使用加性同态加密的数据完整性证明方案研究

沙特国王大学学报使用加性同态加密的可Parth Shah1，Priteshkumar Prajapati2，印度昌杜拜Patel技术学院（CSPIT），技术工程学院（FTE），Charotar科技大学（CHARUSAT），印度古吉拉特邦，Changa阿提奇莱因福奥文章历史记录：收到2020年2020年9月3日修订2020年9月6日接受2020年9月15日网上发售保留字：非对称密钥加密数据占有椭圆曲线密码（ECC）同态加密可证明数据占有（PDP）A B S T R A C T效率、公开验证和健壮性是数据占有方案的基本特征。由于同态加密用于验证数据的完整性，这类可证明数据占有（PDP）方案的效率是可能的。现有的方案大多采用乘性同态加密。乘性同态加密不适用于低配置设备，这些设备在计算和存储方面受到很大的限制在这项工作中，我们已经提供了解决方案，使用加法同态加密技术，如Paillier，ElGamal和椭圆曲线密码系统（ECC）。所提出的解决方案基于ECC，其需要更少的时间来执行设置、标签生成、证明生成和证明验证阶段以提供公共可验证性。所提出的解决方案在随机Oracle模型下是安全的。最后给出了算法的正确性分析。©2020作者由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍远程存储服务外包引发了许多挑战，在Lee（2015）、Ye等人（2016）、Peng等人（2016）中进行了讨论。（2016），Wang等人（2016）。由客户端存储在远程存储服务中的文件必须是可公开验证的。该服务可能不可靠和不安全，例如，它可能会意外或恶意地删除旧数据或将其迁移到存档中。这类问题称为数据完整性问题，可以使用各种数据完整性证明机制来解决。这被称为可证明数据占有（PDP）（Ateniese等人，2007年;Kendi等人，2019年）的报告。为了验证文件的完整性，需要下载整个文件，这会导致巨大的网络开销。最基本的问题是客户需要通过用于执行验证的整个文件。具有低配置设备的客户端可能由于先前的约束和有限的资源可用性而受到限制，以验证完整性。此外，还存在其他问题，如公开验证，数据更新和第三方审计员的隐私。PDP是一种协议，它将文件转换为多个块，以验证作为预处理的一部分由远程存储服务存储的外包文件的完整性。在上传文件到服务器之前，客户端需要根据块生成标签*通讯作者。电子邮件地址：parthshah. charusat.ac.in（P. Shah），pritesh.pnp.007@gmail。com（P. Prajapati）。1兰花：0000-0003-4641-7787。2orcid：0000-0002-6544-8514。的文件称为元数据的进一步完整性验证（图1）。这些元数据仍然存储在客户端，占用的空间非常少。然后客户端将文件上传到服务器，并删除其本地副本。服务器将文件放入快速存储服务。随后，每当客户端想要验证文件的完整性时，他将生成挑战并发送到服务器。服务器将根据挑战生成响应并发送回客户端进行验证。在该协议中，服务器端的存储复杂度为O（n），客户端的存储复杂度为O（1）。为了提供更高的安全性，客户端可能会用一些隐藏的元数据更新文件，这些数据将存储在服务器上。因此，文件大小可能会因额外的元数据而增加。客户端可以执行文件的初始验证，以在从其自己的存储中删除文件之前检查存储服务是否正确地存储文件。为了提供机密性，文件可以在外包之前被加密。2. 要求PDP的基本要求如下该系统在通信和计算复杂性方面应该是有效的。该系统应该允许产生实际上无限数量的质询，而不是在证据产生和证据验证阶段具有约束质询数量的优先级修复。https://doi.org/10.1016/j.jksuci.2020.09.0031319-1578/©2020作者。由爱思唯尔公司出版代表沙特国王大学这是一个在CC BY-NC-ND许可证下的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.com●●●P. Shah，P. Prajapati沙特国王大学学报3449ðÞ0Fig. 1. 一般PDP方案。无状态证明生成和验证是必不可少的，因为它不需要在验证之间更新和维护状态。它应该支持公共验证，任何人都可以作为协议中的第三方验证者，而不仅仅是最初存储文件的用户。期望验证者熟练地检查数据完整性，同时将大量数据集外包给远程存储服务，并且稍后检查所有外包数据是否是原样，而不需要下载它们。为了解决这个问题，Juels和Kaliski（2007）、Ateniese等人（2008）、Curtmola等人（2008）、Bowers等人（2009）、Yu等人（2014）、Ren等人（2013）、Gritti等人（2015）提出了各种解决方案。