超级会员免费看
存在密钥泄漏情况下的高效公钥密码学
1. 引言
传统上,密码方案的安全性是在理想化环境中分析的,即对手只能看到方案指定的“输入/输出行为”,无法访问其内部秘密状态。然而在现实世界中,对手可通过各种密钥泄漏攻击获取部分秘密状态信息。这些攻击形式多样,包括侧信道攻击(如计算时间、功耗、辐射、噪声、热发射等信息泄漏)以及冷启动攻击(即使机器断电,对手也能获取机器内存内容的不完美信息)。即使是非常有限的泄漏攻击,也可能对许多自然方案的安全性造成毁灭性后果。
由于无法预见和阻止密码方案在现实世界实现中可能出现的所有密钥泄漏途径,密码学界开始研究更广泛的泄漏攻击类别,旨在构建即使在存在此类攻击的情况下仍能保证安全的抗泄漏密码方案。显然,如果对手能无限制地获取秘密密钥信息,系统安全必然受损,因此需对对手可获取的信息类型或数量设定“上限”。本文仅限制对手通过密钥泄漏攻击获取的信息数量,而不限制类型。具体而言,攻击者可学习秘密密钥 $sk$ 的任何有效可计算函数,但总泄漏信息(即泄漏函数的输出大小)不得超过 $ℓ$ 比特,$ℓ$ 称为系统的“泄漏参数”。显然,秘密密钥大小 $s$ 必须严格大于泄漏参数 $ℓ$,$ℓ/s$ 可视为系统的相对泄漏,目标是使其尽可能接近 1。
目前已知许多“抗泄漏”原语,包括签名方案、加密方案、身份识别(ID)方案和认证密钥协商(AKA)协议,但现有方案均无法同时满足以下理想属性:
- 效率 :构造应基于标准密码学假设,无需依赖随机预言机,且有高效实例。
- 强安全性 :构造应满足最强的安全定义(即使存在泄漏),如加密方案应抗选择密文攻击(CCA),签名应具有存在不可伪造性。
订阅专栏 解锁全文
扫一扫
498
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
