半自适应性安全的双方可否认属性加密方案_王蒙.pdf

密码学报ISSN 2095-7025 CN 10-1195/TNJournal of Cryptologic Research,2023,10(2):320341密码学报编辑部版权所有.E-mail:http:/Tel/Fax:+86-10-82789618半自适应性安全的双方可否认属性加密方案*王 蒙,杨 波,梁旭东陕西师范大学 计算机科学学院,西安 710119通信作者:杨波,E-mail:摘要:可否认加密技术是防御窃听者主动胁迫攻击的有效手段,但少有支持双方可否认的加密方案.由于当前基于格的证明框架的限制,现有的格中双方可否认加密方案都只能实现选择性安全.针对此问题,本文基于 LWE 标准假设,提出了半自适应性安全的双方可否认属性加密方案.具体而言,把分支程序计算算法应用到基于属性的双透明集合方案.将两阶段抽样算法作为秘密钥生成过程的关键组成部分,改变加密算法加密属性的方式,推导出半自适应性安全的可否认加密方案.对方案的正确性和安全性进行了证明.关键词:可否认加密;两阶段抽样算法;半自适应性安全;LWE 问题;属性加密方案(ABE)中图分类号:TP309.7文献标识码:ADOI:10.13868/ki.jcr.000597中文引用格式:王蒙,杨波,梁旭东.半自适应性安全的双方可否认属性加密方案J.密码学报,2023,10(2):320341.DOI:10.13868/ki.jcr.000597英文引用格式:WANG M,YANG B,LIANG X D.Semi-adaptive secure bi-deniable attribute based encryp-tionJ.Journal of Cryptologic Research,2023,10(2):320341.DOI:10.13868/ki.jcr.000597Semi-adaptive Secure Bi-deniable Attribute Based EncryptionWANG Meng,YANG Bo,LIANG Xu-DongSchool of Computer Science,Shaanxi Normal University,Xian 710119,ChinaCorresponding author:YANG Bo,E-mail:Abstract:Deniable encryption is an effective means to defend against active coercion attacks byeavesdroppers.However,few deniable encryption schemes support bi-deniability.Due to the limitationof the current lattice-based proof framework,the existing lattice-based bi-deniable encryption schemescan only achieve selective security.To solve this problem,this paper proposes a semi-adaptive securebi-deniable attribute based encryption scheme based on the LWE standard assumption.Specifically,this paper applies the branching program evaluation algorithm to attribute based bitranslucent setscheme.At the same time,the two-stage sampling algorithm is used as the key part of the secret keygeneration process,and the way of encrypting the attributes of the encryption algorithm is changed.Eventually,a semi-adaptive secure deniable encryption scheme is derived.The correctness and securityof the scheme are proved in this paper.*基金项目:国家重点研发计划(2017YFB0802000);国家自然科学基金(U2001205,61772326);“十三五”国家密码发展基金(MMJJ20180217);信息安全国家重点实验室开放课题(2017-MS-03)Foundation:National Key Research and Development Program of China(2017YFB0802000);National NaturalScience Foundation of China(U2001205,61772326);National Cryptography Development Fund during the 13th Five-Year Plan Period(MMJJ20180217);Open Fund of State Key Laboratory of Information Security(2017-MS-03)收稿日期:2022-03-29定稿日期:2022-08-04王蒙 等:半自适应性安全的双方可否认属性加密方案321Key words:deniable encryption;two-stage sampling algorithm;semi-adaptive security;LWE prob-lem;attribute based encryption(ABE)1引言加密技术的传统目标是针对窃听攻击保护通信中传输数据的隐私性.