高级搜索

留言板

尊敬的读者、作者、审稿人, 关于本刊的投稿、审稿、编辑和出版的任何问题, 您可以本页添加留言。我们将尽快给您答复。谢谢您的支持!

姓名
邮箱
手机号码
标题
留言内容
验证码

基于理想格的通用可组合两方口令认证密钥交换协议

舒琴 王圣宝 路凡义 韩立东 谭肖

舒琴, 王圣宝, 路凡义, 韩立东, 谭肖. 基于理想格的通用可组合两方口令认证密钥交换协议[J]. 电子与信息学报, 2021, 43(6): 1756-1763. doi: 10.11999/JEIT191029
引用本文: 舒琴, 王圣宝, 路凡义, 韩立东, 谭肖. 基于理想格的通用可组合两方口令认证密钥交换协议[J]. 电子与信息学报, 2021, 43(6): 1756-1763. doi: 10.11999/JEIT191029
Qian Jiang, Su Jun-Hai, Li Liang-Hai, Xing Meng-Dao. Tri-channel SAR-GMTI High-Speed Target Imaging and Motion Parameter Estimation Using KWT[J]. Journal of Electronics & Information Technology, 2010, 32(7): 1660-1667. doi: 10.3724/SP.J.1146.2009.01289
Citation: Qin SHU, Shengbao WANG, Fanyi LU, Lidong HAN, Xiao TAN. Universally Composable Two-Party Password-Based Authenticated Key Exchange from Ideal Lattices[J]. Journal of Electronics & Information Technology, 2021, 43(6): 1756-1763. doi: 10.11999/JEIT191029

基于理想格的通用可组合两方口令认证密钥交换协议

doi: 10.11999/JEIT191029
基金项目: 国家重点研发计划项目(2017YFB0802000),国家自然科学基金青年项目(61702152, 61702153),浙江省教育厅科研项目(Y202044830)
详细信息
    作者简介:

    舒琴:女,1995年生,硕士,研究方向为基于格的认证协议

    王圣宝:男,1978年生,副教授,研究方向为认证及密钥建立与区块链安全

    韩立东:男,1982年生,讲师,研究方向为可搜索加密

    谭肖:男,1985年生,讲师,研究方向为公钥密码学

    通讯作者:

    王圣宝 shengbaowang@hznu.edu.cn

  • 中图分类号: TN918; TP309.7

Universally Composable Two-Party Password-Based Authenticated Key Exchange from Ideal Lattices

Funds: The National Key R&D Program of China (2017YFB0802000), The Youth Program of National Natural Science Foundation of China (61702152, 61702153), The Scientific Research Fund of Zhejiang Provincial Education Department (Y202044830)
  • 摘要: 大部分现有基于格的两方口令认证密钥交换协议(2PAKE)都是在基于不可区分的公共参考串模型或Bellare-Pointcheval-Rogaway(BBR)模型下被证明安全的。该文提出一个基于环上带误差学习问题的两方口令认证密钥交换协议,并在通用可组合框架下证明其安全性。与同类协议相比,新协议具有更高的安全性和更高的效率。
  • 两方口令认证密钥交换协议(Two-Party password-based Authenticated Key Exchange, 2PAKE)能够使得协议参与者使用低熵、易于记忆的口令(password)协商生成一个高熵的会话密钥。

    目前,大多传统基于数论的底层困难问题都存在量子解决算法[1,2]。因此,随着量子计算机的发展,基于这些难题构造的密码协议或方案正面临所谓的量子威胁。同时,应对量子威胁的所谓“后量子密码”研究方兴未艾。其中,基于格(lattice)上难题(简称格基)的2PAKE协议的研究成为热点之一。2009年,Katz等人[3]构造了首个格基2PAKE协议。该协议的安全性在基于不可区分的公共参考串(Common Reference String,CRS)模型[4]下得到证明。随后,Ding等人[5]和Zhang等人[6]各自构造出新的格基2PAKE协议,同样在CRS模型下证明了安全性。此后,又有多个格基2PAKE协议陆续被提出[7-9],它们使用的安全模型皆为BPR模型[10]

    CRS模型与BPR模型没有考虑到协议的可组合性以及口令的相关性。相较而言,通用可组合(Universally Composable,UC)模型[11]则很好地解决了这些问题。2017年,Gao等人[12]基于SRP协议[13],提出了一个格基扩展版本协议,称为RLWE-SRP。另外,RLWE-SRP采用了由Ding等人[14]所提出的误差调和机制。但是,该机制效率较低,使得协议双方提取出的共同比特只是具有高熵,而并非均匀分布,需要一个随机提取器来获得均匀的值。相比而言,Peikert[15]于2014年提出的改进误差调和机制能够使协议双方所提取的共同比特满足均匀分布。

