期王志伟等抗辅助输入安全的 # 构造露密码学 /3**.5&/,5 被提出以应对密钥的泄露问题即如何在密钥泄露的情况下保证密码方案的安全性弹性泄露密码学已成为密码学的研究热点目前已提出的一些主要泄露模型如下仅计算泄露.5&)1&.3.6& )*&. 假设设备在进行密码运算时内

Size: px

Start display at page:

Download "期王志伟等抗辅助输入安全的 # 构造露密码学 /3**.5&/,5 被提出以应对密钥的泄露问题即如何在密钥泄露的情况下保证密码方案的安全性弹性泄露密码学已成为密码学的研究热点目前已提出的一些主要泄露模型如下仅计算泄露.5&)1*&.3*.6& )*&. 假设设备在进行密码运算时内"

鲸庞
5 years ago
Views:

1 第卷第期年月计算机学报!"#$ %& & " 抗辅助输入安全的构造王志伟李道丰张伟陈南京邮电大学计算机学院南京广西大学计算机与电子信息学院南宁伟摘要辅助输入模型是弹性泄露密码学中一个重要的泄露模型它定义了一族不可逆的函数去模拟一类密钥泄露的情况目前已有的抗辅助输入公钥加密方案 # 身份基加密方案 2 都是选择明文攻击安全 #31 的文中提出了一个抗辅助输入选择密文攻击安全 31 的 # 方案方案的构造使用了 4*. 等人在亚密提出的一次泄露过滤函数 &.*)&3356* 并利用 7&*, 8*. 定理构造抗辅助输入的核心部分方案的安全证明利用了一次泄露过滤函数的泄露模式在此模式下由于仅泄露少量的私钥信息因而攻击者对私钥依然存在很大的不确定性其查询非法的密文会被挑战者以高概率拒绝关键词弹性泄露密码学辅助输入一次泄露过滤函数选择密文攻击安全中图法分类号 $# 号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引言在传统的密码学中密码方案的安全性通常基于一个假设即密钥必须被安全保存包括其他的中间状态随机数但是在实际中密钥的泄露通常无法避免例如侧信道攻击就可以得到密码运算的一些特性或者将密钥及随机数重复使用因此弹性泄收稿日期最终修改稿收到日期本课题得到国家自然科学基金和安徽大学信息保障技术协同创新中心年度开放课题资助王志伟男年生博士副教授主要研究方向为信息安全与密码学 )* +,--./.011. 李道丰男年生博士副教授主要研究方向为数字签名网络安全以及密码协议张伟男年生博士教授主要研究领域为网络安全密码协议陈伟男年生博士教授主要研究领域为网络安全云安全

