抗密钥泄漏技术研究综述

开篇：润墨网以专业的文秘视角，为您筛选了一篇抗密钥泄漏技术研究综述范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：为了清晰地认识具有自保护功能的密码系统，对现有的几种抗密钥泄漏技术进行研究。从时间和核心技术两个角度对向前安全，密钥隔离，入侵回弹和重加密进行系统的分析，给出其研究的发展历程、核心技术和研究现状，并指出进一步需要研究的问题。文章对迅速全面把握抗密钥技术研究动态具有重要参考意义。

Abstract: This paper proposed several kinds of technologies against key exposures in order to understand self -protecting system. It gave a systematical survey on forward security, key insulation, intrusion resilient and proxy re-encryption on the basis of time and core skills. Meanwhile, it pointed out the research history, categories of the core skills, current state and problems needed to be solved in technologies against key exposures. It is very helpful for catching the research state of technologies against key exposures.

关键词：密钥泄漏；向前安全；密钥隔离；入侵回弹；重加密

Key words: key-exposure；forward security；key insulation；intrusion resilient；proxy re-encryption

中图分类号：TP309 文献标识码：A 文章编号：1006-4311（2011）23-0136-02

1抗密钥泄漏技术应用

当今随着互联网的普及，用户或企业离不开密钥的保护。密钥在一个密码系统中起着十分重要的地位：在加密系统中只有合法的用户才能执行解密操作，签名系统中只有合法用户才能产生有效的签名。目前，大部分的密码系统都是假设密码系统可以安全地保护密钥的。但是随着新技术的不断发展，智能手机，移动互联网设备（MID）等移动设备的拥有率越来越高，越来越多的数据加密系统被用于各种各样的安全性较差的场合，密钥的泄漏就在所难免。对于一个密码系统来说，密钥的泄漏是毁灭性的打击。和求解加密系统所基于的困难问题相比，攻击者直接盗取用户的密钥更为容易。在公钥密码系统中，密钥的泄漏是最致命的打击。

2系统结构中的密钥保护技术

早期是采用分布式的办法来增加发生密钥泄漏的难度。它是通过把整个密钥分成若干个部分，分别存放在不同的设备上，加密解密签名等操作需要这些设备的共同协作才能完成。这样即使敌手可以获取某些模块，也无法恢复整个密钥。但是当密钥模块泄漏得足够多的时候，还是对系统的安全构成威胁。

当前较好地应对密钥泄漏的办法是一类被称为具有自保护（Self Protecting）功能的密码系统。该类系统包括向前安全密码系统、密钥隔离系统和入侵回弹密码系统。其主要思想是：在保持公钥不变的前提下，对用户的私钥采用进化的办法，达到在不同的时间片段内使用不同的私钥，而在某个时间片内泄漏的私钥不会危害到其它时间片内的安全性的目的。

2.1 向前安全最初思想由Anderson[1]正式提出，之后Bellare等人[2]提出了基于前向安全的签名方案，给出了正式的模型和安全定义，他们的方案在离散对数困难问题假设下达到了可证明安全性的要求。Ran Canetti等人[3]给出了首个的向前加密方案，但该方案只支持有限的时间片，而且运算代价较高。向前安全的基本思想是：固定公钥pk，私钥ski随时间进化，ski由ski-1通过一个公开的单向函数h来生成，然后删除ski-1以期达到一个目的：即使时间片段i内的密钥ski泄漏，也不会导致之前t（t＜i）的阶段内的信息泄漏。

虽然向前安全机制可以很好地保证在密钥泄漏发生之前的安全性，但是没有办法保证密钥泄漏之后的安全性。这就是说在发生密钥泄漏之后，用户的公钥还是要更改。而在基于身份的加密系统中，用户的的身份信息通常是手机号码等，这是不允许撤销的。从这方面来说，向前安全的加密体制不大适合基于身份的加密。

2.2 密钥隔离在安全性上，秘密分享和门限加密等方式对于限制安全系统的单一密钥脆弱点具有良好的效果，但需要多方配合协作，用户对于开销的承受能力和该类方案对于不同环境的适用性有限。而前向安全虽然具备了操作上的一定的便利性，但对于日常使用的终端仍然难以避免被入侵，由于FS方案下单个终端拥有密钥进化的全部知识，一旦在不可信环境下的设备被攻破，则无法保证将来数据的安全。为此，Dodis等人[4]在2002年提出了密钥隔离方案。

