69→本作品采用知识共享署名国际4.0许可协议进行许可。服务器辅助的连续组密钥协商摘要JoëlAlwenalwenjo@amazon.comAWS Wickr美国纽约州纽约市艾克·基尔茨eike. rub.de波鸿鲁尔大学德国波鸿DominikHartmanndominik.rub.de波鸿鲁尔大学波鸿,德国MartaMularczykmulmarta@amazon.chAWSWickr美国纽约州纽约市关键词连续组密钥协商(CGKA)-或组棘轮-是新一代可扩展的端到端安全(E2 E)加密多方应用程序的核心。最重要的(也是最先部署的)CGKA之一是ITK,它是IETF 为了扩展到早期E2E协议可能的组大小之外,CGKA协议设计的中心焦点是最小化带宽要求(即,通信复杂性)。在这项工作中,我们提出了CGKA的理论和设计,最终在一个非常有效的带宽CGKA 。 为此,我们首先通过引入服务器辅助CGKA (saCGKA )来概括标准CGKA 通信模型,该模型概括了CGKA,并更准确地模拟了大多数E2E协议是如何在野外部署的。接下来,我们介绍SAIK协议; ITK的修改,设计用于现实世界的使用,利用新的功能,可用于saCGKA,大大降低其通信(和计算)的复杂性,在实际的具体条款。此外,我们引入了一个直观的,但精确的,saCGKA的安全模型。它在几个方面改进了CGKA的现有安全模型 它更直接地捕捉了CGKA直观的安全目标。然而,在形式上,它也放松了某些要求,允许我们利用saCGKA通信模型。最后,它明显更简单,使其更易于处理,更容易建立直觉。因此,SAIK的安全性证明也更简单,更模块化。最后,我们提供的经验数据比较(有时,相当显着改善)的复杂性配置文件SAIK国家的最先进的CGKA。例如,在具有10K字节的新创建的组中,要改变组状态(例如,添加/删除组)ITK要求每个组成员下载1.38MB。然而,使用SAIK,会员下载不超过2.7KB。CCS概念• 安全和隐私安全协议;正式的安全模型。CCS©2022版权归所有者/作者所有。ACM ISBN978-1-4503-9450-5/22/11。https://doi.org/10.1145/3548606.3560632安全群组消息; CGKA; MLS; E2 E加密ACM参考格式:Joël Alwen,Dominik Hartmann,Eike Kiltz,and Marta Mularczyk.2022年。服务器辅助的连续组密钥协商。 在2022年ACM SIGSAC计算机和通信安全会议(CCS '22)的会议记录中,2022年11月7日至11日,美国加利福尼亚 州 洛 杉 矶 。 ACM , 纽 约 州 纽 约 市 , 美 国 , 14 页 。https://doi.org/10.1145/3548606.35606321介绍端到端(E2E)安全应用已经成为互联网上使用最广泛的加密应用之一,每天有数十亿用户。相应地,构建这些应用程序的E2E协议已经在几个不同的世代中发展,在此过程中增加了功能和新的安全保证现代协议通常支持多设备帐户、连续刷新秘密和异步通信等功能在这里,异步是指各方即使不同时在线也可以进行通信的属性。为了实现这一点,网络提供了一个(不受信任的)邮箱服务,用于缓冲数据包,直到收件人联机。对E2 E安全性不断增长的需求促使E2 E协议的能力不断提高;特别是支持越来越大的组。例如,在企业环境中,组织通常具有自然的子部门,其成员远多于当今现实世界的E2E协议实际支持的成员。对大型群组的支持为全新的应用打开了大门;特别是在机器对机器通信领域,如网状网络和物联网。由于许多应用程序将注册到帐户的每个设备视为E2E协议级别的单独一方,因此对大型组的需求更加复杂。例如,从底层E2E协议的角度来看,Alice和Bob之间的私人聊天实际上是一个4方聊天,他们每个人都有一个注册到他们账户的电话和笔记本电脑下一代E2E协议。目前的主要原因是亲(至少是那些享受最先进的安全,例如。后折衷前向安全性)仅支持小群组的一个缺点是它们的通信成本随群组大小线性增长这对现实世界的群体规模施加了限制(通常在1000名成员或以下)。因此,新一代的E2E协议正在学术界(例如,[1,370CCS他们的主要设计目标是支持超大规模的群组(例如,成千上万的用户),同时仍然满足或超过当今最先进的E2E协议的安全性和功能。从技术上讲,新协议通过将其通信复杂性降低到组大小的对数来实现这一点;尽管只有在执行的有利条件下。这种非正式的财产有时被称为“好天气复杂性”。