值得注意的是，这些方案基于对称密钥密码系统或公钥密码系统提供了有效的解决方案，因此它们使用基于它们的不同结构。它们还同时支持公共和私人可验证性。与公开可验证方案相比，私人可验证方案是非常有效的。现有的解决方案大多是基于乘性同态加密，而乘性同态加密是基于RSA密码体制的。 根据RSA的安全要求，密钥大小必须大于1024位。因此，为了减轻由不受信任的个人发起的攻击，密钥长度通常随时间增加。表1显示了可用的加密算法。ECC导致具有512位，而RSA和Diffie-Hellman需要15360位密钥，AES-256需要256位会话密钥。此外，Diffie-Hellman算法和RSA算法在嵌入式系统中也是不可行的。因此，Diffie-Hellman和RSA不适合未来的嵌入式系统，而ECC则适合更好。使用ECC的动机是由于以下特性：ECC使用较小的密钥，离散对数问题是一个复杂的数学问题，不可能因此，通过选择合适的有限域，它可以非常有效地实现。虽然通过创建一条新的曲线来生成一个大的素数是非常昂贵的，但是，找到曲线的阶并不是微不足道的。如果选择了曲线的适当顺序，那么在同一组上使用不同的密钥对就没有问题。因此，在使用相同的方法时不存在安全性问题。表1密钥长度比较（以位为单位）。对称密钥椭圆曲线RSA和Diffie-Hellman密钥80160102411222420481282563072192384768025651215360密钥对生成组。此外，为了实现良好的速度，使用针对特定曲线优化和专用的特殊实现对某些椭圆曲线也是可能的;因此，可以通过双线性的性质将两个不同群的元素映射到第三个群的元素中。要形成一对，所有三个组都很难在离散对数问题中解决。如前所述，ECC（Koblitz，1987; Miller，1985）是用于下一代应用的密码算法，其取代RSA和Diffie-Hellman算法。像RSA这样的算法是基于组的算法，所以它们有点慢。ECC背后的数学比RSA更难。因此，不容易应用任何数学攻击。对于RSA 2048位，典型的证书大小为790字节（65%加密字段），而对于ECC 224位，典型的证书大小为360字节（25%加密字段）。3. 威胁模型验证器向存储服务发送随机质询，服务器必须将其作为响应进行应答。数据丢失表示失败。由于服务器不受信任，它将始终尝试说服客户端文件未被未经授权的用户修改或从存储中丢失。这可能是由于很少评估的数据被移动到归档或隐藏数据丢失事件。此外，证明器可以在客户端提交文件之前计算标签值，并且可以删除该文件。因此，如果客户端将生成静态挑战，那么证明器可以轻松地欺骗客户端。因此，当服务器通过未经授权的方式修改文件时，需要使用概率方法来检测错误行为。4. 数据占有游戏游戏由以下连续阶段组成：● 设置：挑战者执行密钥生成过程，该过程为对手生成sk作为私钥和公钥pk。审计：对手为查询的验证做标记。对手可以对可能不同的文件ID对手选择文件块mi，将其发送给挑战者，挑战者返回通过运行标签生成pk;sk;id;i;mi获得的Ti。 对于每个文件id，攻击者只允许查询连续的文件块。 对于每个id，对手存储这些块和相应的标签序列。攻击者被限制为仅查询唯一的pseudid;i对。● ：用户挑战对手k次，以获得一些奖励-被查询的文件Mω由idω标识，其中被质疑的索引之前已经被查询过，并将其发送给对手。Advertisement计算证明p1;. ;pk，并将它们返回给V。 从这些证明中获得的文件块中，用户使用一些PPT知识提取器提取文件M0。如果M - M ω，则依附者获胜。如果在上述博弈的检索阶段能够说服验证者接受一个证明的概率至少为s，则对手被称为s-可接受的。5. 使用椭圆曲线加密（ECC）的RSA需要更多存储器由于到较大关键尺寸，并且它还需要更多的计算时间，因此它是非常昂贵的。●●●●●●P. Shah，P. Prajapati沙特国王大学学报3450Y中、英、法、意XY2公钥密码系统为了解决这个问题，使用了ECCECC依赖于椭圆曲线群中DLP的刚度RSA中使用的1024位密钥大小提供了安全性，这可以通过ECC中仅160位密钥大小的帮助因此，当环境在内存和计算时间方面受到限制时，与RSA相比，ECC更可取该协议被称为加法同态 可 证 明 数 据 集 （ AH-PDP ） 。 PDP 算 法 是 基 于 Paillier（Paillier，1999）和ElGamal（ElGamal，1985）密码体制设计的，并已实现。有一种方法可以使用ECC，使其可以用作加法同态加密;然而，在椭圆曲线的情况下，加法是点加法，这与整数上的简单加法相同。基于ElGamal密码系统的ECC的同态性质如下：c kg G;PkP ;P的值 2Ea;b客户端随机选择s个元素h1;···;h ss G。 让哈希函数H：G！G是一个随机的预言。考虑公钥pk int 1/4G;h1;. ;h s;k;b密钥我的意思是。