2 期王志伟等抗辅助输入安全的 # 构造露密码学 /3**.5&/,5 被提出以应对密钥的泄露问题即如何在密钥泄露的情况下保证密码方案的安全性弹性泄露密码学已成为密码学的研究热点目前已提出的一些主要泄露模型如下仅计算泄露.5&)1*&.3*.6& )*&. 假设设备在进行密码运算时内存会泄露部分密钥信息不参加运算的部件不会发生泄露泄露受限模型 2&1./ )& 不仅仅是运算会发生泄露而是假设系统整个运行周期内密钥或者内部状态泄露的比特数有一个最大阈值如果泄露超过阈值则希望会被及时发现并中止运行其中此类方案最重要的性能参数是泄露比值 / 即可泄露的比特数和密钥总比特数的比值连续泄露模型 &.*.1/)& 这个模型假设在两个相继的密钥更新时间段内密钥泄露的比特数是有限的密钥需要定期的更新这样可以承受连续的泄露 9 辅助输入模型 1**5*.1)& 由相对泄露模型发展而来它允许攻击者拥有一类不可逆的辅助输入函数去模拟多种泄露的情况通过这些辅助输入函数攻击者可以获得密钥的泄露信息但是无论这些泄露信息有多少甚至密钥在信息论意义上已被完全泄露但是这些泄露的信息都无法帮助攻击者恢复出密钥对于抗泄露的公钥加密方案 # 抗选择明文攻击安全 #31 是指概率多项式时间攻击者即使可以进行密钥泄露查询也无法区分两个等长消息的密文如果攻击者还能进行解密查询只是限制不可以对挑战密文进行查询并且在生成挑战密文后停止密钥泄露的查询这样的安全性称为抗选择密文攻击安全 31 哈希证明系统,3,&&6353) 是目前较为实用的构造安全的 # 的方法但是对于泄露受限模型下的 # 哈希证明系统只能做到密钥泄露比值低于 4*. 等人在 &6,*.+ 的泄露代数函数 &335 /*6* 基础上提出了简化版本即一次泄露过滤函数 &.*)&3356* 将泄露代数函数的代数特性等忽略并且不要求函数可逆 4*. 等人用一次泄露过滤函数和哈希证明系统组合设计出安全的 # 方案并且将密钥的泄露比值提高到 < 目前提出的抗辅助输入的 # 方案包括 2 方案都是 # 安全的我们的思路是利用一次泄露过滤函数将抗辅助输入的 # 方案提高到安全一次泄露函数的特点是泄露模式下仅泄露私钥有限的信息安全证明中的挑战者能以很大概率将攻击者不合法的解密查询拒绝这样做到安全此外一次泄露函数构造简单没有泄露代数函数的代数特性具有较好的效率也是我们选用它进行构造的原因本文的主要贡献在于证明了基于二次剩余群的一次泄露过滤函数 $! 具有泄露性不可区分性和躲闪性基于 $! 构造了一个抗辅助输入的 # 方案对 # 方案给出了安全的证明本文第节列出和本文方案及证明相关的一些预备知识包括抗辅助输入的 # 安全模型 7&*, 8*. 定理一次泄露过滤函数定义卡梅隆哈希函数以及假设第节给出一个基于二次剩余群的一次泄露过滤函数 $! 并证明了它的特性第节设计了一个抗辅助输入的 # 方案并给出安全性证明以及效率分析第节是结论预备知识我们用表示向量第! 个分量表示为! 向量的内积表示为即!&! 我们用表示集合如果表示安全参数则表示个组成的串如果表示集合则 % 表示从集合均匀随机地选取元素 % 我们用 =) 表示输入运行 ) 得到结果我们用 " 表示任意可忽略函数抗辅助输入安全的辅助输入模型下攻击者可以访问私钥的附加信息但是这种信息无论多少攻击者都无法恢复私钥和泄露受限模型相比辅助输入模型中攻击者获得的泄露信息从信息论角度转向了可计算性的角度令 *=+ 是一个公钥加密方案其中为密钥生成算法为加密算法 + 为解密算法私钥空间为 * 公钥空间为 * 消息空间为, 对于任意的函数族 = *>* 我们定义攻击者的求逆胜率为 $ )$ = ) # %-- %--=%- $ )$ 表示攻击者对函数族中所有函数求逆成功概率的最大值

3 计算机学报年令为私钥的比特长度对于任何多项式时间攻击者有 $ )$ 则称多项式时间可计算函数族是 = 求逆困难的这种求逆困难函数弱于单向函数的定义因为单向函数需要完整恢复整个私钥根据文献对于任意的可计算函数族通过挑战者和攻击者的交互我们定义抗辅助输入安全的 # 如下初始化挑战者生成公私钥对 %-- 并选择. 然后将 - 发送给攻击者辅助输入查询挑战者算 / %-- 发送给解密查询攻击者利用 %- 返回明文给挑战攻击者任选并计发送查询密文给发送两个长度相等的明文给挑战者计算. 并返回给解密查询攻击者但不可以查询输出攻击者如果.=.0 则称继续发送密文查询给输出猜测.0 胜出上述游戏定义 ) )$ 为胜出的概率我们称 # 方案是抗辅助输入安全的当且仅当对任意的不可逆函数族和任意的多项式时间攻击者都有 ) )$ ="!)*$ 定理 7&*, 和 8*. 在 9 年提出了二元域的 7&*, 8*. 定理是目前抗辅助输入密码方案的基础定理令是任意的函数如果存在一个区分者在时间内满足 # = =< # = = 则存在一个求逆者满足在时间 0= & 内 # = 随后 &*3 等人又证明了 7&*, 8*. 定理在大域上也成立定理令 1 是素数是 1 的任意子集令是任意的函数如果存在一个区分者在时间内满足 # = 1 =< # = 1 1= 则存在一个求逆者内满足在时间 0= & # = 1 + 一次泄露过滤函数 4*. 等人在基于泄露代数过滤函数 &335 /*6* 的基础上提出了一次泄露过滤函数 &.*)&3356* 的概念一次泄露过滤函数 + $! 是一组由公钥 - 和标记确定的函数族函数 $! - 将 + 映射到 $! - 标记集合可分为两个不可区分的子集即单射标记集合! 与泄露标记集合 %& 假如为单射标记则函数 $! - 也是单射函数它的函数像大小为 + 如果为泄露标记则函数 $! - 的像大小至多为因此函数 $! - 在泄露模式下只泄露关于的比特信息 4*. 等人又提出了唯一泄露过滤函数 1&.&3356* 即泄露标记集合 %& 仅有一个元素它是一次泄露过滤函数的特例易于构造并能和卡梅隆哈希函数组合成一次泄露过滤函数一次泄露过滤函数 + $! 由个概率多项式时将算法组成即密钥生成函数计算和泄露标记生成密钥生成 $!7. 这个算法生成一次泄露过滤函数的公私钥对 - 公钥 - 定义了一个标记空间 = > 分为单射标记子集! 与泄露标记子集 %& 标记 = 中是辅助标记是计算泄露标记的陷门是核心标记私钥函数计算 $!8 这个算法输入公钥 - 标记以及 + 输出 $! - 泄露标记生成 $!$/ 这个算法输入私钥辅助标记输出核心标记满足 = 是泄露标记一次泄露过滤函数 + $! 具备种性质泄露性不可区分性以及躲闪性泄露性假如为单射标记则函数 $! -. 表示随机比特安全定义中攻击者无法区分挑战密文对应的明文. 是还是

