一個(gè)單方加密-多方解密的公鑰加密方案的分析

劉雪樵

（暨南大學(xué) 計(jì)算機(jī)系，廣東 廣州510632）

隨著數(shù)字電視等數(shù)字信息服務(wù)的普及，人們對(duì)用戶(hù)的身份認(rèn)證與通信保密性也提出了更高要求。發(fā)送者希望密文只能被經(jīng)過(guò)授權(quán)的接收者所解密，而未授權(quán)的接收者將不能解密。無(wú)線(xiàn)網(wǎng)絡(luò)和有線(xiàn)網(wǎng)絡(luò)中的廣播/組播業(yè)務(wù)對(duì)于發(fā)送方和接收方也有類(lèi)似要求。因此，如何保證上述情景下的通信安全亟待解決。

1976年，DEFFIE W和HELLMAN M E首次提出了公鑰密碼體制這一概念[1]，意味著同一消息的加密與解密密鑰不同且成對(duì)出現(xiàn)。加密密鑰即公鑰是公開(kāi)的，而解密密鑰即私鑰唯有解密方知道，因此通信前無(wú)需進(jìn)行密鑰協(xié)商。公鑰加密方案常用于傳遞秘密信息和協(xié)商會(huì)話(huà)密鑰。盡管公鑰加密方案能夠解決單播加密問(wèn)題，但由于只有一個(gè)解密私鑰，因此在廣播/組播和會(huì)議密鑰的安全分發(fā)等應(yīng)用場(chǎng)景中仍存在效率低的局限性。由此單方加密-多方解密的公鑰加密方案應(yīng)運(yùn)而生。

1979年，SHAMIR A提出了秘密共享方案[2]，使得單方加密-多方解密成為可能。單方加密-多方解密即具有一個(gè)發(fā)送者、多個(gè)接收者。發(fā)送者持有唯一的加密密鑰，只需加密一次，而多個(gè)解密方則持有各自不同的解密密鑰，加密方加密過(guò)的密文可以被任一解密方持有的解密密鑰所解密，得到同一則明文消息，即多個(gè)解密方均可解密該密文。這一概念最初是由BAUDRON O等人[3]與BELLARE M等人[4]在將單接收者推廣到多接收者的基礎(chǔ)上提出的。此后，BAEK J等人利用雙線(xiàn)性配對(duì)構(gòu)造了基于身份的具有多接收者的公鑰加密方案[5]。

最近，龐遼軍等人提出了一個(gè)單方加密-多方解密的公鑰加密方案[6]，并稱(chēng)其方案滿(mǎn)足前向保密性。然而遺憾的是，本文通過(guò)具體分析，表明其方案并不能滿(mǎn)足前向保密性。

1 預(yù)備知識(shí)

1.1 雙線(xiàn)性配對(duì)

(G1，+)、(G2，·)為兩個(gè)階數(shù)均為素?cái)?shù) p 的循環(huán)群，其中前者為加法群，后者為乘法群；令P為G1的生成元。稱(chēng)變換e：G1×G1→G2為雙線(xiàn)性變換，如果滿(mǎn)足下面的性質(zhì)：

(1)雙線(xiàn)性：對(duì)任意P1、P2和Q∈G1，有e(P1+P2，Q)=e(P1，Q)e(P2，Q)成立。

(2)非退化性：存在P∈G1即e(P，P)≠1，也就是說(shuō)e(P，P)是G2的生成元。

(3)可計(jì)算性：對(duì)任意P1，P2∈G1，存在有效算法計(jì)算e(P1，P2)。

1.2 SHAMIR A的秘密共享方案

SHAMIR A提出的基于Lagrange插值公式構(gòu)造的(t，n)門(mén)限秘密共享方案[2]如下：

(1)初始化階段：秘密分發(fā)者D隨機(jī)地從GF(q)(q為素?cái)?shù)且q＞n)中選取n個(gè)不同的非零元素x1，x2，…，xn，使用xi標(biāo)識(shí)每一個(gè)參與者Ui(i=1，2，…，n)，所有xi的值都是公開(kāi)的。

(2)秘密分發(fā)階段：若D打算讓這n個(gè)參與者共享秘密s∈GF(q)，則D隨機(jī)選擇t-1中的s∈GF(q)個(gè)元素a1，a2，…，at-1構(gòu)造t-1 次多項(xiàng)式f(x)=s+a1x+…+at-1xt-1。計(jì)算yi=f(xi)(i=1，2，…，n)并將yi安全地發(fā)送給相應(yīng)參與者Ui作為其子秘密。

3.協(xié)調(diào)成立聯(lián)席工作機(jī)制。2018年5月，省農(nóng)業(yè)廳與財(cái)政廳、教育廳、衛(wèi)計(jì)委和民政廳召開(kāi)了山西省農(nóng)墾國(guó)有農(nóng)場(chǎng)辦社會(huì)職能改革工作聯(lián)席會(huì)議，建立了省級(jí)聯(lián)席會(huì)議機(jī)制，明確了各部門(mén)的職責(zé)范圍，形成工作合力。我省承擔(dān)農(nóng)墾改革任務(wù)的大同市、朔州市、呂梁市、臨汾市、長(zhǎng)治市和忻州市也相應(yīng)建立了市縣級(jí)部門(mén)聯(lián)席會(huì)議推進(jìn)的工作機(jī)制，明確由五部門(mén)共同對(duì)各市縣國(guó)有農(nóng)場(chǎng)所承擔(dān)的辦社會(huì)職能情況進(jìn)行核實(shí)和界定，共同指導(dǎo)、協(xié)調(diào)推進(jìn)改革。