    采用Peikert式误差调和机制,本文提出一个更高效的具有通用可组合性的格基2PAKE协议,称为RLWE-CAPAKE,并在UC框架下证明其安全性。新协议的设计思想来源于Abdalla等人[16]于2008年提出的CAPAKE协议。新协议既保持了CAPAKE协议的优势,又能抵抗量子攻击。

    格是线性空间Rnn个线性无关向量v1,v2,···,vn组成的点的集合,表示为L={a1v1+a2v2+···+anvn|ai为整数},其中v1,v2,···,vn称为格基。理想格[17]则是具有特殊环结构的格。理想I是环R=Z[x]/f(x)的一个商环,其中f(x)为首一整数多项式。n阶整数群ZnI的集合便是理想格。相较于格,理想格可以使用一个向量表示一个n维格,大大降低了空间复杂度;理想格的特殊代数结构可以进行快速运算,大大降低了时间复杂度。最近,张洋等人[18]提出的理想格上格基的快速三角化算法有助于进一步降低运算的时间复杂度。

    2010年,Lyubashevsky等人[17]提出了基于理想格的环上带误差学习(Ring Learning With Errors, RLWE)问题,并指出求解RLWE问题的难度可以量子规约到求解近似最短向量问题。被密码学界普遍认为能够抵抗量子攻击。

    定义1 (RLWE分布):设RZ上阶数为n的多项式环,Rq=R/qR为以正整数q为模的商环,χγR上以γ为标准差,0为分布中心,r为半径的高斯离散分布。设固定向量s为秘密值,在Rq×Rq上的RLWE分布As,χγ通过均匀随机地选择向量aRq, eχγ进行采样,并得到采样结果(a,b=sa+e(odq))

    定义2 (判定RLWE问题):给定多项式个独立样本(ai,bi)Rq×Rq,任意PPT算法A能够区分样本取自RLWE分布As,χγ还是均匀随机地取自Rq×Rq的优势可忽略。

    RLWE问题固有的误差问题会导致通信双方无法得到完全相同的会话密钥。为解决这一问题,Ding等人[14]在2012年首次提出误差调和机制(称为Ding式误差调和机制)。2014年,Peikert[15]指出Ding式误差调和机制中协议双方提取出的共同比特只是具有高熵,而并非均匀分布,需要一个随机提取器来获得均匀的值,这会带来较大的效率损失。他提出一个改进的误差调和机制(Peikert式误差调和机制),该机制中协议双方提取的共同比特均匀分布。Peikert式误差调和机制具体描述如下:

    对于偶数模数q2,定义Zq={q2,···,0,···,q21}及3个区间:I0:={0,1,···,q41}, I1:={q4,···,1}(odq), E:=[q8,q8)Z,其中q4q4Zq上的两个陪集,q4=q4+12Z。对于vZq, w=v+e(odq),定义3个函数:

    定义3 (交叉取整函数)q,2:ZqZ2b=vq,2:=4qv(od2)

    定义4 (模取整函数)q,2:ZqZ2vq,2:=2qv

    定义5 (调和函数)rec(w,b):Zq×Z2Z2rec(w,b):={0,wIb+E(odq)1,wIb+E(odq)。其中,rec(w,vq,2)=vq,2

    对于奇数模数q,可定义随机翻倍函数dbl():ZqZ2q,如ˉv=dbl(v)=2vˉe,其中ˉeZˉe模2后均匀随机且与v独立,2w=ˉv+(2e+ˉe)(od2q)Z2q

    本文设计的协议的安全性在Canetti等人[11]提出的UC框架下,结合Canetti-Rabin[19]提出的具有联合状态的UC(Joint state UC,JUC)定理,使用UC混合模型证明。

    定义6 (混合模型下的安全实现) 给定混合模型下的n方协议π以及理想功能F,如果对于任意概率多项式时间(Probabilistic Polynomial Time, PPT)混合敌手H都存在PPT理想攻击者S,使得对于任意环境Z,在和混合敌手H及协议π交互后输出1的概率分布与在和理想攻击者S及理想功能F交互后输出1的概率分布是多项式不可区分的,则称协议π在混合模型下UC安全地实现了理想功能F