4 期王志伟等抗辅助输入安全的 # 构造也是单射函数它的函数像大小为 + 如果为泄露标记则函数 $! - 的像大小至多为不可区分性对任意的概率多项式时间攻击者都难以区分单射标记和泄露标记其胜出概率满足下式 )$! =# $! - =< # - 0 = 其中 -0 由泄露标记生成算法生成随机选自躲闪性对任意的概率多项式攻击者即使给定一个泄露标记它也难以计算出另一个非单射标记其胜出概率满足下式 )$ $ $! = ! %&0 0 - 唯一泄露过滤函数 1&.&3356* 9 由于只有一个泄露标记所以只具有泄露性和不可区分性, 卡梅隆哈希函数卡梅隆哈希函数 9 是具有公私钥对 - 的特殊哈希函数如果仅有计算公钥 - 具有抗碰撞性但是如果有陷门私钥则可以找到碰撞由个概率多项式算法组成即密钥生成函数计算以及两可计算密钥生成 7. 该算法生成卡梅隆哈希函数的公私钥对 - 函数计算 8 这个算法输入计算公钥 - 以及随机数将映射到如果在上是均匀分布的则在上也是均匀分布的两可计算 1 该算法输入陷门私钥以及 0 输出另一个随机数 0 满足函数计算结果相等 8- =8-00 其间 0 同样在上是均匀分布卡梅隆哈希函数在仅有计算公钥 - 情况下具有抗碰撞性即对于任何概率多项式时间攻击者难以找到 00 使得它们函数值相等的胜出概率为 )$ =# = 假设确定性 *6*). 假设令素数阶 1 群的生成元 " 任意选择的生成元 " " 以及随机数 1 和 0 1 假设成立当且仅当对任意概率多项式时间攻击者 )$, =# " " " " =< # " " " " 0 = 是可忽略的 & 等人将假设扩展到个生成元并证明等价于假设即任意选择的生成元 " " 以及随机数 1 和 1 假设成立当且仅当对任意概率多项式时间攻击者 )$, =# " "" " =< # " "" " = 是可忽略的假设 =&/"" =&/"" 其中 1 假设中任意概率多项式时间攻击者胜出概率可变为 )$, =# =< # = 是可忽略的 + 一次泄露函数的构造 + 子群不可区分假设 23* 等人提出了子群不可区分假设即有限可交换乘法群是两个群的直积 = > 其中为循环群且阶为的阶为的阶为要求 "= 如果 =" 则对于任意概率多项式时间攻击者均有 )$ %" =# =< # = =" 4*. 等人又提出了改进的子群不可区分假设即要求也为循环群则也为循环群对于任意概率多项式时间攻击者均有 )$ %" =# =< # = =" 令 " 分别为和的生成元定义一个上界随机选取则 " 均匀分布于均匀分布于令 =" 是如上所述的有

