现代密码学 学习心得
现代密码学 学习心得
现代密码学学习心得密码学(Cryptology)一词源自希腊语“krypto's”及“logos”两词,意思为“隐藏”及“消息”。
它是研究信息系统安全保密的科学。
其目的为两人在不安全的信道上进行通信而不被破译者理解他们通信的内容。
从几千年前到1949年,密码学还没有成为一门真正的科学,而是一门艺术。
密码学专家常常是凭自己的直觉和信念来进行密码设计,而对密码的分析也多基于密码分析者的直觉和经验来进行的。
1949年,美国数学家、信息论的创始人 Shannon, Claude Elwood 发表了《保密系统的信息理论》一文,它标志着密码学阶段的开始。
同时以这篇文章为标志的信息论为对称密钥密码系统建立了理论基础,从此密码学成为一门科学。
于保密的需要,这时人们基本上看不到关于密码学的文献和资料,平常人们是接触不到密码的。
1967年Kahn出版了一本叫做《破译者》的小说,使人们知道了密码学。
20 世纪70年代初期,IBM发表了有关密码学的几篇技术报告,从而使更多的人了解了密码学的存在。
但科学理论的产生并没有使密码学失去艺术的一面,如今,密码学仍是一门具有艺术性的科学。
1976年,Diffie和 Hellman 发表了《密码学的新方向》一文,他们首次证明了在发送端和接收端不需要传输密钥的保密通信的可能性,从而开创了公钥密码学的新纪元。
该文章也成了区分古典密码和现代密码的标志。
1977年,美国的数据加密标准公布。
这两件事情导致了对密码学的空前研究。
从这时候起,开始对密码在民用方面进行研究,密码才开始充分发挥它的商用价值和社会价值,人们才开始能够接触到密码学。
这种转变也促使了密码学的空前发展。
最早的加密技术,当属凯撒加密法了。
秘密金轮,就是加解密的硬件设备可以公用,可以大量生产,以降低硬件加解密设备的生产与购置成本。
破译和加密技术从来就是共存的,彼此牵制,彼此推进。
错综复杂的加解密演算法都是为了能够超越人力执行能力而不断演变的。
密码学小结
密码学小结1.12.23.3密码学是一个既古老又新兴的学科,可以说自从人类有了战争就有了密码,置换密码又称移位密码明文的字母保持相同但顺序被打乱了,其重点就是密钥字母的产生必须是完全随机,输出的串流根据加密时的内部状态而定。
密码学小结2017-12-02 08:21:30 | #1楼密码学是一个既古老又新兴的学科。
密码学(Cryptology) 源自希腊文“krypto‘s”及“logos”两字,直译即为“隐藏”及“讯息”之意。
密码作为一门技术源远流长,可以追溯到几千年前的远古战争时代。
可以说自从人类有了战争,就有了密码。
尤其是二战期间,由于军事、数学、通讯等相关技术的发展,战争中对军事信息保密传递和破获敌方信息的需求,密码学得到了空前的发展,并广泛的用于军事情报部门的决策。
长期以来,密码技术总是和政治、经济、军事联系在一起。
密码形成一门新的学科是在20世纪70年代,他的理论基础之一应该首推1949年香农发表的《保密通信理论》,该文首先将信息论引入了密码,从而把已有数千年历史的密码学推向了科学的轨道,奠定了密码学的理论基矗该文的发表标志着密码学从此成为一门科学,由此拉开了现代密码学研究的序幕。
密码学的发展经历了从古典密码学到现代密码的演变。
早在人类刚刚出现,并且尝试去学习如何通信的时候,为了确保他们的通信的机密,最先是有意识的使用一些简单的方法来加密信息,通过一些(密码)象形文字相互传达信息。
早在4000多年以前,古埃及人就在墓志铭中使用过类似于象形文字那样奇妙的符号;公元前1500年左右,美索不达米亚人的一块板上记录了被加密的陶器上釉规则;公元前600至500年左右,希伯来人开发了三种不同的加密方法,都以替换为基本原理,用一个字母表的字母与另一个字母表的字母配对,用相配对的字母替换明文,生成密文。