    相较于Abdalla等人[16]提出的CAPAKE协议,本文提出的新协议具有如下两个优势:(1)基于RLWE难题、采用文献[15]改进的误差调和机制,被密码学界普遍认为可以抵抗量子攻击;(2)新协议中,服务器不直接存储用户的口令,而只存储服务器ID及用户口令的哈希值HPW=H0(S||PW)。实际应用中,“单口令多用途”现象比较普遍,即用户往往针对许多不同的应用服务器使用相同的口令。该改进避免了当服务器沦陷后,敌手可直接获得用户口令,从而可向其他服务器冒充为用户的风险。

    3.1.1   初始化阶段

    用户加入系统时,需向服务器注册。用户U将其口令PW及服务器ID即S输入哈希函数H0()计算得到HPW,同时从商群Rq中均匀随机选择公共参数a,将用户ID即U, HPWa通过安全信道发送给服务器SS收到U的注册信息后将U,HPW,a添加到存储在数据库中的列表L上,本文设定外部敌手无法获得服务器内部信息。

    3.1.2   相互认证及密钥交换阶段

    用户和服务器每次会话会自动生成一个会话ID,会话ID为ssid的用户和服务器相互认证及密钥交换的过程如下,其中具体的计算如图1所示:

    图 1  RLWE-CAPAKE的相互认证及密钥交换过程

    (1) US:M1={U,X}U输入S,PW,再次计算HPW,均匀随机地从商群Rq中选择其私钥sx、从高斯离散分布χγ中选取误差ex,ex,计算其公钥X=asx+exRq,最后将UX发送给S

    (2) SU:M2={S,Y}:收到M1后,S首先检测X是否在商群Rq内,若不在,则退出该次会话;若在,则均匀随机地从Rq中选择其私钥sy、从χγ中选取误差ey,ey,计算其公钥Y=asy+eyRq。随后利用X生成带误差的中间秘密值v=Xsy+eyRq,对v使用随机翻倍函数dbl()得到ˉv,对ˉv使用交叉取整函数2q,2得到σ,对ˉv使用模取整函数[]q,2得到不带误差的中间秘密值KsS使用对称密钥(ssid||HPW)加密Y以及σ得到Y,最后将SY发送给U

    (3) SU:M3={Auth}:收到M2后,U首先用(ssid||HPW)解密Y得到Y||σ,再利用Y生成带误差的中间秘密值w=Ysx+exRq,随后结合σw使用调和函数rec(2w,σ)得到不带误差的中间秘密值Ku。之后,U使用哈希函数H1()H2()分别计算认证因子Auth=H1(ssidUSXYKu)、会话密钥SKu=H2(ssidUSXYKu),最后将Auth发送给S

    (4) SKs=H2(ssidUSXYKs)=SKu:收到Auth后,S使用H1()计算得到Auth=H1(ssidUSXYKs)并与Auth比较。若相等,S计算会话密钥SKs=H2(ssidUSXYKs);否则,S发出错误信息。

    US诚实地运行协议,他们将以显著的概率得到SKs=SKu。协议中:

    v=Xsy+ey=(asx+ex)sy+ey=asxsy+exsy+ey,
    w=Ysx+ex=(asy+ey)sx+ex=asysx+eysx+ex=v+eysx+exexsyey

    e=eysx+exexsyeyRq,则w=v+e,令ˉv=2vˉe=2(we)ˉe= 2w(2e+ˉe)Z2q。由文献[15]的等式(2.1)、事实2.1、事实2.4可知,2e+ˉe的解码基的所有系数不在区间[q/4,q/4)内的概率可忽略。根据文献[15]的声明3.2:对于偶数q,存在vZq, eE满足w=v+e,则rec(w,vq,2)=vq,2。因此,US诚实地运行协议,得到SKsSKu的概率可忽略。

    定理1:在考虑适应性敌手的条件下,本文协议在(FRO, FIC)混合模型中能够UC安全地实现理想功能FCApwKE的多会话扩展ˆFCApwKE

    根据定义6可知,证明定理1即可证明协议RLWE-CAPAKE在混合模型下UC安全地实现了理想功能ˆFCApwKE,即具有UC安全性。本节定义了一个序列游戏来证明定理1,这个序列游戏中理想攻击者逐步为挑战者模拟出协议中参与者的所有交互和输出。如果模拟出的信息和真实协议不可区分,那么就将真实环境下的协议安全问题规约到了理想模型中的协议安全问题。证明中使用了3个理想功能:Hofheinz等人[20]提出的随机预言功能FRO, Liskov等人[21]提出的理想密码功能FIC以及基于口令的认证密钥交换理想功能FCApwKE[16]。为了节省篇幅,上述3个理想功能的具体描述省略。

