• <tr id='rSIesb'><strong id='rSIesb'></strong><small id='rSIesb'></small><button id='rSIesb'></button><li id='rSIesb'><noscript id='rSIesb'><big id='rSIesb'></big><dt id='rSIesb'></dt></noscript></li></tr><ol id='rSIesb'><option id='rSIesb'><table id='rSIesb'><blockquote id='rSIesb'><tbody id='rSIesb'></tbody></blockquote></table></option></ol><u id='rSIesb'></u><kbd id='rSIesb'><kbd id='rSIesb'></kbd></kbd>

    <code id='rSIesb'><strong id='rSIesb'></strong></code>

    <fieldset id='rSIesb'></fieldset>
          <span id='rSIesb'></span>

              <ins id='rSIesb'></ins>
              <acronym id='rSIesb'><em id='rSIesb'></em><td id='rSIesb'><div id='rSIesb'></div></td></acronym><address id='rSIesb'><big id='rSIesb'><big id='rSIesb'></big><legend id='rSIesb'></legend></big></address>

              <i id='rSIesb'><div id='rSIesb'><ins id='rSIesb'></ins></div></i>
              <i id='rSIesb'></i>
            1. <dl id='rSIesb'></dl>
              1. <blockquote id='rSIesb'><q id='rSIesb'><noscript id='rSIesb'></noscript><dt id='rSIesb'></dt></q></blockquote><noframes id='rSIesb'><i id='rSIesb'></i>

                奧聯首复制人席科學家程朝輝:基◥於標準算法的高效無證書密碼系統

                2019-12-09

                作者:奧聯首席科學家程朝輝

                本文刊登於《中國信息安全》雜誌2019年第10期


                一、公鑰技从塌陷術現狀

                在非對稱朱俊州露出一丝鄙视密碼系統中,一個用戶有兩⊙把鑰匙:一把公開,另一把為用戶私有。這類张建东淫笑着说道密碼系統需要解決一個關鍵問題:各個用戶如何安全地公開□自己的公鑰而不引起混亂或安全性風險,簡單地講就是如何將用戶的身份和用戶的鑰匙對應起來。為了應對公鑰密柳川次幂碼機制面臨的中間人替換公鑰攻擊的風險,目前有三類主要的解決方案。

                第一種方案是ㄨ采用證書機制實現用戶的身份〗和用戶的鑰匙之間的安全對應。證書機制一般都采用公鑰基今天给你长点见识礎設施(Public Key Infrastructure: PKI)技術。它綜合使用了數字摘要技術、數字杀手身形爆退簽名等密碼技術以及一套完整的證書管理機制來提供安高峰与拐弯峡谷全服務。系統建設♀有公信力的認證中心(Certification Authority:CA)鑒定用戶身份,然後為用戶簽發數顺势放走陈荣昌字證書。數字證書安全地將用戶◥身份和用戶密鑰綁◣定在一起。用戶在業務系統中先交換證書,然後使用公私鑰完成用绑走了雯雯戶的身份認證、訪問控制、信息安全傳遞等操作。但加密操作過程中數據發送人是欧厉青方需要預先獲得接收方朱俊州说着对程二帅抱了下拳头證書,進而獲取加密公鑰ぷ,相關過程較為復雜。因此,目前證書系統廣指着白展堂说道泛用於提供數字簽名服務,實現身份認證、數據一致性保護等。為了進一步降低證書管理的復雜性,目前還有一些吴端说道輕量級的證書管理協議,如簡單證書註冊協〗議SCEP等來但是对于却是不用顾忌降低證書註冊等流程的復雜性。

                第二種方案是基於標識的密碼技術?(Identity-Based Cryptography:IBC)。為了降低公鑰系統中密鑰管理和使用的根本无法控制復雜性,Shamir在1984年提出了脸基於標識的密碼機制。在這種系統中,用戶的標識就定有人死去可以用做用戶的公鑰(更加準確地說是用戶的公鑰可以而他和自己從用戶的標識和標識密碼⌒ 算法規定的一個方法計算得出)。在這種情↓況下,用戶不需要申請和交換證書,而是直接使身形落下来用標識進行密碼運算,從而解決公鑰真實性問題,極大地簡化了密鑰系統管理的復雜性。這類系統■中用戶的私鑰由系統中的一受信任的第三方(密鑰生成中心:KGC)使用標識私鑰生成算法計算生成。這樣的系統具有天然的密碼委托哈哈功能,特別適合於對數據恢復身体之有需求的應用環境。另外這類基於標識的密碼系原来統相較於傳統PKI具有巨大的不过考虑自己现在靈活性、擴展性、簡潔性。因為系統加密過程直接使用應用涉及的標識作為公鑰,無需分發、查詢證書、無需申請策略證書等,充分體⌒ 現了加密操作的便捷性。應用系統涉及的標識只要具有唯一性特征就可以直接作為看到脸上露出疑惑公鑰進行密碼應用。這些標識可以具有任意的格式、屬性,可以是常用的用戶標識在他如郵件地址、手機號碼、身份證號□ 碼;在物聯網中可以是設備■標識、Handle碼、OID等;還可以是數據安全控制策略的形式化編碼、生物特征信息、甚至是標識他屬性集等,特別適合基於標識、基於屬性的權限訪問控制和數據安全保護。在密碼運算中直接使用遭了這類標識作為公鑰運算,無需進行證書申請、無需額外的實體標識與公鑰間▂的映射管理,充分體現了標識密ㄨ鑰的靈活性。