公元前405年,斯巴达的将领来山得使用了原始的错乱密码;公元前约50年,凯撒密码——一种简单的字符替换——被认为是最早的正式算法;中国古代秘密通信的手段,也已有一些近于密码的雏形。
成功的密码学期总结与自省
成功的密码学期总结与自省现如今,随着信息技术的迅猛发展,人们在各个领域中都离不开密码学的保护。
作为密码学的学习者,我在这个学期中经历了许多挑战和收获,对于密码学有了更加深入的理解。
在本文中,我将对我在本学期中的学习经历进行总结与自省。
一、回顾学习内容在本学期的密码学课程中,我学习了许多基础概念和技术,包括对称密码学、非对称密码学以及哈希函数等。
通过学习这些内容,我对密码学的原理和应用有了更加全面的认识。
在对称密码学方面,我学习了DES、AES等常见的对称加密算法,了解了它们的原理和特点。
我还学习了密码分析方法,如差分攻击、线性攻击等,并了解了他们对于密码系统的威胁。
在非对称密码学方面,我学习了RSA、椭圆曲线密码算法等非对称加密算法的基本原理。
我了解了数字签名和公钥证书的概念,以及它们在保护通信和验证身份等方面的应用。
此外,我还学习了哈希函数的原理和应用。
了解了MD5、SHA-1、SHA-256等常见的哈希函数,并学习了哈希函数在消息完整性检验和密码存储等方面的应用。
二、遇到的挑战与解决方案在学习密码学的过程中,我也遇到了一些挑战。
其中一个主要的挑战是理解数学概念和算法原理。
密码学作为一门涉及大量数学内容的学科,需要对数论、代数等数学知识有一定的了解。
在遇到这个挑战时,我主动查阅相关数学知识的资料,并寻求老师和同学的帮助,最终顺利地掌握了相关概念和算法。
另一个挑战是理解密码学算法的实现细节。
有些密码算法涉及到复杂的位运算和数论计算,我需要花费一定的时间和精力来理解和实现这些算法。
为了解决这个挑战,我阅读了相关的文献和教材,并进行了一些编程实践,加深了对算法的理解和掌握。
三、取得的成果与收获在本学期的学习过程中,我取得了一些成果和收获。
首先,我对密码学的基本原理和技术有了深入的了解,能够独立地进行密码系统的设计和分析。
其次,我学会了使用一些密码学工具和软件,如OpenSSL、GnuPG等,能够进行加密通信和数字签名的操作。
(5篇)对新时期机要密码心得体会及感悟
(5篇)对新时期机要密码心得体会及感悟篇一:新时期机要密码的重要性新时期机要密码在信息化时代具有非常重要的意义。
随着科技的迅猛发展,人们在日常生活和工作中离不开计算机和互联网的使用,大量的信息交流和传输也让个人和机构的隐私面临着泄露和攻击的风险。
而机要密码的使用可以有效地保护信息的安全,维护个人和机构的利益。
首先,新时期机要密码是信息安全的重要保障。
在互联网时代,信息交流和传输已经成为人们生活中不可或缺的一部分,包括个人隐私、银行交易、商业机密等重要信息都需要在网络中传递。
如果没有适当的机要密码保护,这些信息就会面临被非法获取和利用的风险。
机要密码的使用可以有效地加密信息,在其他人未经授权的情况下无法解读,从而保护个人和机构的安全。
其次,新时期机要密码有助于防止黑客攻击。
随着技术的发展,网络黑客的攻击手段也不断完善和升级,他们可以通过入侵系统或者网络,获取他人的敏感信息,并进行非法活动。
在这种情况下,机要密码可以设置在系统中,要求用户进行验证,确保只有授权人员才能进入系统,从而防止黑客攻击的发生。
再次,新时期机要密码保护可以保护个人隐私。
在信息化时代,人们的个人信息越来越多地被放在互联网上,包括个人照片、个人资料等。
如果没有机要密码的保护,这些个人隐私信息就会面临被泄露的风险,可能被他人利用进行诈骗、冒名等非法行为。
而机要密码的使用可以有效地保护个人隐私,让个人信息在未经授权的情况下无法被获取和利用。
总之,新时期机要密码在信息化时代扮演着重要的角色。
它不仅保护了信息的安全,防止了黑客攻击,还保护了个人隐私。
在使用机要密码的同时,个人和机构需要不断加强对其安全性的意识和保护措施,确保信息的安全和个人权益的保护。