    表1给出了利用这些游戏证明不可区分性的简要过程,A为与协议RLWE-CAPAKE实体交互的敌手,S为与理想功能ˆFCApwKE交互的理想攻击者。S利用一个模拟的挑战者A去攻击协议RLWE-CAPKE,试图获得攻击理想功能ˆFCApwKE的优势。SA模拟出一系列预言机,SZ的输入传递给A,把A的输出作为S的输出使Z可以读取。设H为(FRO, FIC)混合模型下敌手,与RLWE-CAPAKE实体交互时即为A,与理想功能ˆFCApwKE交互时即为S。这个序列游戏中游戏G2是考虑A未执行查询,直接猜测出Ku意外获胜的情况。游戏G3G5分别考虑了在第S4步之前未被攻陷和客户端已经被攻陷这两种情况。混合模型下,攻击者H和协议的用户实例通过下述查询进行交互:

    表 1  UC框架不可区分性证明概览
    游戏模型游戏模拟器挑战者
    U1U2U3U4哈希与加解密
    G0现实真实真实真实真实真实协议A
    G1混合真实真实真实真实模拟HA
    G2混合真实真实真实真实模拟HA
    G3混合真实真实真实模拟模拟HA
    G4混合模拟真实模拟真实模拟HA
    G5混合真实真实真实模拟模拟HA
    G6混合真实模拟真实模拟模拟HA
    G7理想模拟模拟模拟模拟模拟SA
    下载: 导出CSV 
    | 显示表格

    (1)TestPwd查询:参与者完全被模拟时,验证某一方的口令是否为想要的那个口令;

    (2)NewKey查询:参与者完全被模拟且口令未泄露时,验证两方是否拥有相同的口令;

    (3)GoodPwd查询:参与者未完全被模拟时,验证某一方的口令是否为想要的那个口令;

    (4)SamePwd查询:参与者未完全被模拟且口令未泄露时,验证两方是否拥有相同的口令。

    具体证明过程如下:

    游戏 G0:该游戏是环境Z与现实世界的敌手A及RLWE-CAPAKE协议的实例在随机预言模型以及理想密码模型下进行交互。

    游戏 G1:理想攻击者S模拟随机预言机和加解密预言机。

    (1)在随机预言模型下,S维持一个长度为qH的列表ΛH,用于提供随机预言机H0, H1, H2的查询应答。对于一个Hash查询Hn(q)(n= 0或1或2),如果在ΛH中存在(n,q,r)记录,则返回r;否则,随机选取一个r{0,1}lHn,如果ΛH已经存在(n,,r)记录则中止查询,否则在ΛH中添加(n,q,r)记录并返回r

    (2)在理想密码模型下,S维持一个长度为qE+qD的列表ΛED={(ssid,X,HPW,Y||σ,sa,ea,E,Y)}{(ssid,X,HPW,Y||σ,sa,ea,D,Y)}来提供具有如下属性的加解密预言机查询应答:(a) 对同一口令的同一问题的查询,回答一致;(b) 任一口令的模拟方案加解密是可置换的;(c) 不同口令对应的密文不同。其中sa,ea用于在解密查询时构造Y||σ。对于一个加密查询Essid||HPW(Y||σ),如果ΛED中存在(ssid,X,HPW,Y||σ,,,,Y)记录则返回Y;否则,随机选取YG=G{1},如果ΛED中存在(,,,,,,,Y)记录则中止查询,否则在ΛED中添加(ssid,X,HPW,,Y||σ,,,E,Y)并返回Y,其中代表此处无需用到该值。对于一个解密查询Dssid||HPW(Y),如果在ΛED中存在(,,HPW,Y||σ,,,,Y)记录就返回Y||σ;否则,随机选择ssRq, esχγ, esχγ,计算Y=ass+esRq, v=Xss+esRq, ˉvrdbl(v)R2qσrˉv2q,2{0,1}n,如果ΛED中存在(,,,Y||σ,,,,)记录则中止查询,否则在ΛED中添加(ssid,X,HPW,Y||σ,ss,es,D,Y)并返回Y||σ。上面出现的两种终止查询情况是为了满足不同的口令对应不同的密文这一属性。证毕

    引理 1 游戏G0和游戏G1对于任意环境Z都是计算不可区分的。

    证明:根据哈希函数的抗碰撞性,对于rr, A得到Hn(r)=Hn(r)(n= 0或1或2)的概率是可忽略的。根据RLWE判定问题,A成功区分Y是取自RLWE分布As,χγ还是Rq×Rq的概率可忽略。对于YY, σσ, YY, Essid||HPW(Y||σ)Essid||HPW(Y||σ)得到相同的密文Y的概率及Dssid||HPW(Y)Dssid||HPW(Y)得到相同的Y||σ的概率也是可忽略的。因此A无法在PPT内区分游戏G0和游戏G1。证毕