到目前为止,这些新的E2E协议中最重要的是IETF即将推出的安全组消息(SGM)标准,称为消息层安全(MLS)协议。 MLS正处于标准化的最后阶段,其核心组件已经开始部署[22]。连续组密钥协议。 据我们所知,所有的下一代。E2E协议共享以下基本设计参数。 在他们的核心是一个连续组密钥协商(CGKA)协议;一个泛化到组设置的连续密钥协商2方原语[4,25]的基础上的双棘轮。直观地,CGKA协议为动态组提供E2E安全组管理,即, 其属性可能在会话中更改的组。属性指的是组中当前成员的集合、属性、组名、主持人集合等。对组属性的任何更改CGKA协议确保一个epoch中的所有组成员都同意组成员只有在同意哪些属性被更改以及由谁更改的情况下才能过渡到相同的下一个时代每个历元都配备有自己的对称历元密钥,所有历元成员都知道,但其他任何人都可以随机识别更高级别的协议通常(确定性地)将历元密钥扩展为完整的密钥调度,该密钥调度进而可以用于保护在成员之间发送的应用程序数据(例如,消息或VoiP数据)。MLS也是(隐式)基于CGKA,最初被称为TreeKEM [16]。自成立以来,TreeKEM经历了几次重大修改[10,11],才达到目前的形式[9,12]。为了清楚起见,我们在撰写本文时将其当前版本称为内部安全TreeKEM(ITK)(使用[9]中分析该版本的术语ITK已经看到了它的第一个真实世界部署作为思科的Webex会议协议的核心组件[22]。为什么要考虑CGKA? CGKA之所以有趣,是因为以下两个观察结果。首先,CGKA似乎是封装了构建下一代E2E协议所固有的几乎所有加密挑战的最小功能。第二,构建典型的更高级别的E2E应用(例如,SGM或授予呼叫)可以通过相对通用和相对简单的机制进行。此外,结果应用程序直接从底层CGKA继承了许多关键属性;特别是它们的安全保证以及它们的通信和计算复杂性。在这方面,CGKA是,说,SGM什么KEM是混合PKE。对于SGM的情况,这种直观的范式以及CGKA和所得SGM的性质之间的关系在[6]中得到了形式化特别是,这项工作的抽象和概括MLS1.1我们的贡献这项工作在CGKA协议设计的核心挑战方面取得了进展:降低通信复杂性,以便支持更大的组(而不影响安全性或功能)。服务器辅助CGKA。首先,我们重新审视之前工作中关于CGKA的一个最基本的假设,即参与者通过不安全的广播信道进行通信。相反,我们注意到,在几乎所有现代部署的E2E协议中,各方实际上通过使用(通常是高度可扩展的)服务器实现的不受信任的邮箱服务进行通信。鉴于此,我们修改了标准的通信模型,使服务器显式。我们定义了一个通用的CGKA称为服务器辅助CGKA(saCGKA)。 与CGKA相反,saCGKA协议包括由服务器运行的提取过程,以将发送方上传的“完整分组”转换为针对特定接收方的个性化“子分组”。 CGKA对应于完整数据包和单个数据包相同的特殊情况。直觉上,服务器仍然是不可信的,无论它做什么,安全性都应该保持。然而,如果它选择遵循提取过程,saCGKA协议还可以确保正确性和可用性。CGKA的安全例 如 , 我们为(sa)CGKA定义了一个新的安全概念,它捕获了与ITK [9]相同的直观保证。 与基于[ 6 ]的历史图paradigm的其他概念一样,我们的概念由安全谓词参数化,这些安全谓词共同决定给定表达式中给定epoch密钥的安全性。然而,在技术层面上,我们的概念与过去的概念有很大的不同。本质上,它放松了一个时期中的组成员同意并认证导致该时期的网络流量的历史的要求。相反,新的概念即流量的这有几个有趣的后果。首先,它更直接地抓住了我们直观的安全目标。例如它避免了当例如分组中的AEAD密文可以使用不同的密钥被解密为不同的明文时关于真正捕获了什么直觉的微妙问题。第二,这种放松创造了回旋余地,我们可以用来证明安全性,尽管组成员不再对网络流量有相同的看法。最后,它允许我们将我们构建中使用的加密方案的安全性从CCA放宽到可重放CCA(RCCA)[20]。2此外,新的saCGKA安全概念与过去的概念相比要简单得多(尽管同样精确)。事实上,过去的概念由于其复杂性而被批评为非领域专家无法访问。为了改进这一点,我们的新概念省略/简化了CGKA的各种安全特征,只要A)它们可以使用已知技术形式化,B)它们可以通过满足我们的概念的通用CGKA 协议(包括SAIK)的已知、实用和简单的扩展来容易地实现。因此,我们得到了一个定义,集中在一个(sa)CGKA的基本属性的想法,一个协议满足我们的1这可能发生在广泛使用的AEAD,如AES-GCM [24]。