篇二:新时期机要密码的使用建议随着科技的飞速发展,新时期机要密码在我们的日常生活和工作中扮演着越来越重要的角色。
机要密码的使用既能保护我们的信息安全,又能防止黑客攻击和保护个人隐私。
下面是一些建议,帮助我们更好地使用机要密码。
密码学学习心得体会
密码学学习心得体会篇一:最新密码学专业毕业自我总结】最密码学专业大学生毕业自我总结优秀范文个人原创欢迎下载在密码学专业学习上,我严格要求自己,刻苦钻研密码学相关理论,态度端正,目标明确,基本上牢固的掌握了密码学专业知识和技能,做到了密码学理论与实际相联系。
除了密码学专业知识的学习外,【篇二:密码学总结】第一章: 1 选1, 、密码学发展史:古代加密方法(手工阶段);古典密码(机械阶段)近代密码(计算机阶段)密码学的新方向————数据加密,公开加密算法2、d es 用于政府等非机密单位及商业上的保密通信。
第二章: 4 选 1 简答1 .密码学的五元组是什么?(简答)明文:作为加密输入的原始信息。
密文:是明文经加密变化后的结果。
密钥:是参与密码变换的参数。
加密算法:将明文变成密文的变换函数。
解密算法:将密文恢复成明文的变换函数。
2. 几种安全攻击区分:(加密协议是公开的)3. 密码系统的三种独立分类方式:1 明文变换到密文的操作类型:代替,换位。
2 所用的密钥数量:单密钥密码,双密钥密码。
3 明文被处理的方式:分组密码,流密码。
4. 对称密码体制与非对称体制区别:对称密码体制:又称秘密密钥密码体制,单密钥体制或者常规密码体制,基本特征是加密密钥与解密密钥相同。
优点:处理速度快,具有很高的数据吞吐率,密钥相对较短。
缺点: 1 密钥分发过程复杂,代价高。
2 多人通信时,密钥组合数量出现急速增长,导致分发过程更加复杂。
3 通信双发必须统一密钥,才能发送保密的信息。
4 存在数字签名困难的问题。
非对称密码体制:又称公开密钥密码体制、双密钥密码体制。
原理是加密密钥与解密密钥不同,形成一个密钥对。
优点: 1 用户只需要保存自己的私钥,密钥少,便于管理。
2 密钥分配简单,不需要秘密的信道的复杂的协议。
3 可以实现数字签名。
缺点:同等安全强度下,密钥位数多一些。
5. 密码系统的安全性在于密钥6. 密码系统要实际可用需满足什么特征:(1)每一个加密函数和每个解密函数都能有效地计算(2)破译者取得密文后将不能在有效的时间或成本范围内破解出密钥或明文(3)一个密码系统安全的必要条件:穷举密钥搜索将是不可行的,即密钥空间非常大第三章 2 选 1 计1. 古典密码:隐写术,代替,换位2. 凯撒密码加密后移 3 位。
(完整版)密码学学习心得.docx
密码学认识与总结专业班级信息112 学号201112030223 姓名李延召报告日期.在我们的生活中有许多的秘密和隐私,我们不想让其他人知道,更不想让他们去广泛传播或者使用。
对于我们来说,这些私密是至关重要的,它记载了我们个人的重要信息,其他人不需要知道,也没有必要知道。
为了防止秘密泄露,我们当然就会设置密码,保护我们的信息安全。
更有甚者去设置密保,以防密码丢失后能够及时找回。
密码”一词对人们来说并不陌生,人们可以举出许多有关使用密码的例子。
现代的密码已经比古代有了长远的发展,并逐渐形成一门科学,吸引着越来越多的人们为之奋斗。
一、密码学的定义密码学是研究信息加密、解密和破密的科学,含密码编码学和密码分析学。
密码技术是信息安全的核心技术。
随着现代计算机技术的飞速发展,密码技术正在不断向更多其他领域渗透。
它是集数学、计算机科学、电子与通信等诸多学科于一身的交叉学科。
使用密码技术不仅可以保证信息的机密性,而且可以保证信息的完整性和确证性,防止信息被篡改、伪造和假冒。
目前密码的核心课题主要是在结合具体的网络环境、提高运算效率的基础上,针对各种主动攻击行为,研究各种可证安全体制。
