×
乔·阿尔文;布鲁诺·布兰切特;爱德华·哈克;艾克·基尔茨;本杰明·利普;多琳·里佩尔

分析HPKE标准。 (英语) 兹比尔1479.94109

Canteaut,Anne(编辑)等人,《密码学进展–EUROCRYPT 2021》。第40届密码技术理论与应用国际年会,克罗地亚萨格勒布,2021年10月17日至21日。诉讼程序。第一部分查姆:施普林格。勒克特。注释计算。科学。12696, 87-116 (2021).
摘要:混合公钥加密(HPKE)方案是IETF加密论坛研究小组(CFRG)目前正在考虑作为正式批准候选标准的一项新兴标准。在HPKE的四种模式中,我们分析了认证模式{HPKE}(HPKE)_\mathsf{Auth}\),因为它包含了HPKE最新颖的部分。
\(\mathsf{HPKE}_\mathsf{Auth}\)的预期应用程序域由一个新原语捕获,我们称之为Authenticated Public Key Encryption(APKE)。我们为APKE方案以及相关的认证密钥封装机制(AKEM)提供语法和安全定义。我们证明了AKEM方案的安全性DH(决断高度)-阿克姆基础\(\mathsf{HPKE}(HPKE)_\基于Gap-Diffie-Hellman假设的mathsf{Auth}),并提供了一般的AKEM/DEM合成定理来讨论{HPKE}(HPKE)_\mathsf{Auth}\)的安全性。为此,我们还正式分析了\(\mathsf{HPKE}(HPKE)_\mathsf{Auth}\)的密钥调度和密钥派生函数。为了增加结果的可信度,我们使用了自动定理证明工具CryptoVerify。我们的所有边界都是定量的,我们讨论了它们对\(\mathsf的实际意义{HPKE}(HPKE)_\mathsf{Auth}\)。
作为一项独立贡献,我们提出了新的标称群框架,该框架允许我们捕获实际椭圆曲线的抽象语法和安全属性,包括基于Curve25519和Curve448的群(它们不构成循环群)。
关于整个系列,请参见[Zbl 1475.94010号].

引用于文件

理学硕士:

94A60型 密码学
94A62型 身份验证、数字签名和秘密共享

关键词:

公钥加密;身份验证;签密;关键封装机制;名义群体
PDF格式BibTeX公司 XML格式引用
\textit{J.Alwen}等人,Lect。注释计算。科学。12696,87-116(2021;Zbl 1479.94109)
全文: 内政部 哈尔

参考文献:

[1] 阿卜杜拉,M。;贝拉雷,M。;罗加韦,P。;Naccache,D.,神谕Diffie-Hellman假设和DHIES分析,密码学主题-CT-RSA 2001,143-158(2001),海德堡:斯普林格,海德伯格·Zbl 0991.94033号 ·doi:10.1007/3-540-45353-9_12
[2] Alwen,J.,Blanchet,B.,Hauck,E.,Kiltz,E.,Lipp,B.,Riepel,D.:分析HPKE标准-补充材料。doi:10.5281/zenodo.4297811·Zbl 1479.94109号
[3] Alwen,J.、Blanchet,B.、Hauck,E.、Kiltz,E.、Lipp,B.、Riepel,D.:分析HPKE标准。《加密电子打印档案》,《2020年/1499年报告》(2020年)。https://eprint.iacr.org/2020/1499 ·Zbl 1479.94109号
[4] Barnes,R.L.,Beurdouche,B.,Millican,J.,Omara,E.,Cohn-Gordon,K.,Robert,R.:消息层安全(MLS)协议。互联网草案-ietf-mls-protocol-09,ietf秘书处,2020年3月。https://tools.ietf.org/html/draft-ietf-mls-protocol-09
[5] Barnes,R.L.,Bhargavan,K.,Lipp,B.,Wood,C.A.:混合公钥加密。Internet-Draft Draft-irtf-cfrg-hpke-08,IETF秘书处,2020年10月。https://tools.ietf.org/html/draft-irtf-cfrg-hpke-08
[6] Bellare,M.,NMAC和HMAC的新证明:无碰撞抵抗的安全性,J.Cryptol。,28, 4, 844-878 (2015) ·Zbl 1332.94056号 ·文件编号:10.1007/s00145-014-9185-x
[7] 贝拉雷,M。;卡内蒂,R。;Krawczyk,H。;Koblitz,N.,《用于消息身份验证的键控散列函数》,《密码学进展-密码》,1996年1月15日(1996),海德堡:斯普林格出版社·Zbl 1329.94051号 ·doi:10.1007/3-540-68697-5_1
[8] Bellare,M.,Rogaway,P.:基于代码的游戏证明和三重加密的安全性。密码学电子打印档案,报告2004/331(2004)。http://eprint.iacr.org/2004/331 ·Zbl 1140.94321号
[9] 贝拉雷,M。;斯蒂芬诺夫斯,I。;Canteaut,A。;Ishai,Y.,消息衍生密钥下的安全:iMessage中的签密,密码学进展-EUROCRYPT 2020,507-537(2020),Cham:Springer,Cham·Zbl 1531.68033号 ·doi:10.1007/978-3-030-45727-3_17
[10] 贝拉雷,M。;塔克曼,B。;Robshaw,M。;Katz,J.,《认证加密的多用户安全:TLS 1.3中的AES-GCM》,《密码学进展-密码2016》,247-276(2016),海德堡:斯普林格·Zbl 1378.94023号 ·doi:10.1007/978-3-662-53018-4_10
[11] DJ伯恩斯坦;Yung,M。;Dodis,Y。;Kiayias,A。;Malkin,T.,Curve25519:新的Diffie-Hellman速度记录,公钥密码-PKC 2006,207-228(2006),海德堡:斯普林格,海德伯格·Zbl 1151.94480号 ·doi:10.1007/11745853_14
[12] Bhargavan,K.,Blanchet,B.,Kobeissi,N.:TLS 1.3候选标准的验证模型和参考实现。2017年IEEE安全与隐私研讨会,第483-502页。IEEE计算机学会出版社,2017年5月
[13] Blanchet,B.,《安全协议的计算声音机械化证明器》,IEEE Trans。可靠安全计算。,5, 4, 193-207 (2008) ·doi:10.1109/TDSC2007.1005
[14] 布伦德尔,J。;费施林,M。;Günther,F。;Janson,C。;J.Katz。;Shacham,H.,PRF-ODH:关系、实例化和不可能结果,《密码学进展-密码2017》,651-681(2017),查姆:施普林格,查姆·Zbl 1418.94034号 ·doi:10.1007/978-3-319-63697-9_22
[15] Cramer,R。;Shoup,V.,《针对自适应选择密文攻击安全的实用公钥加密方案的设计与分析》,SIAM J.Compute。,33, 1, 167-226 (2003) ·Zbl 1045.94013号 ·doi:10.1137/S0097539702403773
[16] 凹痕,AW;博伊德,C。;González Nieto,JM,《内部安全的混合签密方案,信息安全和隐私》,253-266(2005),海德堡:斯普林格,海德伯格·Zbl 1127.94363号 ·doi:10.1007/11506157_22
[17] 凹痕,AW;周,J。;洛佩兹,J。;邓,RH;Bao,F.,具有外部安全性的混合签密方案,信息安全,203-217(2005),海德堡:施普林格·Zbl 1127.94364号 ·doi:10.1007/11556992_15
[18] 凹痕,AW;Zheng,Y.,《实用签密》(2010),海德堡-海德堡:施普林格,海德堡-海德堡·Zbl 1203.68005号 ·doi:10.1007/978-3-540-89411-7
[19] Dodis,Y.,Ristenpart,T.,Steinberger,J.,Tessaro,S.:是否再次散列?(H^2)和HMAC的(In)可微性结果。Cryptology ePrint Archive,报告2013/382(2013)。http://eprint.iacr.org/2013/382 ·Zbl 1296.94106号
[20] Gayoso Martínez,V.、Alvarez,F.、Hernandez Encinas,L.、Sánchezávila,C.:ECIES标准化版本的比较。参加:2010年第六届信息保证与安全国际会议,IAS 2010,2010年8月
[21] 吉尔伯特,H。;Handschuh,H。;松井,M。;Zuccherato,RJ,《SHA-256及其姐妹的安全分析》,《密码学选定领域》,175-193(2004),海德堡:斯普林格·Zbl 1081.94524号 ·doi:10.1007/978-3-540-24654-113
[22] Kobeissi,N.,Bhargavan,K.,Blanchet,B.:安全消息协议及其实现的自动验证:一种符号和计算方法。摘自:第二届IEEE欧洲安全与隐私研讨会,第435-450页。IEEE,2017年4月
[23] Krawczyk,H.,Bellare,M.,Canetti,R.:HMAC:消息身份验证的键控。RFC 2104,RFC编辑器,1997年2月。https://www.rfc-editor.org/rfc/rfc2104.html
[24] Krawczyk,H.,Eronen,P.:基于HMAC的提取和扩展密钥派生函数(HKDF)。RFC 5869,RFC编辑器,2010年5月。https://www.rfc-editor.org/rfc/rfc5869.html
[25] Langley,A.,Hamburg,M.,Turner,S.:安全椭圆曲线。RFC 7748,RFC编辑器,2016年1月。https://www.rfc-editor.org/rfc/rfc7748.html
[26] Lipp,B.:混合公钥加密分析。《加密电子打印档案》,《2020年/243号报告》(2020年)。https://eprint.iacr.org/2020/243
[27] Lipp,B.,Blanchet,B.,Bhargavan,K.:WireGuard虚拟专用网络协议的机械化加密证明。摘自:第四届IEEE欧洲安全与隐私研讨会,瑞典斯德哥尔摩,第231-246页。IEEE计算机学会,2019年6月。https://hal.inia.fr/hal-02100345
[28] 国家标准与技术研究所:数字签名标准(DSS)。FIPS出版物186-42013年7月。doi:10.6028/nist.fips.186-4号文件
[29] Omara,E.,Beurdouche,B.,Rescorla,E.,Inguva,S.,Kwon,A.,Duric,A.:消息层安全(MLS)架构。Internet-Draft Draft-ietf-mls-architecture-05,ietf秘书处,2020年7月。https://tools.ietf.org/html/draft-ietf-mls-architecture-05
[30] Rescorla,E.,Oku,K.,Sullivan,N.,Wood,C.A.:TLS加密客户端你好。Internet-Draft Draft-ietf-tls-esni-07,ietf秘书处,2020年6月。https://tools.ietf.org/html/draft-ietf-tls-esni-07
[31] 郑毅。;Kaliski,BS,《数字签密或如何实现成本(签名和加密)》(Digital signcryption or how to reach cost(signature&encryption)\(ll)cost(签名)+cost(加密),《密码学进展-密码》97,165-179(1997),海德堡:斯普林格·Zbl 1058.94524号 ·doi:10.1007/BFb0052234
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。