    游戏 G2:此游戏与游戏G1基本相同,不同之处在于如果现实世界敌手A在未执行任何查询的情况下成功猜测出Ku,则理想攻击者S中止模拟随机预言机和加解密预言机。

    引理 2 游戏 G1和游戏G2对于任意环境Z都是计算不可区分的。

    证明:现实世界敌手A在未执行任何查询的情况下成功猜测出Ku发生的概率是可忽略的,故A无法在PPT内区分游戏G1和游戏G2。证毕

    游戏 G3:假定S有能力掌控协议前3轮的双方参与者,可知道两参与者的口令,而敌手可通过完全获得参与者的内部存储器来攻陷参与者。如果在第S4步之前没有发生攻陷,S模拟两方参与者模拟协议的执行。如果在第S4步最开始,两方参与者仍然都没有被攻陷,且所有的消息都是预言机产生的,则S执行SamePwd查询,验证两方口令是否相同。如果两方口令相同,S在密钥空间中随机选择一个密钥K并发送给两方参与者;否则,S在密钥空间中随机选择一个密钥单独发给客户端,服务器则只收到错误信息。如果在第S4步之前某一方参与者已经被攻陷,S将不执行任何操作。

    引理 3 游戏G2和游戏G3对于任意环境Z都是计算不可区分的。

    证明:当两方参与者的口令相同时,此游戏与游戏G2不可区分;当两方参与者的口令不同时,除了碰撞外,此游戏中协议的第S4步的一次执行与现实世界模型中协议的第S4步的一次执行不可区分。由哈希函数的抗碰撞性可知,发生碰撞的概率可忽略,故A无法在PPT内区分游戏G2和游戏G3。证毕

    游戏 G4S在不获得客户端口令的情况下,从协议的最开始模拟未被攻陷的客户端:在第U1步,S模拟客户端选择随机数sxRq,exχγ并计算相应的X发送给服务器;在第U3步,若S模拟的客户端仍然未被攻陷,则它不能发起对Y的解密查询。随后,如果客户端收到的消息都是预言机生成的,S通过H1查询获取Auth=H1(ssidUSXY),其中H1S的私有随机预言机。如果客户端收到的信息不是预言机生成的,分两种情况进行操作:(1)若服务器被A攻陷,则S可以得到服务器的口令(此时的模拟器为H,它同时具有AS两种身份),或者如果Y已在加密查询下被A获取,S可利用加解密查询列表ΛED恢复出服务器使用的口令。随后,在接收Y时,S进行GoodPwd查询,若口令正确,S通过H1查询获取Auth=H1(ssidUSXYKu);否则,通过H1查询获取Auth=H1(ssidUSXY)。(2)如果Y未在加密查询下被A获取过,S模拟客户端通过H1查询获取Auth=H1(ssidUSXY)。但是若A询问了以ssidUSXYKussidUSXYKs为输入的H0H1查询会使得游戏中止。

    在第U3步,在S模拟的客户端仍未被A攻陷时,如果由H1查询获取Auth且没有攻陷发生在任何一方,则S通过H0查询获取SKu。如果由H1查询获取Auth,或由H1查询获取Auth但之后发生了攻陷,则S通过H0查询获取SKu。如果在此步S模拟的客户端被攻陷,S可以得到内部状态sx, exHPW,从而可以计算出Y||σ,接下来,S重新执行预言机获取Auth=H1(ssidUSXYKu)SKu=H2(ssidUSXYKu)

    在第S4步,若服务器被攻陷,且S进行GoodPwd查询后口令正确,S重新执行预言机获取Auth=H1(ssidUSXYKs)SKs=H2(ssidUSXYKs)。当且仅当A在攻陷之前询问了以ssidUSXYKussidUSXYKs为输入的H0H1查询,A能够对游戏G4与游戏G3进行区分。

    引理 4 游戏G3与游戏G4对于任意环境Z都是计算不可区分的。

    证明:A未在加密查询下并且获取过Y的情况下知道相应的syey的概率可忽略,A在第S4步攻陷服务器之前询问了以ssidUSXYKussidUSXYKs为输入的H0H1查询的概率也可忽略,故A无法在PPT内区分游戏G3与游戏G4。证毕

    游戏 G5:在该游戏中,S模拟在第S4步中没被攻陷的服务器。分如下两种情况:

    (1)如果在第S4步之前没有攻陷发生,且所有的信息都是预言机产生的,则S之后的操作与G3中的操作相同。

    (2)如果在第S4步之前客户端已经被A攻陷,或者某一信息不是预言机产生的(比如A已经通过解密Y获得Y),S恢复出服务器已使用过的口令,并验证客户端发送的Auth是否正确。如果Auth正确,S询问关于服务器的GoodPwd查询,若口令正确,服务器会获得和客户端同样的密钥,否则,会获得一条错误信息。如果Auth不正确,服务器会获得一条错误信息。

    若服务器在第S4步被A攻陷,S恢复出服务器的口令,查询列表ΛED找到该口令相应的信息发送给A。当A意外猜测到了Y时,A可在客户端发送完Auth之后模仿客户端,此时游戏中止。

    引理 5 游戏G4和游戏G5对于任意环境Z都是计算不可区分的。

    证明:A意外猜测到Y的概率可忽略,故A无法在PPT内区分游戏G4和游戏G5。证毕

    游戏 G6S从协议开始模拟未被攻陷的服务器。在第S2步,S随机选择一个未执行过加密查询的Y发送给客户端。如果在之后服务器被A攻陷,S利用列表ΛED获得相应的sy, eyY||σ并发送给A。如果一直到游戏的最后两参与者仍未被攻陷,与游戏G3不同,他们会得到一个共享的基于口令的会话密钥。参与者之一被攻陷的情况与游戏G4和游戏G5中的描述相同,且游戏的执行不依赖Y的值。

    引理 6 游戏G5和游戏G6对于任意环境Z都是计算不可区分的。

    证明:游戏G3, G4G5中可能中止情况发生的概率都是可忽略的,故A无法在PPT内区分游戏G5和游戏G6。证毕

    游戏 G7S从协议开始模拟未被攻陷的客户端和服务器,其中将游戏G6中使用的混合模型下的GoodPwd查询和SamePwd查询分别替换为理想模型下的TestPwd查询和NewKey查询,若游戏中止或终止都会告知A

    引理 7 游戏G6和游戏G7对于任意环境Z都是计算不可区分的。

    证明:如果两方参与者拥有相同的ssid,相对的角色(客户端和服务器)并且有相同的(X,Y)对,则称两方参与者拥有匹配会话。如果客户端和服务器拥有匹配会话,则他们会得到相同的会话密钥:如果两方都未被攻陷,则他们的会话密钥与实验G3中相同;如果客户端未被攻陷,服务器被攻陷,他们的会话密钥与游戏G4中相同;如果客户端被攻陷,则他们的会话密钥与游戏G5相同。如果客户端和服务器未拥有匹配会话,他们的(X,Y)对或Auth必有不同,两方拥有相同的(X,Y)对的概率以q2ε/q为上界,这个概率可忽略,其中qε为向预言机加密查询的次数。故A无法在PPT内区分游戏G6和游戏G7。证毕

    由于游戏G7与理想功能ˆFCApwKE中的客户端和服务器拥有完全一致的行为,因此游戏G7与理想功能ˆFCApwKE对于任意环境Z都是概率多项式不可区分的。进一步综合引理1至引理7可知,对于任意环境Z,在和混合敌手H及新提出协议的实例交互后输出1的概率分布与在和理想攻击者S及理想功能ˆFCApwKE交互后输出1的概率分布是计算不可区分的。定理1证毕。

    本节从安全性和计算与通信效率两方面对本文所提出的新协议与Ding等人[7]提出的PAK理想格扩展协议(RLWE-PAK)及Gao等人[12]提出的SRP理想格扩展协议(RLWE-SRP)进行比较。Ding式REC代表Ding式误差调和机制,Peikert式REC代表Peikert式误差调和机制。

    表2所示,这3个协议均基于RLWE问题,且通信开销也基本相同。RLWE-PAK与本文新协议的环运算次数基本相同,但是它的安全性证明基于BPR模型。如前所述,该模型相对UC模型而言不够完善。进一步,相比RLWE-SRP协议,虽然两者都在UC框架下被证明安全性,但是,本文新协议具有更少的环运算次数,即具有更高的计算效率。因此,综合而言,新协议具有更高的安全性和更好的效率。

    表 2  理想格上口令基2PAKE协议的性能比较
    协议通信开销环运算次数安全模型难题假设误差调和
    RLWE-PAK2nlog2q+n4BPR模型RLWEDing式REC
    RLWE-SRP2nlog2q+n5UC模型RLWEDing式REC
    本文协议2nlog2q+n4UC模型RLWEPeikert式REC
    下载: 导出CSV 
    | 显示表格

    本文提出了一个基于RLWE问题的2PAKE协议,并在UC框架下详细证明了其安全性。新协议采用了更加高效的误差调和机制。通过与现有相关协议进行比较,结果表明了新协议具有更高的安全性和计算效率。