密码学的加密技术使得即使敏感信息被窃取,窃取者也无法获取信息的内容;认证性可以实体身份的验证。
以上思想是密码技术在信息安全方面所起作用的具体表现。
密码学是保障信息安全的核心;密码技术是保护信息安全的主要手段。
本文主要讲述了密码的基本原理,设计思路,分析方法以及密码学的最新研究进展等内容密码学主要包括两个分支,即密码编码学和密码分析学。
密码编码学对信息进行编码以实现信息隐藏,其主要目的是寻求保护信息保密性和认证性的方法; 密码分析学是研究分析破译密码的学科,其主要目的是研究加密消息的破译和消息的伪造。
密码技术的基本思想是对消息做秘密变换,变换的算法即称为密码算法。
密码编码学主要研究对信息进行变换,以保护信息在传递过程中不被敌方窃取、解读和利用的方法,而密码分析学则于密码编码学相反,它主要研究如何分析和破译密码。
密码学学习总结
密码学学习总结⼀、密码学基础密码学要解决信息的机密性、完整性和不可否认性。
其中:机密性:对传递的信息进⾏加密就可以实现机密性,保证信息不泄漏给未经授权的⼈。
(对称、⾮对称加密)完整性:防⽌信息被未经授权的⼈篡改,保证信息不被篡改。
(单向散列、消息认证码、数字签名)不可否认性:能够保证信息⾏为⼈不能否认其信息⾏为。
(对应的技术数字签名)⾝份认证:也能实现⾝份认证。
(对应技术有消息认证、数字签名)1.1、密码学基本元素明⽂(plain text):希望得到保密的原始信息密⽂(cipher text):明⽂经过密码变换后的消息加密(encryption):由明⽂变换为密⽂的过程解密(decryption):由密⽂恢复出明⽂的过程加密算法(encryption algorithm):对明⽂进⾏加密时采⽤的⼀组规则解密算法(decryption algorithm):对密⽂进⾏解密时采⽤的⼀组规则秘钥(key):控制加密和解密算法操作的信息1.2、密码学的分类密码学的密码算法可以分为:对称加密(Sysmmetric Cryptography)和⾮对称加密(Asymmetric Cryptography)以及⽤于确认数据完整性的单向散列(One-Way Hash Funcrion)⼜称密码校验(Cryptographic Checksum)、指纹(Fingerprint)、消息摘要(Message Digest)。
1.2.1 对称加密特点:在加密和解密使⽤同⼀秘钥。
优点:加密或解密运算速度块,加密强度⾼,算法公开。
缺点:秘钥分发难,更新周期长,不便于管理。
对称密码算法有AES算法(Advanced Encryption Standard)⼜称⾼级加密标准Rijndael加密发,属于⾮保密、公开披露的,在各种平台上易于实现、速度快,设计简单,密⽂和明⽂长度⼀致,硬件⽀持、加密芯⽚。
DES也是对称密码算法,就是⽼了。
现代密码学学习报告
现代密码学学习报告第一章 概论1.1信息安全与密码技术信息的一般定义属于哲学范畴。
信息是事物运动的状态与方式,是事物的一种区别于物质与能量的属性。
“信息”——数据。
机密性——拥有数据的一方或交换数据的各方不希望局外人或对手获得、进而读懂这些数据。
完整性——数据在交换及保存中不被未授权者删除或改动,或者合法的接受者能方便的判断该数据是否已经被篡改。
认证性——也称“不可否认性”或“抗抵赖”,包括信息源和接收端认证性,即信息系统中的实体不能否认或抵赖曾经完成的发送消息或接收消息的操作。
利用信息源证据可以检测出消息发送方否认已发送某消息的抵赖行为,利用接收端证据可以检测出消息接收方否认已接收某消息的抵赖行为。
此类证据通常还包括时间/时序或“新鲜性”证据。
可用性——授权用户能对信息资源有效使用。
显然,信息系统可靠性是其支撑之一。
公平性——信息具有的社会或经济价值只能在交互中体现。
公平性就是指交换规则或交互协议要使得参与信息交互的各方承担安全风险上处于相同或相当的地位。
