第37卷 第11期 、,o1.37 ・计算机工程 2011年6月 June 20l1 NO.11 Computer Engineering 安全技术・ 文章编号:1000--3428(2011)11—_0158—02 文献标识码:A 中图分类号:TP309 辫群上的可转换认证加密方案 裴俐春 ,隗云 ,熊国华 ,张兴凯 (1.防空兵指挥学院信息控制系,郑州450052;2.信息工程大学电子技术学院,郑州450004; 3电子技术研究所,北京100195;4.96610部队,北京102208) 摘要:量子计算的快速发展给目前的公钥密码体制带来严重威胁,非交换的辫群为构造安全密码协议提供了新平台。基于辫群上共轭搜 索问题和多重共轭搜索问题的难解性,提出一个可转换认证加密方案,只有指定的接收者才能恢复认证的原始消息;当发送者否认签名时, 接收者不需要发送方的参与即可将收到的签名转换为一般签名,并向第三方证明发送者的不诚实。与基于交换代数的方案相比,该方案在 抗量子攻击上更有优势。 关健词:辫群;共轭搜索问题;多重共轭搜索问题;可转换认证加密 Convertible Authenticated Encryption Scheme over Braid Group PEI Li.chun ,WEI Yun。Guo.hua ,ZHANG Xing.kai ,XIONG (1.Department of Information Control,Air De ̄nce Forces Command Academy,Zhengzhou 450052,China; 2.Institute of Electronic Technology,Information Engineering University,Zhengzhou 450004,China; 3.Institute ofElectronic Technology,Beijing 100195,China;4.Unit 96610,Beijing 102208,China) [Abstract]The rapid development of quantum computing brings great challenges to public key cryptosystems.The braid group,which is non—commutative,provides a new platform of constructing cryptographic protocols.A convertible authenticated encryption scheme over braid group is proposed on the dificulfty of conjugacy search problem and multiple conjugacy problem,in which only the designated receiver can recover and authenticate the message,when the sender repudiates the signature,the receiver can prove the dishonesty of the sender by converting the signature to an ordinary one without the cooperating of the sender.As for the resistance against quantum attacks,the proposed scheme has advantage over the schemes based on commutative algebraic structures. [Key words]braid group;conjugacy search problem;multiple conjugacy search problem;convertible authenticated encryption DOI:10.39690.issn.1000—3428.2011.11.054 1概述 量子计算 的快速发展使得基于整数分解或离散对数 问题难解性的公钥密码体制面临严重威胁。为了抵抗已知量 子算法的攻击,大量学者开始设计非基于数论的、基于非交 解性构造了一个可转换认证加密方案,并对其安全性质进行 了详细分析。 2预备知识 本节介绍辫群及辫群上的难解问题 J。 换代数的公钥密码体制,如基于一般非交换群的密码 】、基 于有限非交换群的MOR密码 等。辫群的概念由Artin E于 定义1辫群 (n≥2为自然数)是由生成元 , ,…, 一. 生成的有限表示的无限群。其生成元满足: = 1947年首次提出 l,由于其结构复杂、运算所需的时间和空 间小的特点,被用于构造公钥密码系统 J。此后,基于辫群 (Ji—Jl≥2) +】 (1≤i≤n一2) +l = +1 的密钥交换协议 】、认证方案 。…、加密方案… 及签名方 案 相继被提出。 为了在计算机网络环境中实现消息的安全可认证传输, Horster P等 于1994年首次提出了认证加密的思想。认证 加密与数字签名的不同之处在于除了指定的接收者外,其他 任何第三方都不能确定这个认证加密签名是发送者所签。为 了防止发送者对签名进行否认,Araki S等 提出了可转换的 因此,辫群 可表示为: =( ,… 1, ). f …,cr 生成的群 辫群中的元素称为一个 辫或辫元。当n=2时,B 为 无限循环群,本文不予考虑。 定义2对于辫群B ,由生成元 , ,…,q J-i生成的群 叫 的左子群,记作L ;由 叫B 的右子群,记作RB 。 基金项目:国家“863”计划基金资助项目(2009AA【)1z438) 认证加密方案,如果发送者事后否认其签名,接收者可以将 收到的签名转换为一般签名,向第三方证明发送方的不诚实。 但是在该方案中,接收者需要发送者的合作才能将收到的签 名转换成一般签名,这一需求显然与设计可转换认证加密方 案的意图相矛盾。2002年,Wu T等 针对这一问题提出新 的可转换认证加密方案,接收者不需要发送者的合作即可完 成签名的转换,这类认证加密方案因此成为了研究热点 。 作者简介:裴俐春(1981一),女,助教、硕士,主研方向:网络与信 息安全;隗云,博士研究生;熊国华,高级工程师、博士后、博 士生导师;张兴凯,硕士 本文基于辫群上共轭搜索问题和多重共轭搜索问题的难 收稿日期:2010—11—13 E-mail:weiyun456@sohu.com 第37卷第11期 裴俐春,隗云,熊国华,等:辫群上的可转换认证加密方案 159 显然,对任意(n, )∈LBn ̄RB,均有ab=ba。 