1 / 33

An efficient IND-CCA2 secure Paillier -based cryptosystem

An efficient IND-CCA2 secure Paillier -based cryptosystem. Angsuman Das, Avishek Adhikari (India) Information Processing Letters 112 (2012) 885-888 Citation: 2 Presenter: 方竣民 Date: 2013/12/02. Outline. Introduction Preliminaries and definitions The proposed IND-CCA2 conversion

reid
Download Presentation

An efficient IND-CCA2 secure Paillier -based cryptosystem

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. An efficient IND-CCA2 secure Paillier-based cryptosystem Angsuman Das, AvishekAdhikari (India) Information Processing Letters 112 (2012) 885-888 Citation: 2 Presenter: 方竣民 Date: 2013/12/02

  2. Outline • Introduction • Preliminaries and definitions • The proposed IND-CCA2 conversion • Security analysis • Comparison • Conclusions

  3. Introduction 公開金鑰密碼系統的目標是設計可抵抗選擇密文攻擊的密碼系統。 CCA2的安全性是有用的概念,當攻擊者被允許Query Oracle來做加解密,利用他自己選擇的密文,並嘗試破解。 這些不安全的方案在做一些較大的應用時,有被攻擊者利用的可能。

  4. Introduction 對於許多現存的public-key密碼系統都只達到CPA-secure,CPA密碼系統存在著通用與專用的轉換至CCA2 secure。 在現有的work,一個新的Paillier加密方案至IND-CCA2的轉換被提出。 並展示這種轉換比現有的各種通用或專用的轉換都更好。

  5. Preliminaries and definitions 決策性複合剩餘假設 設定,其中p,q為大質數,, 我們定義 其中

  6. Preliminaries and definitions 決策性複合剩餘假設 為一個同構(isomorphism)函式,若g的順序在是n的倍數 簡單地說是區分從或是選出的隨機元素 從形式上看,使得Gen為一個polynomial-time演算法 Input Outputs (n,p,q),n=pq p,q為k bits的質數,除非概率可以忽略不計k

  7. Preliminaries and definitions 決策性複合剩餘假設(Definition) 我們說決策性複合剩餘問題,如果對所有概率多項式時間演算法,是很難相對於Gen,存在一個可忽略的函數negl使得 該判定的複合剩餘假設(DCRA)是存在一個Gen相對於該判定的複合剩餘問題是很難的假設。

  8. Preliminaries and definitions 自訂選擇密文安全 自訂選擇密文攻擊的密碼系統被定義為一個遊戲,在一個公鑰加密方案PKE挑戰者和攻擊者之間互動如下: 1.給一安全參數t,挑戰者產生public key與secret key pair 並將public key給攻擊者 2.製作一解密query的數值給,每一個這樣的查詢是一個密文c 解密c,並將結果寄給 3.製作一個挑戰query,內容為明文對 選擇 加密,並將結果密文寄給 4.製作更多的解密query,同第二步的步驟,但 5.輸出

  9. Preliminaries and definitions 自訂選擇密文安全 其攻擊成功的機率被定義為 這個方案PKE可說是安全可抵抗自訂義選擇密文攻擊,假如對於有效的,這個攻擊成功的機率可以被忽略不計 如果PKE方案在ROM進行分析,然後hash function是由random oracle queries替換成合適的

  10. Preliminaries and definitions Paillier密碼系統 Key Generation: 1.選擇兩個長度相同的質數p,q,n=pq 2.選擇,g的順序在裡面是n的倍數 3.設定N,g為public key 為private key

  11. Preliminaries and definitions Paillier密碼系統 Encryption: 給予public key N,g以及訊息 1.選擇 2.輸出密文 c := Decryption: 給一private key 以及密文c 1.計算m:=

  12. Preliminaries and definitions Pillier密碼系統的兩個主要特點是: 1.它是在明文空間的加法同態。 2.訊息、臨時密鑰在解密階段都是可提取的。相反,在許多密碼系統的問題就像臨時密鑰丟失,也就是說,即使有私鑰的幫助,也是不可提取。 事實上,這個屬性是非常重要的,能夠實現更好的效率。

  13. The proposed IND-CCA2 conversion Key Generation: 1.選擇兩個長度相同的質數p,q,n=pq關係到DCRP, 2.選擇,g的順序在裡面是n的倍數 3.選擇一個hash function 4.設定(N,g,H)為public key 為private key