密钥隔离基于密钥进化的思想，密钥的进化不再由用户独自进行，用户自己不完全具备密钥进化所需的全部知识，而增加一个协助者Helper（与用户分离开，但计算能力受限）来协作生成新阶段的密钥，在KI传统的设计中新加入的空间上隔离的Helper使得在前向加密中的局限性得到改善。攻击者单独得到Helper或者用户的阶段密钥ski，都不具备密钥进化的全部知识，这样，实现了（t，N）隔离安全性：任意时段t的密钥泄露，都不能影响剩余时段N-t信息的安全性。对于Helper，进一步假定它不可信，这样构造出来的KIE称为强（t，N）-安全性的密钥隔离，所有的具体加密/签名操作仍然由用户独立完成。

在PKC’03上，Dodis等人[5]给出了一个构造密钥隔离签名的通用方法。但是该方法的方案在签名和验证方面需要很高的运算代价。所以他们同样在文中给出了一个更为具体的（t，N）密钥隔离签名方案。该方案比通用的方法更快，不仅减少了HSK的使用频率，而且减少了密钥泄漏带来的危害。

物理上隔离的协助器密钥一方面使到敌手即使拿到用户当前的密钥也无法计算出之前或以后的密钥，但是另一方面因为经常的密钥更新使到密钥泄漏的可能性也增加。一旦敌手把当前密钥和协助器密钥拿到，就可以攻破整个系统。为此Hanaokao等人提出了并行密钥隔离的思想并给出了选择明文的构造方案和选择密文的构造方案及其安全性证明。该方案中，有两个相互独立的协助器密钥，既减少了密钥泄漏的可能性，也满足了经常使用更新下的安全性，从而保证了整个系统的安全性。

Weng Jian等人[6]在2006年首先提出了基于身份的并行密钥隔离加密的形式及其安全模型。该方案满足随机语言机模型安全，达到可以经常更新密钥而又不增加密钥泄漏的威胁的目的。Weng Jian等人[7]在2008年给出标准模型下基于身份的门限密钥隔离方案，实现了标准模型下CPA的密钥隔离。进一步地，Weng等还构造了（t-N）门限密钥隔离方案，此时用户拥有N个更新协作者，每次阶段密钥更新至少需要使用k个协作者参与才能完成，（k-N）门限密钥隔离在提供了基本隔离性质的基础上，创造性的支持了随机密钥访问能力，这在传统的密钥隔离协议中是难以实现的。

2.3 入侵回弹尽管在上面方案的基础上，系统的安全性可以得到很好的保证，但是还是可能存在泄漏。为此Itkis等人[8]提出了入侵回弹概念。它与密钥隔离有很多相似的地方，不同的是协助器也进行更新操作。Itkis等人同样给出了一个具体的签名方案，但该方案只支持有限的时间片段。之后Itkis给出了一个通用的入侵回弹签名方案。在此基础上，他们在文献[9]中进一步给出了一个用于构造入侵回弹的公钥加密方案的通用办法。

3重加密技术

随着信息技术的发展，为了应对合谋攻击，重加密技术在近年来越来越受到关注。重密码首先由Blaze、Bleumer和Strauss[10]在1998年的欧密会上提出来。在重密码中，一个拥有重加密密钥的半可信者可以把Alice的密文转换为对同一个明文的Bob的密文，而这个者不能获得明文的。R. Canetti等人在文献[11]中给出了可满足选择密文攻击的安全性定义和一个方案。在R. Canetti等人的文献中提出一个公开的问题，如何构造出一个没有使用配对的满足选择密文安全的可加密方案。为此Weng Jian等人在文献[12]构造一个双向的方案并证明是满足随机预言机模型安全的。Shao Jun等人构造一个单向的方案并证明是满足随机预言机模型安全的。但是Shao Jun等的方案是容易受到攻击的，为此Weng Jian等在文献[13]给出一个强的单向的方案，该方案的有较高的效率。Weng Jian等接着给出更为一般的构造方法。为解决如何构建一个在自适应攻陷模型下满足选择密文安全的单向重加密方案重要问题。Weng Jian等提出了一个新的单向重加密方案，并在不依赖随机预言机模型的前提下，证明了方案在自适应攻陷模型下的选择密文安全性。