可控性——是指对信息的传播及传播的内容以至信息的机密性具有控制能力的特性。
一般指信息系统或(社会)授权机构根据某种法规对信息的机密性、信息的传播通道、特定内容信息的传播具有控制能力的特性,以及获取信息活动审计凭证能力的特性,如“密钥托管”、“匿名撤销”、实时内容检测与过滤、计算机犯罪或诉讼的司法取证等。
1.2密码系统模型和密码体制密码系统基本模型:密码体制的分类:对称密码体制的古典算法有简单代换、多名代换、多表代换等。
非对称密码体制:使用非对称密码体制的每一个用户一个是可以公开的,称为公开密钥,简称公钥,用pku 表示;另外一个则是秘密的,称为秘密秘钥,简称私钥,用sku 表示。
非对称密码体制又称为双钥密码体制或公钥密码体制。
公钥密码体制的主要特点是将加密能力分开并分别并分别授予不同的用户,因而可以实现信 源M 加密器()c m =1k E 非法接入者密码分析员(窃听者)搭线信道(主动攻击)搭线信道(被动攻击)解密器接收者()m c =2k D 密钥源密钥源1K 2K m m 'm c'c 1k 2k 信道密钥信道多个用户加密的消息只能由一个用户解读。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
混合离散对数及安全认证摘要:近二十年来,电子认证成为一个重要的研究领域。
其第一个应用就是对数字文档进行数字签名,其后Chaum希望利用银行认证和用户的匿名性这一性质产生电子货币,于是他提出盲签名的概念。
对于所有的这些问题以及其他的在线认证,零知识证明理论成为一个非常强有力的工具。
虽然其具有很高的安全性,却导致高负荷运算。
最近发现信息不可分辨性是一个可以兼顾安全和效率的性质。
本文研究混合系数的离散对数问题,也即信息不可识别性。
我们提供一种新的认证,这种认证比因式分解有更好的安全性,而且从证明者角度看来有更高的效率。
我们也降低了对Schnorr方案变形的实际安全参数的Girault的证明的花销。
最后,基于信息不可识别性,我们得到一个安全性与因式分解相同的盲签名。
1.概述在密码学中,可证明为安全的方案是一直以来都在追求的一个重要目标。
然而,效率一直就是一个难以实现的属性。
即使在现在对于认证已经进行了广泛的研究,还是很少有方案能兼顾效率和安全性。
其原因就是零知识协议的广泛应用。
身份识别:关于识别方案的第一篇理论性的论文就是关于零知识的,零知识理论使得不用泄漏关于消息的任何信息,就可以证明自己知道这个消息。
然而这样一种能够抵抗主动攻击的属性,通常需要许多次迭代来得到较高的安全性,从而使得协议或者在计算方面,或者在通信量方面或者在两个方面效率都十分低下。
最近,poupard和stern提出了一个比较高效的方案,其安全性等价于离散对数问题。
然而,其约减的代价太高,使得其不适用于现实中的问题。
几年以前,fiege和shamir就定义了比零知识更弱的属性,即“信息隐藏”和“信息不可分辨”属性,它们对于安全的识别协议来说已经够用了。
说它们比零知识更弱是指它们可能会泄漏秘密消息的某些信息,但是还不足以找到消息。
具体一点来说,对于“信息隐藏”属性,如果一个攻击者能够通过一个一次主动攻击发现秘密消息,她不是通过与证明者的交互来发现它的。
而对于“信息不可分辨”属性,则意味着在攻击者方面看来,证据所用的私钥是不受约束的。
也就是说有许多的私钥对应于一个公钥,证据仅仅传递了有这样一个私钥被使用了这样一个信息,但是用的是哪个私钥,并没有在证据传递的信息中出现。
下面,我们集中考虑后一种属性,它能够提供一种三次传递识别方案并且对抗主动攻击。
Okamoto 描述了一些schnorr和guillou-quisquater识别方案的变种,是基于RSA假设和离散对数子群中的素数阶的。
随机oracle模型:最近几年,随机oracle模型极大的推动了研究的发展,它能够用来证明高效方案的安全性,为设计者提供了一个有价值的工具。