  • 图  1  RLWE-CAPAKE的相互认证及密钥交换过程

    表  1  UC框架不可区分性证明概览

    游戏模型游戏模拟器挑战者
    U1U2U3U4哈希与加解密
    G0现实真实真实真实真实真实协议A
    G1混合真实真实真实真实模拟HA
    G2混合真实真实真实真实模拟HA
    G3混合真实真实真实模拟模拟HA
    G4混合模拟真实模拟真实模拟HA
    G5混合真实真实真实模拟模拟HA
    G6混合真实模拟真实模拟模拟HA
    G7理想模拟模拟模拟模拟模拟SA
    下载: 导出CSV

    表  2  理想格上口令基2PAKE协议的性能比较

    协议通信开销环运算次数安全模型难题假设误差调和
    RLWE-PAK2nlog2q+n4BPR模型RLWEDing式REC
    RLWE-SRP2nlog2q+n5UC模型RLWEDing式REC
    本文协议2nlog2q+n4UC模型RLWEPeikert式REC
    下载: 导出CSV
  • [1] SHOR P W. Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer[J]. SIAM Review, 1999, 41(2): 303–332. doi: 10.1137/S0036144598347011
    [2] HALLGREN S. Fast quantum algorithms for computing the unit group and class group of a number field[C]. The Thirty-Seventh Annual ACM Symposium on Theory of Computing, Baltimore, USA, 2005: 468–474. doi: 10.1145/1060590.1060660.
    [3] KATZ J and VAIKUNTANATHAN V. Smooth projective hashing and password-based authenticated key exchange from lattices[C]. The 15th International Conference on the Theory and Application of Cryptology and Information Security: Advances in Cryptology, Tokyo, Japan, 2009: 636–652. doi: 10.1007/978-3-642-10366-7_37.
    [4] JIANG Shaoquan and GONG Guang. Password based key exchange with mutual authentication[C]. The 11th International Workshop on Selected Areas in Cryptography, Waterloo, Canada, 2004: 267–279. doi: 10.1007/978-3-540-30564-4_19.
    [5] DING Yi and FAN Lei. Efficient password-based authenticated key exchange from lattices[C]. The 2011 Seventh International Conference on Computational Intelligence and Security, Sanya, China, 2011: 934–938. doi: 10.1109/CIS.2011.210.
    [6] ZHANG Jiang and YU Yu. Two-round PAKE from approximate SPH and instantiations from lattices[C]. The 23rd International Conference on the Theory and Application of Cryptology and Information Security, Hong Kong, China, 2017: 37–67. doi: 10.1007/978-3-319-70700-6_2.
    [7] DING Jintai, ALSAYIGH S, LANCRENON J, et al. Provably secure password authenticated key exchange based on RLWE for the post-quantum world[C]. The Cryptographers’ Track at the RSA Conference, San Francisco, USA, 2017: 183–204. doi: 10.1007/978-3-319-52153-4_11.
    [8] LI Zengpeng and WANG Ding. Two-round PAKE protocol over lattices without NIZK[C]. The 14th International Conference on Information Security and Cryptology, Fuzhou, China, 2019: 138–159. doi: 10.1007/978-3-030-14234-6_8.
    [9] KARBASI A H, ATANI R E, and ATANI S E. A new ring-based SPHF and PAKE protocol on ideal lattices[J]. ISeCure, 2019, 11(1): 1–11. doi: 10.22042/ISECURE.2018.109810.398
    [10] BELLARE M, POINTCHEVAL D, and ROGAWAY P. Authenticated key exchange secure against dictionary attacks[C]. International Conference on the Theory and Application of Cryptographic Techniques, Bruges, Belgium, 2000: 139–155. doi: 10.1007/3-540-45539-6_11.
    [11] CANETTI R, HALEVI S, KATZ J, et al. Universally composable password-based key exchange[C]. The 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Aarhus, Denmark, 2005: 404–421. doi: 10.1007/11426639_24.
    [12] GAO Xinwei, DING Jintai, LIU Jiqiang, et al. Post-quantum secure remote password protocol from RLWE problem[C]. The 13th International Conference on Information Security and Cryptology, Xi'an, China, 2018: 99–116. doi: 10.1007/978-3-319-75160-3_8.
    [13] WU T. The secure remote password protocol[C]. The 1998 Internet Society Network and Distributed System Security Symposium, San Diego, USA, 1998: 97–111.
    [14] DING Jintai, XIE Xiang, and LIN Xiaodong. A simple provably secure key exchange scheme based on the learning with errors problem[R]. Cryptology ePrint Archive: Report 2012/688, 2012.
    [15] PEIKERT C. Lattice cryptography for the internet[C]. The 6th International Workshop on Post-Quantum Cryptography, Waterloo, Canada, 2014: 197–219. doi: 10.1007/978-3-319-11659-4_12.
    [16] ABDALLA M, CATALANO D, CHEVALIER C, et al. Efficient two-party password-based key exchange protocols in the UC framework[C]. The Cryptographers’ Track at the RSA Conference, San Francisco, USA, 2008: 335–351. doi: 10.1007/978-3-540-79263-5_22.
    [17] LYUBASHEVSKY V, PEIKERT C, and REGEV O. On ideal lattices and learning with errors over rings[C]. The 29th Annual International Conference on the Theory and Applications of Cryptographic Techniques, French Riviera, French, 2010: 1–23. doi: 10.1007/978-3-642-13190-5_1.
    [18] 张洋, 刘仁章, 林东岱. 理想格上格基的快速三角化算法研究[J]. 电子与信息学报, 2020, 42(1): 98–104. doi: 10.11999/JEIT190725

