[关闭]
@bintou 2017-01-11T02:01:45.000000Z 字数 7585 阅读 1291

抗信息泄漏的AKE

研究报告


注:此为多年前的草稿,缺乏足够的正确性与严谨性。仅供内部交流。

抗密钥泄露的公钥密码体制是近年学界一大研究热点,触发其研究的最大动机在于人们认识到密码系统的安全性完全依赖于密钥的保密性是一种过强的假设,现实系统中密钥的泄露几乎是无法避免[7]。针对于如何在密钥泄露的情况下依然保证密码体制的安全,多种安全模型及满足模型要求的一批密码算法被提出[8-11]。在此研究的触动下,及时展开抗信息泄露的密钥交换协议研究势在必行,因为抗密钥泄露公钥密码体制的研究为协议安全的研究带来新的理论,更重要的是也提出了新的安全需求,比如,必须考虑密钥泄露的多种形式,密钥泄露与随机数泄露同时发生的情形等等问题。

抗密钥泄露的公钥密码体制

抗密钥泄露公钥体制的研究由来已久[12],并有大量的研究工作致力于此。早期的研究主要针对密钥的边信道攻击(Side-Channel Attack),Micali等人的工作[13]为边信道攻击建立了第一个形式化的安全模型。他们假设“只有计算才泄露信息”,即对密码学原语的每一次调用都会泄露该次调用所使用信息的某些比特,泄露比特可表示为以调用信息为输入的某个函数输出。基于此假设,抗计算泄露的对称密码体制、签名体制等相继被提出[14-16],并激发了新一轮的研究热潮。

人们进而考虑比边信道攻击更强的攻击手段。Halderman等人[17]发现,存在一系列攻击可违背Micali等人的“只有计算才泄露信息”的假设。实验显示,计算机内存即使在断电后也不是立即丢失所有信息,而是逐步地丢失信息。利用内存的这一特性,可以构造攻击恢复保存在内存中的密钥,这种攻击称为内存攻击。Halderman等人利用内存攻击针对多种流行的磁盘加密系统进行攻击,成功重构出DES、AES和RSA等算法的加密密钥。

针对内存攻击,Akavia,Goldwasser和Vaikuntanathan等人建立了另一种更强的安全模型[8](简记为AGV模型),在此模型中,攻击者可以自适应地选择所攻击密钥的函数,唯一的限制是,密钥泄露的总量是受限的。同时Akavia等人展示,某些基于格的加密体制和基于身份的加密体制可抗此类攻击。很快地,Naor等人[9]进一步扩展了该模型以适应更强的泄露要求,并给出一种抗密钥泄露公钥加密体制的通用构造方法,其通用性体现在,该构造不依赖额外的计算性假设,可以使用任何通用Hash证明系统(Universal Hash Proof System)[18]的实例进行体制构造。进而,借助Naor-Yung的通用框架,可构造出抗选择密文攻击的体制。

同一时期,针对密钥泄露的不同要求,有多种不同的安全模型被提出,包括:受限恢复模型(Bounded-Retrieval Model,简记为BRM模型)[10],辅助输入模型(Auxiliary Input Model)[19],连续泄露模型(Continual-Leakage Model)[11]等。同时,满足这些模型要求的各种抗泄露的对称加密体制、签名体制、基于身份的加密体制分别被提出。这都显示该领域的高活跃程度。该领域的理论成果将为密钥交换协议的研究奠定基础,也对密钥交换协议的安全性提出了新的要求。

抗信息泄露的密钥交换协议

多种主流的密钥交换协议的安全模型考虑到了信息泄露的问题,例如CK模型与eCK模型。CK模型中允许攻击者查询协议执行过程中的状态信息,还允许攻击者获取用户的长期私钥,用于刻画协议的前向安全性。eCK模型对CK模型进一步扩展,既允许攻击者获取用户的长期私钥,也允许攻击者查询协议执行中交换的临时私钥,并声称具有比CK模型更强的描述能力。微妙的是,目前研究结论显示,eCK模型的表达能力并不比CK模型强,而是相互不可比较[20]。与AGV模型与BRM模型的泄露能力相比,CK模型与eCK模型都没有考虑长期私钥的部分泄露与临时随机数的部分泄露问题,因此必须增加安全模型的表达能力以适应新型信息泄露的需求。

使得问题更为复杂的是,密钥交换协议是一种交互式执行的体制,信息的泄露比公钥加密体制的私钥泄露更加复杂,AGV模型等虽然有很强的启发式意义,但是如何设计安全模型满足需求还必须重新考量。