5 计算机学报年限交换乘法群可以得出如下引理引理如果改进的子群不可区分假设在上成立则对于任意的概率多项式时间攻击者都有 # =<# = )$ %" # =<# = )$ %" + 基于二次剩余群的一次泄露函数选取个不同的大素数 1 满足 =1? 则二次剩余群 = > 1 阶为 = =1 二次剩余群 = > 1 节的改进的子群不可区分假设如果不能分解则任意概率多项式时间的攻击者都无法区分和令 " 分别为和 1 的生成元定义一次泄露函数 $! 如下密钥生成任意选择 % > 计算 =8- 计算公钥 -= " * =" % < 陷门私钥为 = 标记空间为 = > 泄露标记子集为 %&= =8- 单射标记子集为! = 8- 函数计算对于和标记 > 计算 =8- 再计算 =" % < 泄露标记生成对于辅助标记用陷门私钥计算核心标记 1 定理 + $! 是一个基于二次剩余群的 &/ 一次泄露过滤函数证明假如 = 为单射标记则 " % < 是一个上的单射函数假如 = 是泄露标记则 = " % < =" % 只泄露 &/ 比特的信息因此 $! 的泄露性成立 % 是随机数且 > 也是随机的则也是随机数对于 " % 均匀分布于 " % < 均匀分布于由于二次剩余群 = > 1 节的改进的子群不可区分假设可由引理得到 )$! $! )$ %" 因此 $! 的不可区分性成立由 $! 的构造可知它是由唯一泄露过滤函数和卡梅隆哈希函数组合而成其中是其中唯一泄露过滤函数仅有的泄露标记因此 $! 的躲闪性仅依赖于卡梅隆哈希函数的抗碰撞性即 )$ $ $! )$ 证毕综上所述 $! 是一个基于二次剩余群的 &/ 一次泄露过滤函数, 抗辅助输入安全的方案 &*3 等人提出了一种抗辅助输入的 # 方案但是其安全是 # 安全在本节中节的 $! 函数将其改进为安全方案 # 方案由个概率多项式时间算法组成密钥生成加密和解密密钥生成选择至少为比特的大素数 1 计算 =1? 则是阶为 =1 的二次剩余群记为那么也是两个循环群的直积 = > 1 令 =&/ 选择中的生成元 " 以及令向量 = = " " 选择比特的随机串 = % % 再选择随机标记 > 以及具有公私钥对 - 的卡梅隆哈希函数计算 =8- 选择中的生成元 " 1 中的生成元以及 $ 计算 *=" $ < 公钥为 *=" " *- 私钥为 *= 加密 *, 输入公钥 * 和明文, 选择计算 = *= =" *,=* * 其中 =8- 辅助标记 = 随机选择核心标记密文为 = > > > 解密 * 输入密文 = 以及私钥 *= 计算 *0= 和 0=* *0 其中 =8- 校验 0= 是否成立如果不成立则拒绝解密并返回如果成立则返回明文,= *0 注意在安全证明中如果攻击者解密查

