的，随机谕言模型被认为是公钥签密算法可证明安全中*成功的应用。本书的重点在于描述随机谕言模型下可证明安全的公钥签密理论。 1.4可证明安全理论 可证明安全理论在密码算法的设计和分析中具有重要的作用，本节主要介绍随机谕言模型方法论、安全性证明方法、归约思想、可证明安全性、哈希函数。 1.4.1随机谕言机 随机谕言机指具有确定性、有效性和均匀输出的虚构函数，现实中的计算模型没有如此强大的工具。随机谕言概念源自Fiat等将哈希函数看作随机函数的思想，由Bellare等转化成随机谕言模型。后来，国内外密码学家提出许多随机谕言模型中可证明安全的密码算法。Canetti等指出密码算法在随机谕言模型中的安全性和通过哈希函数实现的安全性之间没有必然的因果关系，在随机谕言模型中可证明安全密码算法在任何具体实现的时候却是不安全的。Pointcheval则认为没有人提出让人信服的随机谕言模型的实际合法性的反例，这说明随机谕言模型仍以高实现效率的优势在密码学界被广泛接受，随机谕言机是度量实际安全级别的一种好方法。 随机谕言模型是从哈希函数抽象出来的安全模型，随机谕言模型可以很好地模拟敌手的各种行为，允许归约密码算法的安全性到