英语原文共 23 页,剩余内容已隐藏,支付完成后下载完整资料
认证加密:概念之间的关系及通用合成范式的分析
摘要 认证加密方案是一种对称加密方案,其目标是确保消息在传送过程中的保密性和完整性。在此,我们提出两个认证加密的相关概念,“明文的完整性”和“密文的完整性”,通过包含和分割相关概念的定义,来将它们在基于保密性相关概念IND-CCA和NM-CPA(选择密文攻击下的不可区分性和选择明文攻击下的非可分性)的标准条件下,与IND-CPA(选择明文攻击下的不可区分性)相结合。然后,我们将分析“通用组合”方案所设计的认证加密方案的安全性,其中将包含的手段有:使用给定的对称加密方案和给定MAC的黑盒子。有三种组合方法能纳入考虑中,即Encrypt-and-MAC,MAC-then-encrypt,和Encrypt-then-MAC。对于其中的每一个方法以及其相关概念,我们会通过假设在给定的对称加密方案下,判断其是否对选择明文攻击是安全的,并且在给定MAC的条件下,判断其是否在选择消息攻击下是不可伪造的,来指出所选方案的安全性能。我们将为答案是“是安全的”的实例提供证明,并为答案设计“不安全的”的实例提供反例来举证。
关键词 对称加密,消息认证,认证加密,安全性的具体体现
1.引言
我们使用术语认证加密方案来指代一些目的是保证封装数据的保密性和真实性的共享密钥及其变体的方案。在此方案中,发送方所使用的加密过程将采用密钥和明文来获得密文,而接收方所使用的解密过程将采用相同的密钥和密文来获取明文或指代明文的特殊符号,但这种方案通常被认定为密文是无效的或者过程无法保障密文的真实性。
这种方案的设计在历史上吸引了众多的关注。很多早期的方案,都是基于为消息添加“冗余”的设计思路,直到CBC加密的出现。直至今日,设计更优的认证加密方案仍然是我们努力的目标。一个热门的现代设计范例是“通用组合”,其中结合了一种仅针对保密性的对称加密方案(例如,像CBC那样的分组密码操作模式)与一种消息认证(MA)方案(例如,HMAC[8]或CBC-MAC)。
对称加密的目标通常被视作隐私,但认证加密方案只是一种仅能保证消息真实性的对称加密方案。本文的第一部分将对称加密方案中的几种与消息真实性相关的概念形式化,并通过包含和分割相关概念的定义【10】的方法将它们融入到现有的概念体系中,最终将它们与已经被人们所证明的对称加密中有关消息保密性的概念相关联。本文的第二部分则分析了几种通用合成方法,以满足之前提出的概念。现在让我们详细探讨一下。
1.1概念之间的关系
对称加密方案是为了确保消息的保密性,这其中就包括了消息不可区分性和不可延展性,这每一种特性都将在选择明文或(自适应)选择的密文攻击下进行考虑,至此,我们引出四种安全概念,我们将它们缩写为IND-CPA,IND-CCA,NM-CPA和NM-CCA。(原始定义是在不对称的加密方案的设计中[24,28,29,45],但可以使用基于加密oracle的模板来“推广”到对称加密方案的设计中[9])。这些概念之间的关系很好理解[10,24,37]。
对于对称加密方案,我们提出了两个关于消息完整性的相关概念(我们在此将交替使用术语真实性和完整性)。INT-PTXT(明码文本的完整性)要求在计算上不可能产生发送者从未加密过的密码文本,而INT-CTXT(密码文本的完整性)要求在计算上不可能产生先前未被发送者产生的密码文本,不论基础的明文是否是“新的”。(在这两种情况下,对手都被允许进行选择消息攻击)。第一个概念是偏向保证消息的安全性的要求,而第二个概念的侧重在我们下面的讨论中有详细的说明。
这些与消息真实性相关的概念本身与消息保密性相关的概念相互独立;例如,使用(强)MAC发送明文消息即可实现INT-CTXT,但这不具有保证消息的保密性的能力。为了进行有意义的比较,我们假设每一个与消息真实性相关的概念都与IND-CPA配对,在最弱的耦合度上与消息保密性相关的概念进行比较;即我们着重比较的概念是INT-PTXT and; IND-CPA 和INT-CTXT and; IND-CPA。(将“and;”认为是“与”)。
图1. 对称加密中,相关概念之间的关系:箭头表示蕴含,而禁止箭头表示分割。完整的箭头代表是本文证明的关系。正的结果我们用相应的定理数目进行注释。分割结果见第三部分。虚线箭头是对现有关系的强调,注释中引用了构建它们的论文。
