尼尔·科布利茨;阿尔弗雷德·梅内泽斯。 随机预言模型:二十年回顾。 (英语) Zbl 1356.94066号 设计。代码加密 77,编号2-3,587-610(2015). 摘要:自从引入简化安全论据的随机预言模型以来,大约已经过去了20年,而自从我们首次讨论关于其使用的争议以来,已经过去了10年。在这次回顾中,我们认为没有证据表明,证据中对随机预言假设的需要表明相应协议中存在真实世界的安全漏洞。我们给出了几个尝试避免随机预言的例子,这些随机预言导致协议存在安全漏洞,而原始协议的证明需要随机预言。我们还认为,使用随机预言的意愿使人们能够灵活地修改某些协议,从而减少对潜在易受攻击的伪随机比特生成器的依赖。最后,我们讨论了ECDSA的一个修改版本,我们称之为ECDSA\({}^+\),它可能比标准ECDSA具有更好的实际安全性,并将其与修改的Schnorr签名进行了比较。如果人们愿意使用随机预言机模型(和类似的通用组模型),那么这两种方案的各种安全参数都是已知的。如果人们回避这些模型,那么它们就没有可证明的安全性结果。 引用于7文件 理学硕士: 94A60 密码学 94-02 与信息与传播理论相关的研究展览(专著、调查文章) 关键词:密码学;公钥;随机预言机 PDF格式BibTeX公司 XML格式引用 \textit{N.Koblitz}和\textit{A.J.Menezes},德斯。密码术77,No.2--3,587--610(2015;Zbl 1356.94066) 全文: 内政部 参考文献: [1] Apon D.、Huang Y.、Katz J.、Malozemoff A.:《实现加密程序混淆》,《2014年加密研讨会》(2014)。http://eprint.iacr.org/2014/779。 [2] Barak B.、Goldreich O.、Impaliazzo R.、Rudich S.、Sahai A.、Vadhan S.、Yang K.:关于混淆程序的可能性。J.ACM 59,6(2012)·Zbl 1281.68118号 [3] Barwood G.:使用椭圆曲线的数字签名(1997)。http://groups.google.com/group/sci.crypt/msg/b28aba37180dd6c6。 [4] Beame P.W.、Cook S.A.、Hoover H.J.:用于划分和相关问题的测井深度回路。SIAM J.计算。15, 994-1003 (1986). ·Zbl 0619.68047号 [5] 贝拉雷:陷入理论和实践之间。In:Crypto 2014 IACR杰出演讲(2014)。https://www.youtube.com/watch?v=SPVWSG7-i_E。 [6] Bellare M.,Rogaway P.:随机预言是实用的:设计有效协议的范例。摘自:《第一届ACM计算机和通信安全会议记录》,第62-73页。ACM,纽约(1993年)。 [7] Bellare M.,Rogaway P.:使用RSA加密的最佳非对称加密。In:《密码学进展-欧洲密码》94。LNCS,第950卷,第92-111页。施普林格,柏林(1994)·兹伯利0881.94010 [8] Bellare M.,Boldyreva A.,Palacio A.:混合加密问题的一个不稳定随机模型方案。收录:《密码学进展-欧洲密码2004》。LNCS,第3027卷,第171-188页。施普林格,柏林(2004)·Zbl 1122.94350号 [9] Bellare M.、Hoang V.T.、Keelvedhi S.:通过UCE实例化随机预言。收录:《密码学进展——2013年加密》(第二部分)。LNCS,第8042卷,第398-415页。施普林格,柏林(2013);完整版本可在http://eprint.iacr.org/2013/424。 ·Zbl 1316.94060号 [10] Bernstein D.、Duif N.、Lange T.、Schwabe P.、Yang B.-Y.:高速高安全签名。J.加密。工程2,77-89(2012)·Zbl 1321.94039号 [11] Bernstein D.,Hülsing A.,Lange T.,Niederhagen R.:密码散列函数中的错误方向,预印本(2015);可在获取http://obviouscaption.cr.yp.to/obviouscaption-20150223。 ·兹比尔1391.94729 [12] Blake-Wilson S.、Menezes A.:站对站(STS)协议上的未知密钥共享攻击。In:公钥密码-PKC 1999。LNCS,第1560卷,第156-170页。施普林格,柏林(1999)·Zbl 0929.68056号 [13] Boneh D.,Boyen X.:没有随机预言的短签名。收录:《密码学进展-欧洲密码2004》。LNCS,第3027卷,第56-73页。施普林格,柏林(2004)·Zbl 1122.94354号 [14] Boneh D.