5.2. 标签生成：pkskint;pkint;Fid！fTi g设pk为整数 1/4G;h1;. ;h s;k;b and sk inta。计算我爱你其中i是文件块的索引此外，计算STimij ωhj ωHWi ωamodp第1页5.3. 审核完整性：审核完整性：审核完整性！f和 gi i mi Bc1c 2¼Em 1Em21/4kG;Pm1kPBk G;Pm2kPB1/4千克G;Pm1千克Pm2千克1/42kG;Pm1Pm22kPB¼ Em1m2 mmi B为了根据文件的块生成标记值，单个块的值已用于标量乘法，这生成了曲线的另一个点。1. 令pkint 1/4G; h1;. ; h s; k; b和chal k1; k2; c; k。随机生成要生成证明的块的索引16j6cijpk1j并计算系数：ajfk2j哪里f：f 0; 1 gj × f 0; 1 glog2 n！ f 0; 1 g';p ： f0;1gj×f0;1gl o g2n！ f 0; 1 glog2 μn2. 计算5.1. 密钥生成：2011S！fskint;pkintg设Ep<$Kp是一条椭圆曲线，其中K是一个有限域，如Fp.在EpK上找一个点a（群的生成元），并计算a1i1;m1Ca2i2;m2S;。 . . ;Tacb<$ka其中k 代表伪随机数量，使得¼XaiωYmijωhjωHWi1ωbmodp：16k6 βp- 1β，a为分泌物。选择一个循环群G。然后，联系我们CS表2算术运算成本的符号。操作语义操作数大小配对（P）eP1;P2224大整数求幂（E）bd2048标量乘法（S）d：P224加点（A）P1P2224大整数模逆（I）b-1模N模2048q<$Hmijωhj< $ωHWi1modp联系我们3. 输出响应：5.4. 检查证明：pkint;chal;resp！f成功; g失败验证器检查以下等式：C大整数乘法（M）b1：b22048磁场反演（一）b-1224域乘法（m）b1：b2224e=0;g=1？eYi¼1aiωkωTHash或PRF函数求值（H）Hm224如果它成立，则输出否则输出表3PDP方案与公开可验证性的计算复杂度比较。ElGamalj<$2048nEhmIMnhmEInEMIPaillerj<$2048 nE IM n h mIMnEMIECCj<$224nMhm I Mn MihmMn MPT0¼T;T方案密钥大小标记生成证明生成证明验证RSA联系我们nEhm MnEhm Mnem iP. Shah，P. Prajapati沙特国王大学学报3451P. Shah，P. Prajapati沙特国王大学学报3452i1;m1我是;我是Y5.5. 正确性分析：现有的加密解决方案。所有实验都在i5- 4210 U上进行，Intel CoreCPU@1.7 GHz 2.4 GHzeT0;g2e Ta1一个2碘2，米2;。 . . ;Tas;g2具有256 KB高速缓存和8 GB RAM的系统。Windows 64位操作系统是用来检查测试。在不同的文件大小和类型上进行实验，以模拟cs需要生成标签和用于证明生成，e证明-核查。1/1C第1页S作为预处理的一部分，客户端需要生成其本地元数据作为一个标签，然后再上传文件。在这项工作中，处理器只生成Meta所需的时间^^数据已经考虑过了。所需的存储空间或时间，1/1C第1页S将数据加载到客户端，也不需要传输文件存储服务尚未考虑。从图 2、我们可以注意到，基于ECC的解决方案^^与文件大小成线性关系 图 3显示1/1C第1页S图4示出了用于证明生成过程的RSA、ElGamal、Paillier和ECC的执行时间，并且图4示出了用于证明验证过程的RSA、ElGamal、Paillier和ECC的执行时间。得出结论数字表明ECC的性能优于RSA、ElGamal^^和Paillier在加密和解密过程中1/1C第1页过程Paillier在证明生成时间上表现出最差的结果，其证明验证规模随着时间的增加呈指数级上升e1/16. 实施和结果分析表2描述了表3中使用的符号。表3给出了RSA、ElGamal、Pailler和所提出的系统在密钥大小、执行标签生成、证明生成和证明验证所需的操作数量方面的比较。可以观察到，基于ECC的解决方案不需要扩展操作，因为当应用BigData类型时，扩展操作非常耗时。所提出的基于ECC的解决方案中所需的附加操作是标量乘法。根据所有三个阶段的执行时间，已经注意到，与其他解决方案相比，所提出的解决方案需要更少的操作次数，而不会影响安全性。计算复杂度相关实验对PDP的三个阶段进行了分析和比较输入文件大小。最好的结果是使用ECC。ElGamal、RSA和Paillier提出了随着输入文件大小的增加，证明验证大小的相同指数计算，而ECC与其他算法相比花费的时间要少得多。