6 期王志伟等抗辅助输入安全的 # 构造询的密文都是合法的则攻击者能够获得额外的密钥信息和公钥泄漏的私钥信息是完全一样的如果攻击者提交非法密文解密询问且通过验证的话那么从理论角度攻击者可以完全确定密钥信息因此必须提供一种机制将敌手所有解密查询的非法密文拒绝解密在上述方案中节的一次泄露过滤函数 $! 作为对密文的认证在证明中当攻击者进行解密查询时挑战者可以利用一次泄露过滤的性质将非法的密文拒绝其原因是的查询密文以很大的概率是带单射标记如果不合法那么必须了解私钥的全部信息但是挑战密文中又带的是泄露标记其泄露的私钥信息非常有限因此查询的非法密文会被拒绝从而做到安全定理, 如果改进的子群不可区分假设在上成立是一个卡梅隆哈希函数则本节 # 方案是抗辅助输入安全的且概率多项式时间攻击者的胜出概率如下 )$ # )$ %"?)$,? &/ )$? &/ <? 其中为进行的解密查询次数? 证明我们将通过挑战者和概率多项式时间攻击者之间的系列交互游戏 7) 7) 来证明上述定理在每个游戏中选定一个比特. 输出一个比特.0 作为对. 的猜测令! 表示在 7)! 中.0=. 的事件 7) 这是初始的抗辅助输入安全的游戏挑战者首先产生公私钥对 ** 将公钥 * 发送给攻击者当进行解密查询或者私钥泄露查询时利用 ** 返回解密结果或者泄露值 ** 接着提供两个等长的明文,, 给选择. 并对,. 返回挑战密文接着继续进行解密查询但是不能查询最后输出对. 的猜测.0 我们有 )$ # = # < 7) 这个游戏和 7) 相似不同的是挑战密文中的核心标记在 7) 中挑战者利用卡梅隆函数的陷门私钥和一次泄露过滤函数 $! 的泄露标记生成算法 1 产生使得是一个泄露标记而在 7) 中挑战密文中的核心标记随机选自由于 $! 中泄露标记和随机标记的不可区分性对于 $! 不可区分性任意概率多项式时间的攻击者我们有 # <# =)$! $! )$ %" 7) 这个游戏和 7) 类似除了在做解密查询时如果查询密文中的标记拷贝了挑战密文的泄露标记此时挑战者要立即停止并输出在 7) 中假设查询密文中的标记拷贝了挑战密文的泄露标记如果 =0 则暗示 = 在这种情况下 7) 和 7) 中都是被拒绝做密文查询的如果 0 但是由于 = = = 所以 *=* $! - *=$! - * = 那么这样的解密查询也会在 7) 中被拒绝综上 # = # 7) 这个游戏类似于 7) 除了挑战密文中的 = = 替换为 = 则中的向量各分量独立且随机选自对于假设的攻击者 # <# )$, 7) 这个游戏类似于 7) 除了一个解密查询拒绝的规则即提交的查询密文中的向量不合法那么挑战者要立即停止并输出令表示被查询密文 7) 拒绝但是被 7) 接受的事件我们有 # <# # # 必须是可忽略的证明如下令表示在 7) 中存在一个解密查询密文中的标记 = 是一个非单射非拷贝的标记我们有 # =#?# #?# 如果发生则存在一个查询密文中的标记是泄露标记假设是一次泄露过滤函数 $! 的攻击者它的目标是在不知道陷门私钥的情况下输出泄露标记同时在 7) 扮演挑战者对的解密查询作应答当需要产生挑战密文时将作泄露标记查询 $! 的挑战者返回泄露标记当攻击者的次解密查询中有一次发生了事件即是一个泄露标记则可以将作为它的最终输出由 $! 的构造可知它是由唯一泄露过滤函数和卡梅隆哈希函数组合而成其中是唯一泄露过