、DeMillo R.、Lipton R.:关于检查密码协议故障的重要性。J.加密。14, 101-119 (2001). ·Zbl 1018.94014号 [15] Boneh D.,Lynn B.,Shacham H.:来自Weil配对的短签名。收录:《密码学进展-亚加密》2001。LNCS,第2248卷,第514-532页。施普林格,柏林(2001)·Zbl 1064.94554号 [16] Boneh D.,Wu D.,Zimmerman W.:免疫多线性映射以抵抗零化攻击(2014)。可在http://eprint.iacr.org/2014/930。 [17] Boyen X.,Mei Q.,Waters B.:基于身份技术的直接选择密文安全。摘自:第十二届ACM计算机和通信安全会议-CCS’05,第320-329页。ACM,纽约(2005年)。 [18] Brickell E.、Pointcheval D.、Vaudenay S.、Yung M.:基于离散对数的签名方案的设计验证。包含:公钥密码-PKC 2000。LNCS,第1751卷,第276-292页。施普林格,柏林(2000年)·Zbl 0969.94026号 [19] Brown D.:泛型群、抗碰撞性和ECDSA。设计。密码。35, 119-152 (2005). ·Zbl 1158.94379号 [20] Brown D.L.:关于ECDSA的可证明安全性。摘自:Blake I.,Seroussi G.,Smart N.(编辑)《椭圆曲线密码术的进展》,第21-40页。剑桥大学出版社,剑桥(2005)。 [21] Brown D.,Gallant R.:静态Diffie-Hellman问题(2004)。http://eprint.iacr.org/2004/306。 [22] Buterin V.L.:在Android钱包中发现严重漏洞。http://bitcoinmagazine.com/6251/在android钱包中发现关键漏洞/。2013年8月11日访问。 [23] Camenisch J.、Neven G.、Shelat A.:模拟自适应遗忘传输。收录:《密码学进展》——Eurocrypt 2007。LNCS,第4515卷,第573-590页。施普林格,柏林(2007)·Zbl 1141.94344号 [24] Canetti R.、Goldreich O.、Halevi S.:重新审视随机预言模型。摘自:《第30届计算机理论年度研讨会论文集》,第209-218页,美国计算机学会,纽约(1998);完整版本可在http://eprint.iacr.org/1998/011。 ·Zbl 1027.68603号 [25] Chatterjee S.、Karabina K.、Menezes A.:重温基于配对协议的故障攻击。IEEE传输。计算。(出庭);可在获取http://eprint.iacr.org/2014/492。 ·Zbl 1360.68424号 [26] Chatterjee S.、Menezes A.和Sarkar P.:另一种紧密性。In:密码学选定领域-SAC 2011。LNCS,第7118卷。施普林格,柏林(2012);可在获取http://anotherlook.ca。 ·Zbl 1279.94134号 [27] Cheon J.:强Diffie-Hellman问题的安全性分析。收录:《密码学进展——Eurocrypt 2006》。LNCS,第4004卷,第1-11页。施普林格,柏林(2006)·Zbl 1129.94017号 [28] Cheon J.,Han K.,Lee C.,Ryu,H.,StehléD.:整数上多重线性映射的密码分析。收录于:《密码学进展——Eurocrypt 2015》,第一部分,LNCS,第9056卷,第3-12页。Springer,纽约(2015)·Zbl 1365.94416号 [29] Coron J.-S.,Lepoint T.,Tibouchi M.:整数上的实用多线性映射。收录:《密码学进展——2013年加密》。LNCS,第8042卷,第476-493页,柏林斯普林格出版社(2013);完整版本可在http://eprint.iacr.org/2013/183。 ·Zbl 1309.94139号 [30] Coron J.-S.,Lepoint T.,Tibouchi M.:整数上多线性映射的两个候选修复的密码分析(2014)。可在http://eprint.iacr.org/2014/975。 [31] Coron J.-S.,Lepoint T.,Tibouchi M.:整数上的新多线性映射(2015)。可在http://eprint.iacr.org/2015/162。 ·Zbl 1375.94116号 [32] Dang Q.:数字签名的随机散列,NIST特别出版物。800-106 (2009). http://csrc.nist.gov/publications/nistpubs/800-106/nist-SP-800-106。 [33] Dodis Y.,Oliveira R.,Pietrzak K.:关于完整域散列的一般不安全性。收录:《密码学进展-加密2005》。LNCS,第3621卷,第449-466页。施普林格,柏林(2005)·Zbl 1145.94440号 [34] Fildes J.:2011年1月6日,iPhone黑客发布了索尼PlayStation 3的秘密密钥。www.bbc.com/news/technology-12116051。 [35] Freire E.、Hofheinz D.、Paterson K.、Striecks C.:多重线性设置中的可编程散列函数。收录:《密码学进展——2013年加密》。LNCS,第8042卷,第513-530页。施普林格,柏林(2013);完整版本可在http://eprint.iacr.org/2013/354。 ·Zbl 1310.94145号 [36] Gallant R.:静态Diffie-Hellman问题。摘自:发表于ECC(2005)。可在http://cacr.wateroo.ca/conferences/2005/ecc2005/gallant。 [37] Gennaro R.、Halevi S.、Rabin T.:无需随机预言机的安全哈希和签名签名。收录:密码学进展——Eurocrypt’99。LNCS,第1592卷,第123-139页。施普林格,柏林(1999)·Zbl 1038.94533号 [38] Gentry C.:实用的基于身份的加密,没有随机预言。In:《加密技术进展》欧洲加密2006。LNCS,第4004卷,第445-464页。施普林格,柏林(2006)·Zbl 1140.94340号 [39] Gentry C.,Halevi S.,Maji H.,Sahai A.:无零零化:无零编码的多线性映射的密码分析(2014)。可在http://eprint.iacr.org/2014/929。 [40] Goldreich O.:《后现代密码学》(2006)。http://eprint.iacr.org/2006/461。 [41] Goldwasser S.,Tauman Kalai Y.:关于菲亚特-沙米尔范式的(in)安全性。摘自:第44届计算机科学基础年度研讨会论文集,第102-113页。IEEE(2003);完整版本可在http://eprint.iacr.org/2003/034。 [42] Goldwasser S.,Micali S.,Rivest R.:签名问题的矛盾解决方案。载:《第25届IEEE计算机科学基础年度研讨会论文集》,第441-448页(1984年)·Zbl 1359.94600号 [43] Green M.,Katz J.,Malozemoff A.,Zhou H.-S.:通过不可区分混淆实现理想化模型分离的统一方法(2015)。网址:http://eprint.iacr.org/2014/863。 ·Zbl 1482.94050号 [44] Hohenberger S.,Sahai A.,Waters B.:替换随机预言:不可区分混淆的完整域散列。收录:《密码学进展-欧洲密码2014》。LNCS,第8441卷,第201-220页。柏林施普林格(2014)·Zbl 1332.94068号 [45] Jao D.,Yoshida K.:Boneh-Boyen签名和强Diffie-Hellman问题。In:Pairing-Based Cryptography-Pairing 2009。LNCS,第5671卷,第1-16页。施普林格,柏林(2009);完整版本可在http://eprint.iacr.org/2009/221。 ·Zbl 1248.94075号 [46] Koblitz N.,Menezes A.:可证明安全性的另一个视角。In:II密码学进展-Indocrypt 2006。LNCS,第4329卷,第148-175页。施普林格,柏林(2006);可在获取http://anotherlook.ca。 ·Zbl 1175.68146号 [47] Koblitz N.,Menezes A.:可证明安全性的另一个视角。J.加密。20, 3-37 (2007); 可在获取http://anotherlook.ca。 ·Zbl 1115.68078号 [48] Koblitz N.,Menezes A.:再看一看通用组。高级数学。Commun公司。1, 13-28 (2007); 可在获取http://anotherlook.ca。 ·Zbl 1113.94005号 [49] Koblitz N.,Menezes A.:密码学中大胆假设的勇敢新世界,不是。美国数学。《社会分类》第57卷第357-365页(2010年);可在获取http://anotherlook.ca。 ·兹比尔1203.94109 [50] Koblitz N.,Menezes A.:再次审视安全定义。高级数学。Commun公司。