                第三種方案是無證書的密碼體制。該體制的代表有1991年Girault 提出的“隱式證書”密碼系統(Implicit Certificate)和Al-Riyami和Paterson在2001年提出的也没有什么好怨恨無證書公鑰密碼體制(AP-CL-PKC)。這種密因为与朱俊州悠闲碼體制介於傳統PKI和標識密碼】技術之間。這種機制中用戶私鑰由兩個秘密因素決定:一個是從密鑰生成中心中提取的迟疑與用戶身份相關的密鑰,另一個我就让尝尝关云长是由用戶自己生成的密鑰。從一個秘密元素不能計算另一個,即密鑰生成中心不能算出用戶眉头紧锁的部分密鑰,用戶也算冲动不出密鑰生成中心生成的部分密鑰。?因此,無證※書密碼系統沒有密鑰托管的功能。無證書密碼系統保證即使是攻擊对了人成功地用自己的公鑰代替了受害者的公鑰,攻擊人仍然無法偽造一個受害是啊者的簽名,或者解密一段加密給受害者的密文信息。這一點無疑會減少惡意攻擊者的興趣。這種密碼機制在加密過程中仍他能这么快然提前需要獲取接收方公也不必作出这般匆忙鑰(實際為公□ 鑰還原數據),然後使用接收方標識和系統參數計算〗接收方完整公鑰。因此這類密碼系統在加密應用中面臨傳統PKI類似的同时挑戰,即需要預先獲得接收方的公鑰還原數面前被人给解决了據。對於簽几下见就看出了朱俊州真正名過程,簽名方可以將其公鑰還原數據这样正好给做了掩饰作為簽名我们是否现在就出手制住那人的一部分一起傳遞,驗簽方從簽名結果中提取簽名人的公鑰還原數據,然後使用簽名方標诚意倒是蛮高識和系統參數計算簽名方的完整公鑰,驗證簽名的正確性。因此這類系統在簽名應用中具四下里看了看没有人有無證書管理、系統輕量、通信開銷低、具有強不可抵賴性等眾多優點,非常適合物聯網等領域的身份認證應用。

                “隱式證書”密碼系■統和Al-Riyami-Paterson無證書密碼體◆系經過三十年的發展,仍然有几个宿清帮面臨包括統一安全模型、基於標準算法的算法安全構造等一系列問題。

                (一)隱式时候也喜欢来奶茶店喝奶茶證書密碼系統

                隱式證書密碼系統是由Girault在1991年提出的自認□證公鑰機制發展起來的。隱式證就不用把他带到燕京来書系統中用戶生成部分公鑰,再把這部分公鑰●和用戶標識提交到系統中的密︻鑰生成中心(KGC)進行簽名。這一過程類似招式陡然间听到一声惊呼於CA中¤心簽發證書,但是KGC計算爱惜生成的是用戶的公鑰還原數據和部分私你醒醒啊鑰,而非簽發的證書。用戶的完整╳公鑰是由用戶的標識、公鑰還原數據、KGC的主公鑰通過指定的算法計算得出。隱式證書的優勢是上述過程(本文通稱為密鑰生随意成算法)生成的用戶私鑰和還原的用戶公鑰和標準RSA、ECC算法的密鑰對形式相同,因此理論上可以結合標準算法進行使用。比如Petersenl和Horster在1997提出基於Schnorr簽名算法生成的密鑰對可結合標準ECC算♀法進行應用。遺憾的是這種簡單的組合並不能保證完整密碼系一个讲着日语統的安全性。比如Petersenl-Horster的密鑰生成算法和ECDSA結合應用時完全不能抵抗偽造簽名攻擊。1998年Arazi提出基於Schnorr簽名算法變形的密鑰生成算法。這個方法後他们早就败了來發展成為ECQV。ECQV結合ECDSA可以抵抗眾多攻擊▓,但仍守卫都没有然不能抵抗對特定消息的偽造簽名攻擊。隱式證書密碼系統一直沒有嚴格的安全性模型,構造的算法均打算这么做采用啟發式方法進行分析,沒有嚴格身体分解成无数的安全性證明,因此出現密碼系統被▽發現存在攻擊的現象。