    ZHANG Yang, LIU Renzhang, and LIN Dongdai. Fast triangularization of ideal latttice basis[J]. Journal of Electronics &Information Technology, 2020, 42(1): 98–104. doi: 10.11999/JEIT190725
    [19] CANETTI R and RABIN T. Universal composition with joint state[C]. The 23rd Annual International Cryptology Conference on Advances in Cryptology, Santa Barbara, USA, 2003: 265–281. doi: 10.1007/978-3-540-45146-4_16.
    [20] HOFHEINZ D and MÜLLER-QUADE J. Universally composable commitments using random oracles[C]. First Theory of Cryptography Conference on Theory of Cryptography, Cambridge, USA, 2004: 58–76. doi: 10.1007/978-3-540-24638-1_4.
    [21] LISKOV M, RIVEST R L, and WAGNER D. Tweakable block ciphers[C]. The 22nd Annual International Cryptology Conference on Advances in Cryptology, Santa Barbara, USA, 2002: 31–46. doi: 10.1007/3-540-45708-9_3.
  • 期刊类型引用(10)

    1. 刘国光, 胡学成, 杜文韬. 基于二维匹配优化成像的地面动目标检测方法. 电子测量技术. 2019(05): 44-51 . 百度学术
    2. 聂松, 郝明, 庄龙, 刘颖. 基于CSI-ISAR的非合作目标成像技术. 电子测量技术. 2019(05): 90-94 . 百度学术
    3. 聂松, 郝明, 庄龙, 刘颖. 基于CSI-MD的地面动目标聚焦成像技术. 现代雷达. 2019(08): 23-28 . 百度学术
    4. 张升, 孙光才, 李学仕, 邢孟道. 一种新的基于瞬时干涉的SAR-GMTI精聚焦和定位方法. 电子与信息学报. 2015(07): 1729-1735 . 本站查看
    5. 易鸿. 一种对多目标高概率检测及高精度成像算法. 贵州师范大学学报(自然科学版). 2015(06): 101-105 . 百度学术
    6. 张学攀, 廖桂生, 朱圣棋, 束宇翔, 李东. 单通道SAR无模糊估计快速运动目标速度. 电子与信息学报. 2014(08): 1932-1938 . 本站查看
    7. 郑纪彬, 朱文涛, 苏涛, 何学辉. 一种新的高速多目标快速参数化检测算法. 电子与信息学报. 2013(02): 381-387 . 本站查看
    8. 郑纪彬, 任爱锋, 苏涛, 朱文涛. 多分量Chirp信号相位参数的精确估计算法. 西安交通大学学报. 2013(02): 69-74 . 百度学术
    9. 张学攀, 廖桂生, 朱圣棋, 许京伟, 杨东. 基于双通道距离频率干涉相位解运动目标径向速度模糊方法. 宇航学报. 2013(08): 1152-1158 . 百度学术
    10. 杨洁. 多通道SAR-GMTI处理的统计特性分析. 西安邮电学院学报. 2011(04): 9-12+20 . 百度学术

    其他类型引用(4)

  • 加载中
图(1) / 表(2)
计量
  • 文章访问数:  1613
  • HTML全文浏览量:  525
  • PDF下载量:  106
  • 被引次数: 14
出版历程
  • 收稿日期:  2019-12-24
  • 修回日期:  2021-03-09
  • 网络出版日期:  2021-03-12
  • 刊出日期:  2021-06-18

目录

/

返回文章
返回