论文部分内容阅读
密码系统的密钥一般都是均匀随机的,在密码系统运行过程中也经常会有随机数参与,因此均匀随机且精确再生的字符串在密码学中起着至关重要的作用。然而在现实生活中,能够直接产生均匀随机且精确再生字符串的随机源是很稀有的,噪音随机源却大量存在,例如人的生物信息。噪音随机源有足够大的最小熵但不是均匀分布的,且每次采样的结果并不完全相同,而是有一些误差。如何利用这些噪音随机源产生均匀随机且精确再生的字符串正是模糊提取器所关心的问题。模糊提取器可以从噪音随机源中提取一个均匀随机的字符串。在提取一个均匀随机字符串R的同时,它还会生成一个公开帮助字符串P来纠错,确保R是可以精确再生的。但是模糊提取器还有如下问题限制其实用性:-无法抵御主动攻击的敌手.为了保证R可以精确再生,公开帮助字符串P必须要妥善地保管。如果主动攻击的敌手篡改了P,那么用户可能会得到一个错误的R’。将一个错误的R’用于密码系统中,可能会造成进一步的损失。-无法保证对同一噪音随机源进行多次提取的安全性.模糊提取器只能保证从一个噪音随机源中提取一个字符串的安全性。但是,如果对一个噪音随机源(如人的生物信息)只能进行一次提取,这将是对噪音随机源的极大浪费。为了解决上述问题,鲁棒模糊提取器和可重用模糊提取器的概念相继提出。鲁棒模糊提取器可以抵御主动攻击的敌手,任意对P的篡改,都会被监测到;可重用模糊提取器保证了从一个噪音随机源中进行多次提取的安全性。目前虽然已有多个鲁棒模糊提取器和可重用模糊提取器的构造方法,但是还有许多不足,例如:(1)现有的鲁棒模糊提取器的熵损都比较大,故所提取的密钥比特数比较少。(2)现有的可重用模糊提取器要么基于随机预言机,要么基于非标准假设,要么只能纠亚线性级的错误,还没有标准假设下可以纠线性级错误的鲁棒可重用模糊提取器的构造方法。(3)鲜有人研究构造鲁棒性和可重用性兼备的模糊提取器,更加没有标准模型下的鲁棒可重用模糊提取器的构造方法。(4)随着量子技术的发展,传统的基于数论困难问题的密码方案或许不再安全。LWE(learning with error)问题具有公认的抗量子特性,而现有的基于LWE假设的(可重用)模糊提取器只能纠对数级错误。而且尚不存在基于LWE假设的鲁棒可重用模糊提取器。针对以上四个不足,我们对模糊提取器进行了深入研究,并取得了如下研究成果:·构造了一个提取长度更长的鲁棒模糊提取器.我们介绍了计算安全鲁棒模糊提取器的定义,将统计意义下的安全性放松到了计算意义下的安全性。我们构造了一个基于子群成员问题困难性和离散对数假设的鲁棒模糊提取器。与目前最优的Cramer等人设计的鲁棒模糊提取器(EUROCRYPT,2008)相比,输入相同的噪音随机源,我们的方案可以提取更长的字符串。·构造了第一个基于标准假设且可以纠线性级错误的可重用模糊提取器.我们基于Decisional Diffie-Hellman(DDH)假设构造了一个可重用模糊提取器,该模糊提取器是第一个基于标准假设的、可以纠线性级错误的可重用模糊提取器,其安全性可以紧致规约到DDH假设上。我们的构造简洁高效,与传统的非可重用模糊提取器相比,只增加了两个群运算和一个哈希运算。·首次提出鲁棒可重用模糊提取器的通用构造方法.我们给出了鲁棒可重用模糊提取器(robustly reusable fuzzy extractor,rrFE)的定义,对鲁棒性和可重用性进行了形式化定义。同时我们提出了两个rrFE的通用构造方法。1)我们提出了对称密钥封装机制(SKEM),并定义了其key-shift安全性。然后以SKEM、同态的有损代数过滤器、同态提取器和一个同态安全梗概为组件,提出了一个rrFE的通用构造方法。通过对相应组件实例化,我们得到了第一个基于标准假设的鲁棒可重用模糊提取器,该rrFE还可以纠线性级错误。2)我们以支持辅助输入认证加密方案、同态哈希函数和一个同态安全梗概为组件,提出了 rrFE的另一种通用构造方法。通过对相应组件进行实例化,我们得到了第一个在非配对群上的、高效的、基于DDH假设的鲁棒可重用模糊提取器。该提取器同样可以纠线性级错误。·构造了第一个基于LWE假设的、纠线性级错误的可重用模糊提取器和第一个基于LWE假设的鲁棒可重用模糊提取器.我们首先基于LWE假设构造了一个具体的可重用模糊提取器,然后设计了一个鲁棒可重用模糊提取器的通用构造方法。1)我们提出了一个基于LWE假设的具体的构造方案,该方案是第一个基于LWE假设的、可以纠线性级错误的可重用模糊提取器。该模糊提取器对噪音随机源的结构没有特殊要求,只要求其具有足够大的最小熵。2)我们以unique-input key-shift安全的伪随机函数、同态哈希函数和同态安全梗概为组件,提出了 rrFE的第三种通用构造方法。通过对相应组件进行实例化,我们得到了第一个基于LWE假设的鲁棒可重用模糊提取器。