2 單方加密-多方解密的公鑰加密方案

龐遼軍等人的單方加密-多方解密的公鑰加密方案[6]如下：

(1)系統(tǒng)建立：(G1，+)、(G2，·)為階數(shù)p為素?cái)?shù)的循環(huán)群，前者為加法群，后者為乘法群，G1中的Diffie-Hellman計(jì)算問(wèn)題為困難問(wèn)題；P為G1的生成元；e為G1和G2上的雙線(xiàn)性變換；(Ek，Dk)為某對(duì)稱(chēng)加密方案的加、解密算法，k為對(duì)稱(chēng)密鑰；h(·)是單向 Hash 函數(shù)；hk(·)是由密鑰k控制的鑰控單向Hash函數(shù)。假設(shè)所選對(duì)稱(chēng)加密方案和Hash函數(shù)是密碼學(xué)安全的。

假設(shè)系統(tǒng)中有一個(gè)發(fā)送方(加密者)S和n個(gè)接收方(解密者)R1，R2，…，Rn。S選取兩個(gè)正整數(shù)a和b，并在中隨機(jī)選擇a+bn個(gè)不同的元素，構(gòu)成以下n+1個(gè)向量：S隨機(jī)選取自己的加密主密鑰，并計(jì)算QS=SSP∈G1。S隨機(jī)選擇兩個(gè)元素Q1，Q2∈G1以及一個(gè)a+b-1次多項(xiàng)式f(x)∈Zp[x]，使之滿(mǎn)足f(0)=SS，并計(jì)算如下兩個(gè)向量：

系統(tǒng)參數(shù)表示如 下：①(p，G1，G2，e，P，QS，Q1，Q2，S，R1，…，Rn，S*)為系統(tǒng)公共參數(shù)；②SS為發(fā)送方S的加密主密鑰，S將其保密；③為消息接收方Ri的解密私鑰(i=1，2，…，n)。

②計(jì)算k′：

其中，符號(hào) Value(X，i)表示返回向量（或數(shù)組）X中的第i個(gè)分量（或元素）的值。

④判斷I′=I，相等則接受m′為合法明文，否則拒絕m′。

3 對(duì)單方加密-多方解密的公鑰加密方案的分析

所謂前向保密性，是指當(dāng)秘密分發(fā)者的私鑰泄漏后，之前所共享秘密的安全性不會(huì)受到任何影響[7]。該方案聲稱(chēng)其具備前向保密性，即使發(fā)送者的主密鑰SS泄漏，也不會(huì)對(duì)以前由其建立的會(huì)話(huà)密鑰k構(gòu)成威脅，也就是說(shuō)攻擊者通過(guò)這個(gè)主密鑰得不到以前建立的會(huì)議密鑰，從而也影響不了之前發(fā)送過(guò)的消息的保密性。

因此發(fā)送者的主密鑰SS泄漏將會(huì)導(dǎo)致以前建立的會(huì)話(huà)密鑰k的泄漏，從而威脅到之前發(fā)送消息的保密性，即龐遼軍等人[6]的方案不具備前向保密性。

本文針對(duì)龐遼軍等人的單方加密-多方解密的公鑰加密方案[6]進(jìn)行了具體分析，指出其方案并不能滿(mǎn)足其所聲稱(chēng)的前向保密性，即加密者的主密鑰泄漏，將會(huì)影響到之前加密過(guò)的信息的安全性。

[1]DIFFIE W，HELLMAN M E.New directions in cryptography[J].IEEE Transactions on Information Theory，1976(22)：474-492.

[2]SHAMIR A.How to share a secret communications of the ACM[J].1979，22(11)：612-613.

[3]BAUDRON O，POINTCHEVAL D，STERN J.Extended notions of security for multicast public key cryptosystems[C].Proceedings of the Automata，Languages and Programming 27th International Colloquium，Geneva，Switzerland，2000.

[4]BELLARE M，BOLDYREVA A，MICALI S.Public-key encryption in a multi-user setting：Security proofs and improvements[C].Proceedings of the International Conference on the Theory and Application of Cryptographic Techniques，Bruges，Belgium，2000.

[5]BAEK J，SAFAVI N R，SUSILO W.Efficient multi-receiver identity-based encryption and its application to broadcast encryption[C].LNCS 3386：Proceedings of the 8th Int Workshop on Theory and Practice in Public Key Cryptography，Berlin：Springer，2005.

[6]龐遼軍，李慧賢，裴慶祺，等.一個(gè)單方加密-多方解密的公鑰加密方案[J].計(jì)算機(jī)學(xué)報(bào)，2012，35(5)：1059-1066.

[7]龐遼軍，裴慶祺，焦李成，等.基于 ID的門(mén)限多重秘密共享方案[J].軟件學(xué)報(bào)，2008，19(10)：2739-2745.