在椭圆曲线离散对数问题（ECDLP）的难解性假设下，我们的构造在随机预言模型下是可证安全的.它已被证明，所提出的计划是更有效的（鲁棒性）相对于远程存储服务和验证计算的合理道德的挑战和块大小的私人以及公共验证。表4显示了所有三种非对称密钥密码系统的密钥生成时间，这已经被考虑。它表明，当所需的密钥大小较大时，生成与密钥相关的密钥参数需要更多的时间。而在ECC的情况下，密钥大小与算法的其余部分相比非常小，因此密钥生成时间不会被视为严重问题。图二. PDP标记生成。;TP. Shah，P. Prajapati沙特国王大学学报3453图三. PDP证明生成。见图4。 PDP证明验证。表4密钥生成时间（毫秒）。各种文件大小下的证明验证解决办法是密钥大小（以位为单位）128RSA255.1ElGamal223.2Paillier246被连接以支持具有加性同态的高效PDP财产进行了不同的实验以比较256263248.7285.75这些算法，并得出结论，ECC性能更好，512320.8359.47397.24所有的条款投入是最重要的措施，演示了算法的性能。此外，还观察到ECC的吞吐量更好，并且ECC需要最小的存储空间。7. 结论提出了一种利用公钥加性同态加密实现可证明数据拥有的具体解决方案.与RSA、ElGamal、Pallier等现有解决方案相比，建议的解决方案在标签生成、证明生成和竞争利益作者声明，他们没有已知的竞争性财务利益或个人关系，可能会影响本文报告的工作。10241048693.921046.62048104701378.687065.940963588618087.8227313P. Shah，P. Prajapati沙特国王大学学报3454引用Ateniese，G.，伯恩斯河，巴西-地 科特莫拉河 Herring，J.， 基斯纳湖， 彼得森，Z.，宋，D.， 2007. 可证明的数据占有在不可信店于：诉讼第14届ACM计算机和通信安全会议，第14页。 598-609.Ateniese，G.，迪彼得罗河，曼奇尼，L.V.，Tsudik，G.，2008.可扩展且高效的可证明数据拥有。在：第四届国际会议上的安全和隐私通信网络，pp。 1-10。鲍尔斯，K. D.，Juels，A.，Oprea，A.，2009.可检索性证明：理论与实现。在：2009年ACM云计算安全研讨会论文集，pp。43-54..科特莫拉河Khan，O.，伯恩斯河，巴西-地Ateniese，G.，2008.多副本可证明数据拥有。2008年，第28届分布式计算系统国际会议，IEEE，pp。411-420ElGamal，T.，1985.一个公开金钥密码体制与一个基于离散型群的签名方案。IEEETrans.Inf. Theory 31，469-472.Gritti，C.，Susilo，W.，Plantard，T.，2015.具有公开可验证性和数据隐私的高效动态可证明数据占有。在：澳大利亚信息安全和隐私会议，施普林格，pp。395-412Juels，A.，Kaliski Jr，B.S.，2007. Pors：大文件的可检索性证明。第14届ACM计算机与通信安全会议论文集，pp。 584-597。Kagui，S.，帕特尔，A.，Tilala，M.，Prajapati，P.，沙赫，P.，2019年。使用基于身份的加密可证明的数据在：智能系统的信息和通信技术，Springer，pp。87-94号。Koblitz，N.，一九八七年椭圆曲线密码系统。数学Comput. 48，203-209.李，J.，2015.协同云存储中数据完整性和一致性保障研究。工业科学杂志技术人员：第六百七十四章六百七十八米勒，VS，1985.椭圆曲线在密码学中的应用。在：密码技术的理论和应用会议上，Springer，pp。417-426Paillier，P.，1999.基于复合度剩余类的公钥密码系统。在：国际会议上的理论和应用的密码技术，施普林格，页。223-238..彭，S.，Zhou，F.，中国科学院院士，徐，J，徐志，2016.对“多云存储中基于身份的分布式可证明数据拥有”的评论。IEEE传输服务Comput. 9，996-998。Ren，Y.，徐，J，王杰，Kim，J. U.，2013.公共云存储中的指定验证者可证明数据占有。Int.J. 安全性Appl. 7，11-20。王，H.，他，D.，余，J.，王志，2016.激励和无条件匿名的基于身份的公共可 证明数据拥有。IEEE Trans.Serv. Comput.是的，J，王玉，Liu，K.，2016.云存储中基于代码的可证明数据拥有完整性验证方案。2016年国际计算机网络和信息系统会议（ICNISC），IEEE，pp。207-212Yu，Y.，倪，J.，Au，M.H.，刘洪，王，H.，徐，C.，2014年。 改进了用于云存储的动态远程数据拥有检查协议的安全性。专家系统应用41，7789-7796。