7 9 计算机学报年滤函数仅有的泄露标记因此如果是泄露标记则表示卡梅隆哈希函数产生了碰撞 8- =8- 因此 #)$ $ $! )$ 如果未发生则所有查询密文中的标记都是单射标记假设 = 是给定使得事件发生的第一个查询密文其中的向量不合法但是 =$! * 其中 = 攻击者能获知公钥 * 挑战密文以及辅助输入由于向量不合法则 * 和对获知 * 没有帮助即 #**= #* 挑战密文中仅有泄露了有关 * 的 &/ 比特中的 * 隐藏于 " * * 有 &/ 种取值共进行了次解密查询因此 #* = &/ &/ < 由 7&*, 8*. 定理可知辅助输入和公钥 * 对恢复私钥的帮助可忽略概率为综上 # 我们有 &/ # #?# &/ <? &/ )$? &/ <? 7) 这个游戏类似于 7) 除了的产生方式在这个游戏中挑战者在上随机选择而不是用 ",. 产生挑战者将对辅助输入求逆的任务归约为以不可忽略的概率区分 7) 和 7) 希望构建一个有效的算法在给定公钥和辅助输入之下依据 7&*, 8*. 定理至少以概率输出其中是区分 * 和 * 的优势概率显而易见如果输入 /= 则它可以模拟 7) 如果选择随机的 / 则它可以模拟 7) 因此 # <# 综合 7) 在 7) 中挑战密文 = 中的向量各分量独立且随机选自 7) 中完成转换挑战密文中的随机选自与,. 完全独立 7) 中完成转换因此在 7) 中攻击者所看到的挑战密文已完全随机和挑战者选择的加密明文,. 已经完全独立所以 # = 综上所述定理得证证毕效率分析定理证明了本节的抗泄露 # 方案为辅助输入模型下安全辅助输入模型和泄露受限模型不同之处在于即使攻击者拥有的不可逆辅助输入函数能够在信息论意义上完全泄露密钥攻击者也不能恢复密钥信息因此抗辅助输入的 # 方案不存在密钥泄露比值这个衡量标准目前尚无辅助输入模型下安全的 # 可于本节方案相比较在表中我们将本节方案与目前个泄露受限模型下基于问题安全的 # 方案作效率比较我们假定在阶为 1 的群中元素会被编码成长度为 &/1 的比特串表效率比较方案名密钥长度 * 密文长度 * &/10 &/1 ; &/10 &/1 本节方案?&/?&/ 表中的 101 都表示群的阶根据文献中的分析方案和 ; 如果要获得较高的密钥泄露比值则需要大幅提高群的阶那么也会相应增大密钥长度和密文长度而本节方案的密钥长度和密文长度则与辅助输入函数的求逆成功概率以及二次剩余群的阶相关 - 结论辅助输入模型是弹性泄露密码学中一种较强的泄露模型它允许攻击者拥有一类不可逆的辅助输入函数去模拟各种泄露情形即使私钥在信息论意义上被完全泄露从辅助输入函数值恢复私钥依然不可能我们提出了一种抗辅助输入安全的公钥加密方案在构造中使用了一次泄露过滤函数去认证隐藏消息的密钥我们的一次泄露过滤函数采用了唯一泄露过滤函数加卡梅隆哈希函数的构造方式当工作在单射模式时它是个单射函数当安全证明中需要切换到泄露模式时它仅泄露 &/ 比特的私钥信息因此攻击者对私钥依然存随机取自

期王志伟等抗辅助输入安全的 # 构造在很大的不确定性从而其查询非法的密文会被挑战者以高概率拒绝目前提出的抗辅助输入的身份基加密方案 2 依然是 # 安全的如何利用一次泄露过滤函数实现安全的抗辅助输入 2 方案依然是一个公开问题参考文献 +*)&-3*#*+ /3**.5&/,5 #&*./3&6,!9#,*,*9!13*+#*+ &,1) 7 / 3**.3*/.13#&*.

8 期王志伟等抗辅助输入安全的 # 构造在很大的不确定性从而其查询非法的密文会被挑战者以高概率拒绝目前提出的抗辅助输入的身份基加密方案 2 依然是 # 安全的如何利用一次泄露过滤函数实现安全的抗辅助输入 2 方案依然是一个公开问题参考文献 +*)&-3*#*+ /3**.5&/,5 #&*./3&6,!9#,*,*9!13*+#*+ &,1) 7 / 3**.3*/.13#&*./3&6,$;1*, -*+. -.&*3&"#1*5.5*&.*., &1.*8 )&#&*./3 &6, #$*8*!. -.&*3 :*,3 /3**.1*5 5&/,5*.,&1.*8)&#&*./3&6,#$.2 *3.+& *&.:3,# &&&&3*.,&1.*8)&#&*./3 &6,$".,. &"/87#1*55&353)33**.&5 /#&*./3&6,#$.2 9 *;,./!1.,..-8*.&6,) 3,&1/3**.1*5.5*&.#&*./3&6,&21,3&).* 9 &*3)*8 &+:*,35&/,5/*.3&.*.1&13 ))&5 3#&*./3 &6,! 3%/3 -&&13*3:32,*8*.//3**.,&1/,1353).5*&.#&*./3&6, $,&3.99 ;,./ "*./-1,* :*:./,1.+,* / 3**.*13.5*&. -*, 63 5*&. "&3.53*3. &.31*&.3#&*./3 &6, #.+,&1,*. &*37&-33*$#1*5.5*&. 3,)3-*,1**5*.13#&*./3&6,$ ;1*,-*+.9 1.$,&-";,./*1".*53.5*&.3**.&&.*.11**5/#&*./3 &6,#$)*/ 4*.2&&./ *1,./* /3**.,&3.*, 311*5.5*&.6&),3,&&6353). &.*)&3356*#&*./3&6, #$ 2./&.*9 &6,*.+ *1,&3.*, 31*5 -*, &) *,3#&*./3 &6, #$,.37 &"/87#1*55&353)33**.&5 /" &1.&.&)1*./ 9 7&*, 8*.,&*6&& *&.3#&*./3 &6, $ 9 9 4*. 2&&./ *1,./* /6* 31 1*5.5*&.*)&.31*&..6&6**./ #&*./3&6,#1*55&/,521.&3 *3/.* *.$,)&.3*/.13#&*./3 &6,.*/&9 & "*./& 1),&* &.31*&.3 &6 6**.31&.&) 61.*&.3&1. &6, " 23*;7&-33*1./3**. 1*5.5*&.1.31/&1*.*3*./1*3,**5 #&*./3&6, #$. 2 /0 1/&.*.#, 33&*&633&*33,*.33 *.1 */* 3*/.13 &8 31*55&/,* &&&3..-&.&131*5 )"$&.*.#,33&*&633& *33,*.33*.1 */*3*/.13.-& 31*55&/,*&&&3 1.0 /&.*.#,&633&*3 3,*.33*.1.-& 31*55&/,* &&&3.0 /&.*.#,&633&*33, *.33*.1.-&31*5.&131*5