这个模型中理想化了一些具体的密码学模型,例如哈希函数被假设为真正的随机函数,有助于给某些加密方案和数字签名等提供安全性的证据。
尽管在最近的报告中对于随机oracle模型采取了谨慎的态度,但是它仍然被普遍认为非常的有效被广泛的应用着。
例如,在这个模型中被证明安全的OAPE加密方案就被集成进 VISA 和Master 信用卡系统的模块中。
有许多其他的方案在这个模型中的安全性也是有效的。
1.1相关的工作:前几年,Schnorr 提出了一个高效的基于素数阶子群离散对数问题的识别方案和签名方案的变种,这个著名的方案我们就不再介绍了。
这个以零知识闻名的方案为了抵抗主动攻击获得较高的安全性,使用了许多次固定长度的挑战应答交互。
这样,高的安全性就需要很大的通信量和很大的存储空间存储预计算量。
虽然没有提出安全的预处理方案,还是有许多应用中假定如果使用较大规模的挑战应答它的安全性与基本的三次通过协议相当。
其安全性依赖于未经证明的假设,即假设这个方案是“信息隐藏”的。
在定义了信息隐藏和信息不可分辨属性以后,brickell 和mccuely 提出了使用信息隐藏属性的schnorr 方案的一个变种。
接着,okamoto 提出了一个基于信息不可分辨属性的三次通过协议,可以证明其安全性可以抵挡主动攻击。
这些协议中有些是基于素数阶子群的离散对数问题,有的是基于RSA 假设。
但是所以这些方案都并不比原来的schnorr 方案更加有效。
在1991年,Grault 利用合数作为模代替素数,提出了schnorr 的一个变种,从证明者的角度来说提高了效率。
Poupard 和stern 给出了这个方案的统计意义上的零知识属性的证明,证实了这个方案的安全性等价于合数的离散对数问题。
然而,这个方案,对于高的安全性要求也需要许多次交互,而大的简化只能适用于大的不实用的数据。
最近他们改进了他们的简化,使其安全性仅仅等价于因数分解。
这是仍在进行的一项工作。
至于签名方案,由于在pointcheval-stern 和ohta-ocamoto 的论文中已经能够有效的将任何三次通过协议转化成签名方案,这样,对于识别协议的有效解决,对于签名协议也同样有效。
盲签名:在1982年,chau 就想要产生一种电子货币的属性,也就是具有匿名性。
他指出一种方法就是将电子货币的概念和盲签名结合起来。
盲签名需要涉及到银行和用户两个参与者。
用户想要得到一个经过银行签名的货币,但是在签名以后,银行无法追踪这个货币和签名。
后来就提出了基于RSA 和离散对数问题的签名方案。
但是这些方案都无法证明是安全的,而可以证明为安全的方案只有理论上的应用,没有什么实践价值。
一直到1996年盲签名才可以证明为安全的。
它们是基于okamoto 的信息不可分辨协议,可以证明碰撞是很难被计算出来的。
——代表系问题=离散对数:p h g s r f s r h g p mod ),(,,=。
一个碰撞泄漏了h 在基g 中的离散对数,即:p g h s r f s r f s s r r h g p h g p mod )','(),()/()(,,,,''--=⇒=——RSA 问题/因式分解:N s a s r f e r e a N mod ),(,,=选取适当参数,一个碰撞泄漏了a 模N 的e 阶根,即: N s s a s r f s r f r r e a N e a N mod )/()','(),(',,,,'=⇒=-对足够大的质数e ,则根据Bezout 等式可以解得a 模N 的e 阶根,否则,如果e 是一个合数而N 是一个Blum 整数,则我们可以得到N 的因式分解。
后来,另一个有名的信息不可识别性问题被用到模二次方根:N x x f N mod )(2= 对于任意的 2/0N x ≤≤ 满足 }{),gcd()()(的因子N y x N y f x f N N ∈-⇒=在这些论文中,盲签名方案被认为是可证明安全性的,可以抵御比较攻击。