定义3对于辫元x,Y∈Bn,若存在一个辫元a∈Bn使得 Y=n xa,则称辫元x,Y共轭,记作x~Y。 定义4给定( ,y)∈Bn× ,判断x~Y是否成立,称共 轭判断问题(Conjugacy Decision Problem,CDP)。 定义5给定共轭辫元对( ,y)∈BnxBn,找到满足y=a- xa 的辫元a∈ ,称为共轭搜索问题(Conjugacy Search Problem, CSP)。 定义6给定( ,a—xla),( ,a xza),…,(XN,d XNa)E × , 求辫元b∈Bn,满足:b-tx1b=a 1xla,口~x2a,…,b IxⅣb=a-IxⅣa, 称为多重共轭搜索问题(Multiple Conjugacy Search Problem, MCSP)。 辫群内元素的乘法和求逆运算都存在快速算法,可以用 计算机编程来实现。对辫群上的共轭判断问题,文献[6】提出 了一种多项式时间算法。但是,尚未有算法能证明可在多项 式时间内求解CSP或MSCP。 3可转换认证加密方案 3.1系统初始化 假设消息发送者和接收者分别为Alice和Bob。Alice和 Bob共同选择辫群 ,其左、右子群LBn、RBn,随机元素 ∈ 及抗碰撞的哈希函数H.:{0,1} ,H : fo,1) 。 Alice随机选择a ∈LB作为自己的私钥,对应公钥为 Y =aA xa 。Bob随机选择 ∈RBn作为自己的私钥,对应 公钥为Y日=“ xaB。 3.2认证加密 为发送消息m给Bob,Alice执行以下步骤: (1)随机选择b∈LB,计算 =b-1xb, =b-iY b, =aA Y口aA,M=H2( )0m,h=Hl【M l】H2( )IIH2( )。 (2)随机选择k∈RB ,计算01=k-1口: ha k, =k 1Y k。 (3)将(M,o, ,O2)发送给Bob。 3.3消息认证与恢复 收到(M, ,01, )后,Bob计算: h=Hl(M l lH2( )II H2(“ Y^口 )) 通过验证式子 ~h, ~Y 及 ~ 是否成立来对 加密消息M进行认证。 如果3个式子都成立,Bob通过计算m=H:(Ⅱ oa )0M 恢复出消息m。 3.4签名转换 如果Alice事后否认其签名行为,Bob可以通过公开 = Y n 及认证加密消息(M, , ,O2)使得任何第三方都 可以计算h=H。(M llH:( )llH ( ),继而通过验证 ~h, O2~Y 及 ~hx是否成立来证实签名的有效性。 4方案分析 4.1完备性 性质1 Bob可以由认证加密消息(M, , , )得到认证的 原始消息m。 证明:由口^∈LBn,口 ∈RBn可知:aAaB=asa^, a-. = ’,则有: =aA Y占aA=aa a-, xaBaA=口 aa xa^aB=口 Y^a口 h=H1(M llH2( )l 1( )=H1(M I1日2( )J『日(Ⅱ; Y^aB)) 由 =k-IaA haAk及 =k iYAk可知: 01~h, ~YA, =k 1aha^kk~Y^k= n ha^az xa^k=k-Iaa A hxa^k~ Bob由此可以认证加密消息(M,o, , )来源于Alice。 由a ∈RBn,b∈LBn可知: anb=ba ,d ‘b = 一 。 ’ 则有: =b-I Y b=b-I口 xa口b=口; b一’xbaB=d 。oa日 即Bob可通过计算m=H:(口; oa )0 恢复出消息m。 4.2安全性 性质2除Alice外,任何第三方无法伪造有效的认证加 密消息(M, , ,O2)使得Bob相信该消息来源于Alice。 证明:由 =aA Y =Ⅱ Y a 可知,任何第三方想产生 有效的认证加密消息,为计算h首先必须求出私钥a 或%, 通过对应公钥求解私钥将面临求解共轭搜索问题。如果伪造 发生在Bob公布 = Y a 后,第三方为计算01也必须求出 ,而通过 及Y 求解 将面临求解多重共轭搜索问题。 由共轭搜索问题和多重共轭搜索问题的难解性可知,任何 第三方无法伪造有效的认证加密消息使得Bob相信该消息来 源于Alice。 性质3 Bob无法伪造有效的认证加密消息( , , , ) 使得第三方相信该消息来源于Alice。 证明:由性质2证明可知,Bob在伪造时须计算 ,即 也必须求a 。Bob通过y及Y 求解a 也将面临求解多重共 轭搜索问题。因此,Bob也无法伪造认证加密消息。 性质4除Bob外,任何第三方无法获得消息m。 证明:由 = Y b=n oa 知,任何想恢复消息m的 第三方必须先求出随机元素b或Bob的私钥a ,而通过 =b 1xb, =b 1Y b求b将面临求解多重共轭搜索问题, 通过Y 求a 将面临求解共轭搜索问题。即使Bob公开 =n Y a ,第三方通过Y 和 求解a 也将面临多重共轭 搜索问题。因此,除Bob外,任何第三方无法获得消息m。 5结束语 由于满足非交换性,辫群成为构造抗量子攻击密码协议 的新平台。可转换认证加密解决了认证加密中的公开验证问 题,是实现消息安全认证传输的重要手段。本文基于辫群上 共轭搜索问题和多重共轭搜索问题的难解性构造了一个可转 换认证加密方案,为构造基于非交换代数的认证加密方案提 供了思路。 参考文献 f1]Shor R Polynomial—time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer[J].SIAM J. Computer,1997,26(5):1484—1509. [21 Kitaev A.Quantum Measurements and the Abelian Stabilizer Problem[EB/OL].[2010—05・20].http://arxiv.org/quant—ph/9511026. [31 Anshel I,Anshel M,Goldfeld D.An Algebraic Method for Public Key Cryptography[J].Mathematical Research Letters,1999,6(3): 287—291. [4]Paeng S H,Kwon D,Ha K C,et a1.Improved Public Key Cryptosystem Using Finite Non—abelian Groups[EB/OL]. [2010-05—201.http://eprint.iacr.org/2001/066. (下转第175页)