继【10】在研究和说明这些新提出的完全概念之间的相对优势时,图1展示了这些新提出的概念与上述旧概念之间的关系。一个“蕴含”关系意味着满足A概念的每个对称加密方案同时满足概念B。一个“分割”关系意味着存在满足A概念但不满足B概念的对称加密方案。(这是基于概念A是存在于某些方案中的最小假设,否则这个问题是没有意义的)。只有一组最小的关系被详细指出了;任何两个概念之间的关系都可以从所示的关系中推导出来。(例如,IND-CCA并不意味着INT-CTXTand;IND-CPA,否则通过以下箭头,我们将得到与指定的分割关系相矛盾的推导IND-CCA→INT-PTXT and; IND-CPA)。虚线是对现有关系的强调。
有几点可能值得强调。密文的完整性——即使只与弱保密性要求IND-CPA相结合,也是一个最有力的概念。它不仅意味着对选择密文攻击的安全性,而且它比这个概念更强一些。不可区分性——无论是在选择明文还是选择密文攻击下,都不可能有任何类型的完整性。直接的原因是不可区分性只能防止生成明文和一些被怀疑与密文在意义上有相关性的密文,而完整性则要求难以生成新明文的密文。最后,明文的完整性并不意味着密文的完整性。
1.2通用构成分析
有很多方法来设计认证加密方案。我们在本文中集中关注“通过组合”的方法:以某种方式简单地将标准对称加密方案与MA方案相结合。有几种方式来做到这一点,我们的目标是分析和比较它们的安全性。从性能和安全架构设计的角度来看,这些“简便”的方法在实践中经常是最实用的方法。
通用组成 假设我们有一个对称加密方案SE,其加密和解密算法分别由E和D表示(理论上这将是一个块密码操作模式,如CBC或CTR)。同时我们假设有一个消息认证方案MA,其标签和标签验证算法分别表示为T和V(可能会包括CBC-MAC,HMAC【8】或UMAC【20】)。我们假设加密方案满足“加密是为了保证消息的保密性”这个级别的的最弱概念,即IND-CPA。这是一个合理的假设,因为诸如CBC和CTR等标准操作模式确实符合这个概念(假设底层分组密码是一个安全的PRF)【9】但不符合更强的概念。我们假设MA方案在选择消息攻击下满足不可伪造的概念。(我们将提出这个概念的一个弱和强的版本,标准的结构如HMAC和CBC-MAC符合【3,8,11】)。我们希望对给定的加密方法和MA方案进行“合成”(意思是合适地组合),以创建符合INT-CTXTand;IND-CPA或INT-PTXTand;IND-CPA的认证加密方案。以下是我们考虑的合成方法,我们称之为“通用的”,因为经过验证的加密方案的算法仅对给定的算法成立。在每种情况下,是用于加密的密钥,而是用于消息认证的密钥。我们要强调一点,这些密钥是独立选择的。以下是已验证的加密方案的加密算法,而“解密 验证”过程中,我们给定了解密算法。若后者其认为密文的真实性是不能保证的,那么它将返回明文或特殊符号。
—加密与MAC(Eamp;M):[1]。即,加密明文并附加明文的MAC。“解密 验证”是通过首先解密得到明文然后验证标签来执行的。SSH的传输层使用这种方法的变体【51】。
—MAC-then-encrypt (MtE):。即,将一个MAC附加到明文,然后一起加密它们。通过首先解密来获得明文和候选标签,然后验证标签来执行“解密 验证”。SSL使用此方法的变体【26】。
—Encrypt-then-MAC (EtM):,其中。
即,对明文进行加密以获得密文C并追加C的MAC。通过首先验证标签然后解密C来执行“解密 验证”。IPSEC使用该方法的变体。【38】。
安全性结果 图2总结了三种复合认证加密方案的安全性结果。(我们忽略了NM-CCA,因为它等同于IND-CCA。)该图的顶部表格显示了基于假设“基本MAC是弱不可伪造的”的结果(WUF-CMA),而底部表格显示了基于假设“MAC是强不可伪造的(SUF-CMA)”的结果。WUF-CMA是标准概念【11】—即使在选择消息攻击之后,攻击者也应该在计算上不可能找到消息是“新的”的消息标记对。SUF-CMA要求对手找一个新的消息标签对在计算上是不可行的,,即使在选择邮件攻击之后。。
图2 复合认证加密方案的安全结果摘要。对于两个表,给定的加密方案都被假定为IND-CPA,而给定的MAC被假定为对于顶部表是弱不可伪造的,并且对于底部表是强不可伪造的。