这就意味着银行保证10美元给用户后,用户得到的不能多于10美元。
然而这些方案的主要缺点是计算量大。
至今,盲签名所面对的一个重要挑战是:从签名者角度看来,他们需要高效并且可证明是安全的签名,因为他们可能同时会签成千上万的签名。
1.2论文要点本文中,我们首次研究通过混合系数的离散对数所提供的信息不可识别性。
我们首先回顾Girault的方案,不幸的是相对Schnorr的方案,这个方案仅仅使用固定长度的挑战证明零知识,需要很多次的迭代才产生高安全性。
这里,我们使用信息不可识别性证明这个方案的安全性,即使它仅仅通过一次迭代。
对于先前的结果,在实用性方面有了很大提高。
更进一步,即使我们使用很小的密钥,我们也可以对一个有效的方案证明其安全性。
其后我们认为基于该问题的盲签名的安全证明和因式分解相同。
除了可证明安全性,新方案的主要特性是有效性,从银行角度看来,它仅仅需要一次乘法(不是模乘)。
2.离散对数问题feige和shamir已经证明,信息不可分辨属性对于识别协议来说已经足够提供用于抵抗主动攻击的安全性了。
Pointcheval和stern进一步证明了盲签名的这一属性还提供了抵抗并行攻击下的多次伪装攻击的安全性。
这是利用了函数f N,g(x)=g x mod N,其中N,g是选择好的。
下面我们定义一些有用的概念。
定义一(α-强素数)如果一个素数p=2r+1,其中r是一个大整数,其素数因子都大于α,则称p是α-强素数。
定义二(α-强RSA模数)如果N=pq,并且p和q都是α-强素数,N就被称为α强RSA模数。
定义三(不对称基)N=pq是一个RSA模数,在Z N*中的基g如果在Zp*和在Zq*中的Ord(g)的奇偶性不一样,就说它是不对称基。
也就是说,不对称基就是仅仅在Zp*和Zq*的两个子群其中之一的一个二次剩余。
定理四如果N=pq是一个任意的α-强RSA模数,对于某些α>2,g是一个阶大于α的在Z N*中的任意不对称基,那么定义为x->g x mod N的一个f N,g()的碰撞,可以将N分解。
证明:我们用2l标记在Z N*中g的阶。
可以认为这一阶就是偶数,因为它至少,并且恰在子群中的一个,例如Z p*中是偶数。
而且,l是奇数,并且大于α,因为l大于α/2>1,(p-1)/2和(q-1)/2的任何素数因子都是奇数,并且大于α。
因此,g2l=1mod p, g2l=1modq,但是g l=-1mod p,g l=1mod q..让我们假设我们有一个x<y的关于f N,g()的碰撞,也就是f N,g(x)=f N,g(y).如果我们定义L =y-x,那么2l/L。
通过分解出L的奇数部分,L=2a b,我们得到了l的倍数。
那么,g2b=1mod p,g2b=1mod q,但是g b=-1mod p,g b=1mod q.这样g b就是Z N*中的1的一个不可忽略的平方根:gcd(g b,n)∈{p,q}.这样我们就得到了一个难题,两个不同的解提供了模数N的因式分解。
3.密码协议中的应用:我们首先考虑识别协议,可以由此导出签名协议。
然后我们考虑一个盲签名方案。
3.1身份识别描述让我们先回忆一下girault的方案。
如下所示:N=pq是一个RSA模块,g是属于Z N*的一个高阶元素。
私钥:s属于{0,……….,s-1}公钥:v=g-s mod N。
随机数:r属于{0,。
,R-1}证明者验证者x=g r mod N―――――――――――――>←------------------------------------e∈{0,...2k-1}y=r+es -------------------------------------→x=g y v e mod N ——我们有两个安全参数k和k’,其中k代表了挑战的长度,k’代表了泄漏的信息。
还有私钥的一个范围。
接着,我们定义R=2k+k’S。