  14. The proposed IND-CCA2 conversion Encryption: 給予public key (N,g,H)以及訊息 1.選擇 設定 2.輸出密文 c :=

  15. The proposed IND-CCA2 conversion Decryption: 給一private key 以及密文c 1.計算M’:= 2.計算 3.若等式 則回傳m’,否則回傳”invalid”

  16. Security analysis Theorem4.1 以上方案達到IND-CCA2安全性 DCRA holds Proof. 使得是DCR問題的一個實例,即z是否為第n次剩餘在之中。 透過演算法,可input(z,n)解出DCR, 使用一個IND-CCA2的攻擊者作為子程序。

  17. Security analysis 模擬公開參數: 設定,其中1+n為中順序n的一個元素。 給 (g,n) 需要的H-values由提供

  18. Security analysis 模擬H-oracle 當送出H-query 選擇一個亂數, 回傳給 對於所有回傳的值, 會建立一個H-list()

  19. Security analysis 模擬解密oracle 在解密的query裡面,當query 被問到時 先檢查看H-list裡面有沒有資料 有的話直接回傳對應的 沒有的話回傳”invalid”

  20. Security analysis 模擬解密oracle 當要回答H-query時,確認答案不會導致無效 並由解密oracle宣布為密文 這提供了一個完美的模擬來生產的有效密文,不預先作出相應的H-query的機率是零。

  21. Security analysis 模擬解密oracle Phase1. 當query結束後,回傳兩個明文給 隨機選擇一個bit 並設定 回傳給一個挑戰密文 z是DCR問題的實例。

  22. Security analysis 模擬解密oracle Phase2. 被同意製造任何的H-query和比對挑戰密文之外的任何解密query。 若製作H-query或是 則停止game,且回傳failure abort於上述原因的機率 其中是H-query的個數 在第二輪結束後,輸出一個對b的猜測值 若,則回傳 若不相等,則回傳

  23. Security analysis 模擬解密oracle 令為合法密文的機率, 可以正確猜到b 這個理論可用以下兩個Lemma解釋

  24. Security analysis Lemma4.2 當模擬器input z 來自,則的view以及隱藏的bit b,在統計上的聯合分布是沒有區別的。 Lemma4.3 當模擬器input z來自,則隱藏bit b的分佈是獨立於的view。

  25. Security analysis Proof. 提供一個模擬器input z 來自, 即存在 其中 不會有n次方的H-query給z, 合理的假設 除非或是被問過H-oracle的答案

  26. Security analysis Proof. 原因:是相關明文對應於挑戰密文。 現若在第二階段,問到及得到答案 則在時會變成一個合法密文 故為了保持的合法性 必須回應query()與,從z開始

  27. Security analysis Proof. 應該能找到開n次根號的z,為了回應query() 這本身就是對計算複合剩餘問題。 同樣地,當是挑戰密文底層明文。 這就是為什麼在被問到()或()會輸掉game的原因

  28. Security analysis Proof. 是一合法密文,除非或是被問過H-oracle的答案 因此,可以正確猜到b 即決定z的複合剩餘機率

  29. Security analysis Lemma4.2 當模擬器input z 來自,則的view以及隱藏的bit b,在統計上的聯合分布是沒有區別的。 Lemma4.3 當模擬器input z來自,則隱藏bit b的分佈是獨立於的view。

  30. Security analysis Proof. 當模擬器的input z 來自 開始z及的產生 (同樣取自) 則挑戰密文是獨立於基底明文 故隱藏bit b獨立於的view之中。

  31. Comparison |n|:公開模數n的bit長度, t:增加t個bit H:hashing, E:PaillierEncryption, s: SE用到的bit數 SE:Symmetric-key encryption SD: Symmetric-key decryption

  32. Conclusions 本方案展示了一個有效率的IND-CCA2安全的Paillier-based加密方案,以DCRA為基底的ROM。 比較其他的轉換法,顯示出此方案是到目前為止,以加解密的花費、密文的擴展而言,最有效率的IND-CCA2之Paillier密碼系統轉換法。

  33. Conclusions 這種效率提升(減少hash的次數)連同本來的Paillier原始隨機性萃取可能使一個可能的候選一個高效率的簽密方案,因為它可能是可行的整合在一個特定的消息m的簽名在加密m的同時作為臨時密鑰。

More Related