(只要标签在输出之前未被合法传递方附加到该消息上,则该消息不必是新的。)这个概念首先出现在【22】,尽管是在不对称加密方案的设定中。我们注意到,任何伪随机函数都是强不可伪造的MAC,并且大多数实际的MAC似乎也是难以伪造的。因此,分析这个概念下的组合方法是一种现实且有用的方法。上表中的条目具有以下含义:
—安全:所讨论的组合加密方案经证明符合所讨论的安全要求,假设只有基本加密方案是IND-CPA安全的,并且基本MA方案(根据所讨论的情况可能是弱的或者强的)在选择消息攻击下不可伪造。
—不安全:存在一些IND-CPA安全对称加密和一些(WUF-CMA或SUF-CMA)MA方案,使得基于它们的组合方案不能满足所讨论的安全要求。
在第4部分中,我们证明了上述说法的正确性。
为什么使用通用构成? 从性能和安全体系结构的角度来看,使用通用组合方法是有利的。性能优势来自于快速MAC的存在,如HMAC【8】和UMAC【20】。体系结构的好处来自于使用的是严格的安全概念。(如果对于某些实例是安全的,但对于其他实例不安全,则我们声明它不安全)。因此,应用程序可以独立选择对称加密方案和消息认证方案(现有安全分析通常已经支持这些方案),然后将某些固定和标准组合技术结合起来,而不需要对组合方案进行量身定制的安全分析。
解读我们的结果 正如我们从图2的底部表格可以看到那样,EtM从各个角度都是安全的,这能够使其成为一个标准化的不错选择。但是,如果INT-PTXTGand;IND-CPA也能满足这个条件,那么MtE也是合适的。
我们要强调一点,这些结果都是基于一般情况。例如,说Eamp;M是IND-CPA不安全的意味着组合对于某一些基本方案的选择是不安全的,而不是全部。可能存在着对Eamp;M组成实际上是IND-CPA安全的,这类基础方案的一些特定选择情况。
定量结果和比较 以上我们已经从质量层面上讨论了我们的结果。每个结果也有一个量化的对应产物;这些是我们的定理在实际情形下的证明。这些“在具体条件下的安全性分析”使设计人员能够根据其组件的安全性来评估经过身份验证的加密方案的安全性。这篇文章中所有的约简都是极为严谨的,因此几乎没有什么安全性方面的损失。
1.3相关的前置工作
IND-CCA和NM-CCA的相关概念分别表示为IND-CCA2和NM-CCA2【10】。这里的选择密文攻击是自适应类型【45】。考虑到非适应性选择密文攻击【43】将产生两个或者更多的概念,在这里我们将用IND-CCA1和NM-CCA1【10】来表述6种有关消息保密性的概念之间的关系。(如之前所述,它们的结果适用于不对称加密和对称加密的条件下。)另外三个有关消息保密性的概念将被纳入与这六个概念相关的范围中【37】。在本文中,为了方便,我们将不会考虑所有可能的有关消息保密性的概念,而将注意力集中在我们认为的(四种)主要观点以及它们与有关消息真实性的概念的关系上。
加密方案中有关消息真实性的保证,是设计者们追寻多年的目标。INT-CTXT概念似乎首先出现在【5,36】。(这两部文献是并行和独立的。)Katz和Yung【36】考虑了两个其他的有关消息真实性的概念,而这里没有考虑进来。他们还观察了INT-CTXTand;IND-CPA→IND-CCA的含义,并提供了称为RPC的加密认证方案。签密方案【52】是认证加密的一种非对称模拟。
1.4后续相关工作
论文的初版发表于2000年【4】。接下来,我们在认证加密方面进行了大量的工作。下面进行一些总结。
扩展延伸 Rogaway【46】引入了认证加密概念的扩展,称为带有关联数据的认证加密(AEAD)。这里的数据有两个字段,一个标题和一个明文。整体而言,完整性是必需的,但消息的保密性仅限于明文。Rogaway和Shrimton【47】探讨了密钥传输的问题,称为密钥包装问题,并引入确定性认证加密的概念,证明它们与密钥包装是等价的。
通用组成 Canetti和Karwcyzk【21】表明EtM实现了“安全信道”,而Krawczyk【40】表明,Eamp;M和MtE则不能保证实现。然而,Krawcyzk【40】发现了一些确实能够实现安全信道的特殊实例。例如,由An,Dodis和Rabin【2】分析的基于通用组合的签密方案。
其他一般方法 全文共8941字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[10907],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