抗新型信息泄露的密钥交换协议研究已经初步展开。Alwen等人[10]将AGV模型的思路引入CK模型,设计出一种三轮的抗泄露的认证密钥交换协议,并在随机预言模型下证明了协议的安全性。他们的设计核心思想是要构造抗泄露的签名体制,以此为协议的认证基础。这种基于签名的协议设计体现出两大缺陷:通信效率与计算效率难以保证,且在考虑协议的随机数泄露时,协议立即变得不安全。还有,使用签名会破坏协议的可否认性。Moriyama等人将AGV模型的思想引入eCK模型,利用通用Hash证明系统构造一种标准假设下可证明安全的认证密钥交换协议,虽然该协议只有两轮,但是构造相对复杂,计算效率并不高,且依赖一种很强的非标准假设[21]。

目前文献结论显示,在标准模型下设计基于计算性假设的抗信息泄露的高效协议依然是值得探讨的问题。

Reference

[1]Laurie Law, Alfred Menezes, Minghua Qu, Jerry Solinas, and Scott A. Vanstone. An Efficient Protocol for Authenticated Key Agreement. Des., Codes, and Cryptography 28(2): pp119–134 (2003).
[2]H. Krawczyk. HMQV: A high performance secure Diffie-Hellman protocol. In: Proc of Crypto 2005, LNCS vol. 3621.New York: Springer-Verlag, 2005. 546–566.
[3]S. Goldwasser and S. Micali. Probabilistic encryption. Journal of Computer and System Sciences, 28:270–299, 1984.
[4]M. Bellare and P. Rogaway. Entity Authentication and Key Distribution. In Proc. of CRYPTO’93, LNCS 773, pp. 232-249, 1993.
[5]R. Canetti and H. Krawczyk. Analysis of key exchange protocols and their use for building secure channels. In Proc. of EUROCRYPT'01, LNCS vol. 2045, pp. 453-474, Springer-Verlag, New York, 2001.
[6]B. LaMacchia, K. Lauter, A. Mityagin. Stronger security of authenticated key exchange. In Proc. of ProvSec 2007, LNCS 4784, pp. 1-16, Springer-Verlag, 2007.
[7]Guomin Yang, Shanshan Duan, Duncan S. Wong, Chik How Tan, and Huaxiong Wang. Authenticated Key Exchange Under Bad Randomness. Proc. of FC 2011, LNCS 7035, pp. 113 - 126, Springer, 2011.
[8]A. Akavia, S. Goldwasser, and V. Vaikuntanathan. Simultaneous hardcore bits and cryptography against memory attacks. Proc. of the 6th Theory of Cryptography Conference, pages 474–495, 2009.
[9]Moni Naor and Gil Segev. Public-key cryptosystems resilient to key leakage. In Shai Halevi, editor, CRYPTO 2009, LNCS, pages 18–35. Springer-Verlag, Berlin, Germany, August 2009.
[10]J. Alwen, Y. Dodis, and D. Wichs. Leakage-resilient public-key cryptography in the bounded-retrieval model. Proc. of CRYPTO ’09, pages 36–54, 2009.
[11]Y. Dodis, K. Haralambiev, A. Lopez-Alt, and D. Wichs. Cryptography against continuous memory attacks. Proc. of FOCS 2010, pages 511–520.
[12]R. L. Rivest and A. Shamir. Efficient factoring based on partial information. Proc. Of EUROCRYPT ’85, pages 31–34, 1985.
[13]S. Micali and L. Reyzin. Physically observable cryptography. Proc. of the 1st Theory of Cryptography Conference, pages 278–296, 2004.
[14]Stefan Dziembowski and Krzysztof Pietrzak. Leakage-resilient cryptography. In FOCS, pages 293–302. IEEE Computer Society, 2008.
[15]Krzysztof Pietrzak. A leakage-resilient mode of operation. In Eurocrypt 2009, Cologne, Germany, pages 462–482, 2009.
[16]S. Faust, E. Kiltz, K. Pietrzak, and G. N. Rothblum. Leakage-resilient signatures. Proc. of the 7th Theory of Cryptography Conference, pages 343–360, 2010.
[17]J. A. Halderman, S. D. Schoen, N. Heninger, W. Clarkson, W. Paul, J. A. Calandrino, A. J. Feldman, J. Appelbaum, and E. W. Felten. Lest we remember: Cold boot attacks on encryption keys. Proc. of the 17th USENIX Security Symposium, pages 45–60, 2008.
[18]R. Cramer and V. Shoup. Universal hash proofs and a paradigm for adaptive chosen ciphertext secure public-key encryption. Proc. of EUROCRYPT ’02, pages 45–64, 2002.
[19]Yevgeniy Dodis, Yael Tauman Kalai, and Shachar Lovett. On cryptography with auxiliary input. In STOC, pages 621–630, 2009.