然而,如果窃听者向通信双方或者其中一方发出威胁,胁迫其揭露所有隐私数据包括明文、加密使用的随机数以及秘密钥,那么传统的加密技术就不能保证数据的隐私性.1997 年,Canetti 等人1首次提出了可否认加密的概念,并给出了发送方可否认的 PKE 方案.发送方可否认的加密方案使得发送方能够伪造出一个虚假随机数,同时选定虚假明文.使用虚假随机数对虚假明文加密得到的密文与用真实随机数对真实明文加密得到的密文相同.从而,发送方可以使用虚假随机数和虚假明文欺骗窃听者,并且不会引起窃听者察觉.根据可否认的对象不同,可否认的加密方案分为发送方可否认的加密方案、接收方可否认的加密方案和双方可否认的加密方案.Canetti 等人1提出了两类可否认性.第一类是完全可否认性,即发送方和接收方运行一套预先指定的密钥生成算法和加密算法,过后能将密文否认为其他的明文.第二类是多分布可否认性.多重分布模型允许有两套密钥生成算法和加密算法,其中一套为可否认算法,另一套为正常算法,使得在可否认算法下加密的一个明文能被否认为在正常算法下加密的另一个明文.而使用这两套算法的通信,对于敌手是无法区分的.容易看出,完全可否认性是比多分布可否认性更强的安全概念.但是,设计完全可否认加密方案是一个长期的公开问题.在构造多分布可否认性方面:Canetti 等人1基于标准假设使用多重分布模型实现了发送方可否认的 PKE 方案.该方案中,多项式时间的攻击者区分真实明文与虚假明文的优势是关于公开钥尺寸的逆多项式.因此,该方案尚不能真正实现真实明文与虚假明文的不可区分.直到 2011 年,ONeill 等人2提出了第一个双方可否认且具有可忽略区分优势的 PKE 方案.该方案是使用多重分布模型实现的接收方可否认性.与传统公钥加密模型相比,多重分布模型的特点在于,秘密钥 sk 是由密钥管理中心发放的.当接收方被威胁揭露选定的密文 ct对应的秘密钥 sk 时,密钥管理中心为接收方发放一个伪密钥 fk.使用 fk,接收方可以生成一个虚假秘密钥 sk,从而能将 ct解密成相应的虚假明文.与此同时,sk与 sk 在其他独立生成的密文上表现是相同的.ONeill 等人证明在他们的方案中,窃听者最多有可忽略的优势区分出真实的秘密钥 sk 和虚假的秘密钥 sk.在构造完全可否认性方面:2014 年,Sahai 和 Waters3在可否认研究上取得了重大突破.他们基于不可区分混淆(iO)提出了第一个发送方完全可否认的 PKE 方案,且最多具有可忽略的区分优势.随后,可否认加密技术被证明可以应用于许多场景.例如泄露恢复4、协议的自适应安全以及可否认计算57等.一个理想的完全可否认加密算法必定是非交互且是双方可否认的.但是,这两种特性不可能同时实现.这是因为,在 2011 年,Bendlin 等人8提出一个关于完全可否认加密方案构造的理论下界:任意非交互式的 PKE 方案仅能实现区分优势是(1size(pk)的接收方可否认性,即任何接收方完全可否认的方案都要求交互通信.事实上,即使只实现接收方具有可忽略区分优势的完全可否认加密方案也是非常困难的.直到 2020 年,Canetti 等人9给出了一个突破性的结果,他们基于亚指数安全的 iO 设计了双方完全可否认的交互加密方案,不仅允许发送方和接收方可以否认密文,而且当否认的明文不同时保证无法区分谁在欺骗.尽管构建双方完全可否认加密方案的问题已得到初步解决.但是已知的构造方案依赖于 iO(实现较低效),并且需要交互通信.因此,为了实现非交互式的双方可否认加密方案,在现有的技术条件下仍然需要使用多重分布模型.随着量子计算机的快速发展,经典数论密码体系受到巨大冲击.格密码方案因其具有抵抗量子攻击、渐进计算复杂度低(通常只需要对小整数进行线性运算)以及都可规约为最坏情况下的格困难问题等突出特性,受到热烈关注.然而,目前基于格中标准假设构建双方可否认加密方案的能力仍十分有限.2011年,ONeill 等人2提出了第一个双方可否认且具有可忽略区分优势的 PKE 方案.在此基础上,2015 年,Apon 等人10基于格中 LWE 标准假设11实现了双方可否认的内积加密方案.2016 年,Apon 等人12又提出了基于 LWE11的双方可否认属性加密方案.上述方案都使用了多重分布模型,且满足双方可否认322Journal of Cryptologic Research 密码学报 Vol.10,No.2,Apr.2023性,但是都只能实现选择性安全.尽管研究可否认加密技术具有明显的理论效用,但是基于格中标准假设,如何设计出安全性更强的双方可否认加密方案仍然具有挑战性.格中陷门作为格密码学中的基本工具,有着重要的应用.1997 年,Goldreich 等人13非常直观地提出,格中存在可作为“陷门”的短的基向量.在此基础上,Gentry 等人14说明了如何以一种合理且安全的方式使用格中陷门.他们基于最坏情况下的格中标准假设,提出了 GPV 抽样算法.这一强大的密码工具可以高效地应用于构建数字签名、基于身份的加密方案等,但是使用该方法只能实现选择性安全的密码方案.2021 年,Lai 等人15对 GPV 抽样算法14进行改进,提出了新的两阶段抽样算法.这种新型抽样算法能够克服当前证明框架的技术障碍,有效提高了方案的安全性.他们将该算法应用于构造函数加密方案,不仅能实现模拟性安全还能有效减少密文长度,提高了方案的效率.1.1主要工作及贡献目前,已有的多重分布模型下基于 LWE 的双方可否认加密方案都只能实现选择性安全.如何进一步设计具有更强安全性的双方可否认加密方案,是一个值得深入研究的问题.基于此,本文主要工作以及贡献如下:进一步研究分析目前多重分布模型下,双方可否认加密方案只能实现选择性安全的原因.以 Apon 等人12设计的双方可否认属性加密方案为例,分析其提升安全性的阻碍,并寻找解决方案.