9 计算机学报年 "$.*).55&353)3*6*1&8&*, 3*,..3-,*,&- 3&. * *.6&)*&.&135&38*./,53*&*3&6 5&/,*1*&.31,3*)*./&-331)*&. )1**&..-.&*&. / 3**.5&/,5,3.&&3-,*,,3& &.31*&.&6).55&/,**)**83-,*,. &8318./*.383*3-,&.&*.* *.6&)*&.&6353.&,*.**3 / 3**.,3.31**. ).58*&13-&31. 8*5&6/ )&31**5*.1 )&*385 3&./)&)&./,3)&3 1**5*.1 )&*3 8&6&),*8 /)&-,*,&-.51.*.8*61.*&.,.&##$ 835.&)1,1*)/ -*,.&../*/*&**5$,*3&35,&1/,31, 61.*&.*.6&)*&.,&*5 83,.* 3 5**3*&)1*&.5*.63*&&8* 6&)*6..5*&.3,),* **5*.1, *5*.136&)1*33&*36*35*.&1,.&*&.&61**5*.1.&&3,1*5.5*&.3,)3*.,*3)&1.&&3, 6*323,),*3&8318.-,.,835 *31*-*,1**5*.1 &-8,33,)3 -*, 1**5*.1,&3.*.3#31.,&&6&6# 31,..& ), 5*&. 1*3 &-8,.&*. ).5*,*. *3&&8,)33/3&53*.*8*&135 3,)33*3,,&3.*,33 31 *3)1,,.#313,)3.,&-&&.31,31#3,)-*,1**5*.1*3/,./.,*3-&.3131#3,) -*,1**5*.1513*./,&.*)&3356*. *)&3356**3.-,.*&&8&6&)&335 /*6*-,*,*3/&&3&1*&.6&,31*5 :&8&13,),**331-*,1**5 *.1513*./,&*3&6&.*)&335 6*$,*3*3,6*3#3,)-*,31 $,*33, *3 31& 5, *&. 1 *.!&1.*&. &6,* &3@

期张明武等高效弹性泄漏下安全公钥加密体制 ,/+9$/+&):488&+&,8,&18&+:8&99+:8&4'8 8&8/8& 9,1' :&8&:8&, &8/**8 1&4:,:+8' &):9-8/'89,+/),'18,.9+&):488&+&,8*):&9

期张明武等高效弹性泄漏下安全公钥加密体制 *,/+9$/+&):488*&+&,8,&18*&+:8*&99+:8*&4*'8 8&8/8& 9,*1' :&8&:8*&, &8/**8 1&4:,:+8*' &):9-*8/'89,+/),'18,*.9+&):488*&+&,8*):&9 第卷第期年月计算机学报!"#$ %&' & " 高效弹性泄漏下安全公钥加密体制张明武陈泌文何德彪杨湖北工业大学计算机学院武汉波陕西师范大学计算机学院西安中国科学院信息工程研究所信息安全国家重点实验室北京武汉大学软件工程国家重点实验室武汉摘要公钥密码体制中要求算法和公钥是公开的而密钥必须是严格保密的但在实际应用系统中攻击者可以从保密密钥和加密系统内部通过侧信道攻击等手段获得部分密钥