进一步地，Matsuada等人提出一个在标准模型下选择密文安全的双向的重加密方案，但Weng Jian等在文献[14]中攻击该方案，指出该方案是不满足选择密文安全的，并指出在标准模型下如何构建一个有选择密文安全的可重加密方案还是一个公开的问题。

4需要继续研究的问题

目前，向前密码系统得到研究最为深入，然而，对于向前安全密码系统在多用户环境下的研究，还存在广阔的空间。例如如何构建标准模型下可证明安全的向前安全群/环签名方案。与向前安全系统相比，学界对密钥隔离系统的研究还有大量要解决的问题。例如，并行密钥隔离系统和门限隔离系统能够很好地减轻密钥泄漏带来的危害，但是目前还没有存在这两类系统的通用构造方法；目前的并行密钥隔离方案的效率较为低下，其运算代价和密文的长度均和协助器的数目呈线性关系。同时学界对密钥绝缘在多用户环境下的研究极少，近存在一个随机语言机模型下的可证明安全的密钥绝缘环签名方案，也尚未存在密钥绝缘群签名方案。

5结论

抗密钥泄漏技术有着重要而广阔的应用前景。本文就自保护密码系统的几种技术进行分析。学界对具有自保护功能的密码系统的研究远未成熟，尤其在国内外密码学界，主要集中在向前安全签名方面的研究，对其它技术未给予很大的重视。在自保护功能的密码系统方面研究领域还有大量需要解决的问题。例如，探讨具有自保护功能与其它密码系统之间的关系，提出构造具有自保护功能密码系统的通用方法。

参考文献：

[1]ANDERSON. R.Two Remarks on Public Key Cryptology[C]. The 4th ACM Computer and Communication Security, 1997.

[2]BELLARE M, MINERA S K .Forward-Secure Digital Signature Scheme[C]. ADVANCES IN CRYPTOLOGY ― CRYPTO' 99.

[3]KATZ J,HALEVI S,CANETTI R.A Forward-Secure Public-Key Encryption Scheme[C]. ADVANCES IN CRYPTOLOGY ― EUROCRYPT 2003.

[4]DODIS Y, KATZ J, XU S, YUNG M. Key-Insulated Public Key Cryptosystem: EUROCRYPT 2002, LNCS 2332, PP. 65-82, 2002.

[5]DODIS Y, KATZ J, XU S, YUNG M. Strong Key-Insulated Signature Schems[C]. PUBLIC KEY CRYPTOGRAPHY ― PKC 2003.

[6]WENG J, LIU S, CHEN K, MA C. Identity-Based Parallel Key-Insulated Encryption Without Random Oracles: Security Notions and Construction[C]. PROGRESS IN CRYPTOLOGY - INDOCRYPT 2006.

[7]WENG J, LIU S, CHEN K, ZHENG D, QIU W. Identity-Based Threshold Key-Insulated Encryption without Random Oracles[C]. CT-RSA'08 Proceedings of the 2008 The Cryptopgraphers' Track at the RSA conference on Topics in cryptology.

[8]ITKIS G, REYZIN L .SiBIR: Signer-Base Intrusion-Resilent Signatrures.[C]. ADVANCES IN CRYPTOLOGY ― CRYPTO 2002.

[9]DODIS Y, RRANKLIN M, KATZ J, MIYAJI A, YUNG M. A Generic Construction for Intrusion-Resilient Public-Key Encryption. [C]. TOPICS IN CRYPTOLOGY-CT-RSA 2004.

[10]BLAZE M,BLEUMER G,STRAUSS M. Divertible Protocols and Atomic Proxy Cryptography.[C]. ADVANCES IN CRYPTOLOGY ― EUROCRYPT'98.

[11]CANETTI R, HOHENBERGER S. Chosen-Ciphertext Secure Proxy Re-Encryption.[C]. CCS '07 Proceedings of the 14th ACM conference on Computer and communications security.

[12]DENG R H., WENG J, LIU S, CHEN K. Chosen-Ciphertext Secure Proxy Re-encryption without Pairing.[C]. CRYPTOLOGY AND NETWORK SECURITY.

[13]CHOW S, WENG J, YANG Y, DENG ROBERT H. Efficient Unidirectional ProxyRe-Encryption.[C]. PROGRESS IN CRYPTOLOGY C AFRICACRYPT 2010.

[14]WENG J, ZHAO Y. On the Security of a Bidirectional Proxy Re-Encryption Scheme from PKC2010.[EB/OL]./2010/319.pdf.