[20]Cas Cremers. Examining Indistinguishability-Based Security Models for Key Exchange Protocols: The case of CK, CK-HMQV, and eCK. Proc. of ASIACCS 2011, pages 80-91, 2011.
[21]D. Moriyama and T. Okamoto. Leakage resilient eCK-secure key exchange protocol without random oracles. Proc. of ASIACCS 2011, pages 441-447, 2011.
[22]C. G. Günther. An identity-based key-exchange protocol. Proc. of Eurocrypt'89, LNCS 434, pp. 29-37. Springer-Verlag, 1990.
[23]W. Diffie and M. Hellman. New Directions in Cryptography. In IEEE Transactions on Information Theory. Vol.IT-22(6),pages 644-654, November 1976.
[24]R. Canetti, O. Goldreich, and S. Halevi. The Random Oracle Methodology, Revisited. J. ACM 51(4): 557-594, 2004.
[25]T. Okamoto. Authenticated key exchange and key encapsulation without random oracles. Full version of [26]. Available at http://eprint.iacr.org/2007/473.
[26]T. Okamoto. Authenticated key exchange and key encapsulation in the standard model. In K. Kurosawa, editor, ASIACRYPT 2007, volume 4833 of LNCS. Springer-Verlag, 2007.
[27]D. Moriyama and T. Okamoto. An eCK-secure authenticated key exchange protocol without random oracles. In ProvSec 2009, LNCS 5848, pp. 154–167. Springer-Verlag, 2009.
[28]C. Boyd, Y. Cliff, J. G. Nieto, and K. G. Paterson. Efficient one-round key exchange in the standard model. Proc. of ACISP 08, LNCS 5107, pages 69–83. Springer, July 2008.
[29]Cas Cremers and Michele Feltz. One-round Strongly Secure Key Exchange with Perfect Forward Secrecy and Deniability. Available at http://eprint.iacr.org/2011/300.
[30]Colin Boyd and Juan Gonzalez Nieto. On Forward Secrecy in One-Round Key Exchange. Proc. of IMACC 2011, pp. 451-468. Springer, 2011.
[31]M. Di Raimondo and R. Gennaro. New Approaches for Deniable Authentication. Proc. of ACM CCS’05, ACM Press, pages 112-121, 2005.
[32]M. Di Raimondo, R. Gennaro, H. Krawczyk, Deniable authentication and key exchange. Proc. of ACM CCS’06, ACM Press, pages 400–409, 2006.
[33]殷胤,李宝. 标准模型下可证安全的加密密钥协商协议. 软件学报, 18(2):422-429, 2007.
[34]冯登国, 陈伟东. 公平认证密钥交换协议的安全模型与模块化设计. 中国科学-F辑:信息科学, 39(10):1055-1062, 2009.
[35]Hui Li and Chuankun Wu. CMQV+: An authenticated key exchange protocol from CMQV. 中国科学-F辑:信息科学(英文版), 54: doi: 10.1007/s11432-011-4310-z, 2011.
[36]Shengbao Wang, Zhenfu Cao, Zhaohui Cheng, Kim-Kwang Raymond Choo. Perfect forward secure identity-based authenticated key agreement protocol in the escrow mode. 中国科学-F辑:信息科学(英文版), 52(8):1358-1370, 2009.
[37]赵建杰,谷大武. eCK模型下可证明安全的双方认证密钥协商协议. 计算机学报, 34(1): 47-54, 2011.
[38]李兴华, 马建峰, 文相在. 基于身份密码系统下Canetti-Krawczyk模型的安全扩展. 中国科学-E辑:技术科学, 34(10): 1185-1192, 2004.
[39]李松, 王丽娜, 余荣威, 匡波. 一种密钥协商协议的自动化设计方法. 武汉大学学报(理学版), 55(1): 89-92, 2009.
[40]郑明辉, 周慧华, 崔国华, 韩兰胜. 一种故障容忍的可证安全组密钥协商协议. 电子学报, 37(11): 2396-2402, 2009.
[41]魏福山, 马传贵, 程庆丰. 基于RSA的网关口令认证密钥交换协议. 计算机学报, 34(1): 38-46, 2011.
[42]Hoeteck Wee. Efficient Chosen-Ciphertext Security via Extractable Hash Proofs. Proc. of CRYPTO 2010, LNCS 6223, pp. 314-332, Springer, 2010.
[43]J. Hastad, R. Impagliazzo, L. A. Levin, and M. Luby. A pseudorandom generator from any one-way function. SIAM J. Comput., 28(4):1364–1396, 1999.
[44]Boaz Barak, Yevgeniy Dodis, Hugo Krawczyk, Olivier Pereira, Krzysztof Pietrzak, Francois-Xavier Standaert, and Yu Yu. Leftover Hash Lemma, Revisited. Proc. of CRYPTO 2011, LNCS 6841, pp. 1-20, Springer, 2011.

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注