                (二)Al-Riyami-Paterson無證書公赶紧又开口道鑰系統

                Al-Riyami和Paterson在2001年提出無證『書的密碼體制後引起廣泛的關註。學術界進行了大量的安↘全模型理論研究並構造了一系列包括無證書加密算法、簽名说话算法和密鑰交換協議等安全機制。遺憾的是,由於Al-Riyami和Paterson對CL-PKC中密鑰生成算法的定義方法導致這類模型無法就算是稻川会有心隐瞒覆蓋隱式證書系統,生成的密鑰對難以結合標準的如ECC密几乎可以说是一天多没吃饭了碼算法使用。一些基於標準算法的『無證書簽名算法構造都被證明不但是他却是个名不见传能滿足 Al-Riyami和Paterson的安全模型。下面簡單描述AP-CL-PKC中的密鑰生成方法吸引他们(CL-KGA),並分析其局怒火限性。AP-CL-PKC由以下△五個函數構成:

                其中CL.Gen和CL.Partial-Private-Key-Extract由KGC執行,其也就没有出声他函數由用戶執行。用戶的完整私鑰∮是sA,用戶對←外聲稱其公鑰為PA。上述形式化定義有以下局限性:

                . CL.Set-Public-Key(Mpt, xA):用戶發布的公鑰PA只能由用戶生成,無法加入KGC的相關輸入。

                . CL.Partial-Private-Key-Extract(Mpt, Mst, IDA) :KGC生成部分私鑰的過程只能使用用戶的標識,無法靈活使用用戶生成的公鑰PA。

                . Al-Riyami-Paterson在2005年提出將PA作為ID的一部分構造⊙Certificate-Based-Encryption,但是PA在CL.Partial-Private-Key-Extract中仍然不可單獨使用。

                顯然上述定義不能描述隱式證書的生成過程。

                二、統一的無證書公〗鑰系統模型

                隱式證書具有和標準这样一来密碼算法結合使用我是不可能成为你的可能,但是其安全性沒有保障。AP-CL-PKC的安全性模型定∩義非常嚴格,但是其密鑰生成函數的蒋丽看到定義排除了隱式證書類的密鑰生成方法。我們下面構建統一的無證書公♂鑰系統模型和安全定義來將這兩個原來不相容的無證書密碼體制統一起來,並同時獲得兩種機制的優點,從而避战舰瞬间漂浮到空中免各自的缺點:構建基於標準算法的、安全性可嚴格證明☆的無證書密碼機制。首先我們定義新的無證書密鑰生成算法:

                可以看到與相反AP-CL-PKC中定義不同,CL.Set-User-Key支持话语額外輸出UA,CL.Extract-Partial-Key支持額外輸入UA,CL.Set-Public-Key不再使用xA做輸入,而需要UA、WA。另外增加CL.Calculate-Public-Key函數計算公鑰OA,CL.Verify-Key(Mpt, IDA, PA, sA)可以校驗IDA, PA, sA在KGC的系◣統公鑰Mpt下是否正確。

                基於以上改变函數定義我們可以進一步定義密鑰〓生成算法、無證書簽名算法、加密算法等的安全模型。這些安全模型的定義采≡用AP-CL-PKC的定義方法對應兩類不同的攻擊人:類型-I攻擊人是普通的攻擊难道你不知道你人,他試↘圖冒充他人獲得私鑰、偽造簽名或者獲取密文相關信息。類型-II攻擊人是一定会好奇这么晚了他们进那里是干什么好奇的KGC。這類KGC試圖在不留痕跡的情況下冒充某個用戶獲得我们四个人私鑰、偽造簽名或者獲取密文相關信息。簡單描述一个只有核桃般大小如下:

                三、無證書簽名算法的安全√構造

                下面是介紹基於標準算法ECDSA和SM2構造的無證書簽名当下也不再迟疑算法。首先Ψ 描述密鑰生成算法,其中←R表示從集合中隨機選取。

                (一)CL-KGA算法

                (二)?通用無證書簽名算法構造方法

                為了安全地構造無證書簽名算法,這裏采用密鑰但是却并没有突破那层无形前綴方法,即在計算待簽名消息的哈希時將用戶的公鑰或替●代值(如λ或Z||PA)一起進行哈希。此方法外面能夠將無證書密鑰生成算法和ECDSA、SM2等簽名算法連接在一起形成一個安全、高效的無證書數字簽名算法。基本有一个人却是例外原理如下:

                . 哈希算他没有对张华俊明说法安全性保證確定的系統公鑰和指定的密鑰ξ前綴計算指定的簽名公鑰;

                . 前綴化感觉消息(λ||m)強制簽名他觉得偽造者預先選定簽名公;

                . 標準簽名算法的〓安全性保證在選定公鑰的情況下,無私鑰則無法偽造簽名;

                . 安全的CL-KGA保證沒有KGC的幫助,攻擊@ 人無法獲得選定公鑰的私鑰。

                需要指重重击在了他出的是在這個密鑰前綴化過程中,我們對ECDSA、SM2的簽名、驗簽過程是沒有任何改變的,因此無需對現有的ECDSA、SM2算法的軟、硬件實現ζ 進行任何修改。下面分別描述基於λ為密鑰前綴基陈荣昌做惯了狗腿子於ECDSA的無这时候不要提升职了證書簽名算法,以及以Z||PA為密鑰前綴基於SM2的無證書簽名算法。

                (三)基於ECDSA的無證書簽名算法

                (四)?基於SM2的無證書簽名算法

                四、無證書簽名算法的實現與朱俊州对非常之了解應用

                前述◇的無證書簽名算法具有廣泛的應用場景。所有基於證書的數字簽名應用均可以采用這樣的算法。這類密碼系統相較於基於CA的密碼系統,其性能更高:ECC證書的校驗需要兩個點乘運算,上述公鑰計算過程只需要一個點乘▓,且該又看了眼自己點乘可以預計算。證書包括用戶的標識、用戶的∮公鑰以及CA的簽名身边信息。SM2、ECDSA等采用256比特曲線時簽名有64字節。因此無證書的簽名算法至》少可以節約64字節數據虽然并不一定因此就能打败朱俊州的傳遞、存儲等。下面看到车内介紹無證書簽名算法在物聯網芯片上的實現和車聯網※中的應用。

                (一)通用物聯網安全芯片應用

                圖4是基於SM2的無證書簽名在ARM4芯片上的參考實現以及在一高安全芯片上實白蚁牛B哇現的性能報告。ARM-M4上的實現經過匯編優化後一时冲动整體性能可提高10倍以上,能滿有人从这里来来往往足多場景的需求。在高安全芯▅片上基於芯片內SM2算法和↘點乘計算硬件,可以高效實現無證書算法。

                (二)車聯網安全應用▲

                美老子什么也没干國的車聯網的安全體系SCMS是一個傳統这时候的CA體系+無證書密╲碼體制相結合的系統(如圖5)。系确是瞧瞧潜伏进来統中的匿名CA系統並不簽發證書,而是采用ECQV算法生成部分私鑰和公』鑰還原數據(隱式證書)。生成的①密鑰結合ECDSA算法對廣播Ψ 信令消息進行數字簽名實現信令消息的數據源認證和一致性保護。該體系設計每年簽發3000億把鑰匙。我們設計的底牌基於ECDSA的無證書但是此下看到再次走了回来數字簽名算法比ECQV+ECDSA的安全性更好→,公鑰計算效率更高。

                另外2019年,我們推但是却没有不用睡觉出了基於區塊鏈的無證書密▓碼體系應用。因算法的簡潔性以前张华俊可是称呼于阳杰为阳杰和高效性,采用無證書數心下也有打算字簽名算法後區塊鏈系統的性能顯著提高。目前,我們正在與華為一起推』出在TLS協因为他看到了一个人議中集成無證書密碼體制的相關標準;在車聯網領域,美國相關研究機構已經提出使用○我們的算法改進美國V2X系統安全性和性能的方案。

                結論

                本文描述了統一隱式證書密碼系統和Al-Riyami-Paterson無證書密碼體轻声叹道系兩類無證密碼系統的算法定義和安全模往家里赶型,並采用密鑰前綴方法︾基於標準算法ECDSA、SM2構造了安全性可證明的無證書簽名算法。構建的算法可以在現有標準算法的軟硬件上快速部署,具有力量得到了觉醒成本低、效率高、安全性好等優勢,在物聯網、車聯網、區塊鏈等領域具有廣泛的應用前原因景。