7, 1-38 (2013); 可在获取http://anotherlook.ca。 ·Zbl 1317.94117号 [51] Koblitz N.,Menezes A.:另一个关注单密钥嵌套MAC的安全性定理。摘自:数学和计算科学开放问题,第69-89页。柏林施普林格(2014)·Zbl 1314.94079号 [52] Lenstra A.K.、Hughes J.P.、Augier M.、Bos J.、Kleinjung T.、Wachter C.:公钥。收录:《密码学进展——2012年加密》。LNCS,第7417卷,第626-642页。施普林格,柏林(2012)·Zbl 1296.94127号 [53] Lysyanskaya A.:DH-DDH分离的独特签名和可验证随机函数。收录:《密码学进展-加密2002》。LNCS,第2442卷,第597-612页。施普林格,柏林(2002)·Zbl 1028.94511号 [54] Malone-Lee J.,Smart N.:ECDSA的修改。In:密码学选定领域-SAC 2003。LNCS,第2595卷,第1-12页。施普林格,柏林(2002)·Zbl 1066.94556号 [55] Menezes A.、van Oorschot P.、Vanstone S.:《应用密码学手册》。CRC,博卡拉顿(1996)·Zbl 0868.94001号 [56] Neven G.,Smart N.,Warinschi B.:Schnorr签名的哈希函数要求。数学杂志。加密。3, 69-87 (2009). ·Zbl 1165.94323号 [57] 尼尔森J.B.:分离随机预言证明和复杂性理论证明:非提交加密案例。收录:《密码学进展-加密2002》。LNCS,第2442卷,第111-126页。施普林格,柏林(2002)·Zbl 1027.68601号 [58] Nguyen P.,Shparlinski I.:部分已知Nonce的椭圆曲线数字签名算法的不安全性。设计。密码。30, 201-217 (2003). ·Zbl 1039.94008号 [59] Page D.,Vercauteren F.:对基于配对的密码学的错误攻击。IEEE传输。计算。55, 1075-1080 (2006). ·Zbl 1189.94046号 [60] Paillier P.,Vergnaud D.:基于离散长度的签名可能不等同于离散对数。收录:《密码学进展-亚加密2005》。LNCS,第3788卷,第1-20页。施普林格,柏林(2005)·Zbl 1146.94305号 [61] Perlroth N.、Larson J.、Shane S.:N.S.A.能够屏蔽网络隐私的基本保护。《纽约时报》,2013年9月5日。 [62] Pointcheval D.,Stern J.:签名方案的安全证明。收录:密码学进展-欧洲密码’96。LNCS,第1070卷,第387-398页。施普林格,柏林(1996)·Zbl 1304.94106号 [63] Pointcheval D.,Stern J.:数字签名和盲签名的安全参数。J.加密。13, 361-396 (2000). ·Zbl 1025.94015号 [64] Pornin T.:《数字签名算法(DSA)和椭圆曲线数字签名算法的确定性使用》,RFC 6979,IETF,2013年8月。 [65] Ramchen K.,Waters,B.:完全安全,快速签名,避免混淆。摘自:ACM CCS’14会议录,第659-673页。ACM,纽约(2014)。 [66] Schnorr C.P.:智能卡的高效签名生成。J.加密。4, 161-174 (1991). ·Zbl 0743.68058号 [67] Seurin Y.:关于随机预言模型中Schnorr型签名的精确安全性。收录:《密码学进展》——Eurocrypt 2012。LNCS,第7237卷,第554-571页。施普林格,柏林(2012)·Zbl 1290.94129号 [68] Whelan C.,Scott M.:考虑故障攻击时,配对中最终指数的重要性。In:Pairing-Based Cryptography-Pairing 2007。LNCS,第4575卷,第225-246页。施普林格,柏林(2007)·Zbl 1151.94582号 [69] Wigley J.:消除签名中rng的需要(1997年)。http://groups.google.com/group/sci.cryp/msg/a6da45bcc8939a89。 [70] 齐默尔曼J.:如何直接混淆程序。在:《加密技术进展2015欧洲加密》,第二部分。LNCS,第9057卷,第439-467页。柏林施普林格(2015)·Zbl 1371.68054号 此参考列表基于出版商或数字数学图书馆提供的信息。它的项目与zbMATH标识符启发式匹配,并且可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。