这是有道理的,因为RCCA的设计是为了将CCA的“句法不可延展性”71服务器辅助连续组密钥协议CCS概念可以使用标准技术容易地扩展到SAIK协议。接下来,我们将介绍一个新的saCGKA协议,称为服务器辅助ITK(SAIK),专为实际使用而设计。例如,它完全依赖于标准加密原语,并且可以使用各种现成的加密库的API来实现。为了获得SAIK,我们从ITK开始并进行以下修改。多消息多收件人PKE..首先,我们将ITK使用的标准(CCA安全)PKE替换为多消息多接收者PKE(mmPKE)[ 32 ]。mmPKE具有标准PKE方案的并行组合的功能(在密文大小和加密的计算成本方面)。直接构造mmPKE可以产生显著更高效的方案。我们为mmPKE引入了一个新的安全概念,更符合SAIK的需求(安全目标)。 它既加强了也削弱了过去的概念:一方面,证明SAIK安全要求我们为[ 32 ]的mmPKE对手配备自适应密钥妥协能力。 另一方面,由于对语义协议的放松,我们“只”需要RCCA安全性,而不是以前的作品中使用的全面CCA[7,9]。我 们 证 明 了 [32] 的 mmPKE 构 造 满 足 我 们 基 于 间 隙 Diffie-Hellman假设形式的新概念与[32]相同。该减少是严格的,因为安全损失与参与方的数量无关(即,密钥对)(尽管它确实取决于损坏的密钥对的数量)。此外,我们将证明扩展到捕获基于“名义群”的mmPKE 名义组抽象的代数结构位串隐含的X25519和X448标量乘法函数和相应的扭曲爱德华兹曲线。[31 ]第30段。实际上,这意味着我们的证明也适用于基于X25519和X448函数的[32]的实例化。身份验证其次,我们修改了ITK使用的机制,以确保过渡到新纪元的成员对宣布新纪元的发送者进行身份验证。SAIK中的发送方仅签署“绑定”新纪元的所有显著属性的小标签,而不是像ITK中那样对完整分组进行签名,即, 它的秘密、组成员的集合、应用操作的历史等。实际上,我们使用了一个已经存在于ITK中的标记(称为绩效评估。最后,我们比较了SAIK,ITK和[28]称为CmPKE的CGKA的通信复杂度。我们将通信成本分解为发送方和接收方带宽,即,上传的数据包的大小,从服务器下载(由一个接收器)此指标反映了单个客户端所需的资源。我们注意到,CmPKE的发送方带宽在组大小中线性增长,而对于SAIK和ITK,它取决于组大小和先前操作的历史。同时,接收器带宽独立于CmPKE的大小和历史,在SAIK的组大小中递增,并且随着ITK的大小和历史而变化。我们发现,与ITK相比,SAIK总是需要更少的带宽(无论历史和组大小)。然而,与CmPKE相比,SAIK需要稍微多一些的接收器带宽,但是从相同到少得多的发送器带宽。具体地说,在具有10 K方的组中,CmPKE的发送方带宽为0.8MB,而SAIK和ITK的带宽分别在3.6KB - 0.8MB和4.4KB - 1.5MB之间(取决于历史)。同时,对于接收器,CmPKE和SAIK分别需要0.8KB和2KB,而ITK需要4.4KB-1.5MB。此外,我们还比较了[28]中考虑的总带宽,即,上传的数据包和所有下载的数据包的大小。此度量反映了服务器所需的资源,或者等效地反映了所有客户端所需的资源。 我们发现,SAIK需要更多的总带宽比CmPKE,但远低于ITK。纲要 本文件的结构如下。 秒 2个涵盖了预备班。秒第三个重点是mmPKE。 秒 4描述了saCGKA的新安全模型,详细信息外包给完整版本[8]。秒5描述了SAIK协议,详细信息见[8]。秒6正式声明SAIK的安全。秒7包含SAIK与以前建筑的经验评估和比较。最后,SEC。 8包含更强安全保障的扩展。SAIK的正式安全性证明在完整版本中得到了形式化[8]。1.2相关工作下一代CGKA协议。 Cohn-Gorden等人发起了针对超大群体的下一代CGKA方案的研究。在[23]中。紧接着是TreeKEM的第一个版本[33],它逐渐增加了更强的安全性[10,33,35]和更灵活的功能[11],最终以其当前的形式ITK [9]反映在MLSRFC的当前草案中[12]。降低TreeKEM及其后代的通信复杂性并不是一个新的目标。 Tainted TreeKEM [3]展示了一种替代的复杂性配置文件,该配置文件针对由一小组主持人管理的组的设置进行了优化。最近,[1]引入了用于“多组”CGKA的新技术(即,明确地容纳多个可能交叉的组的CGKA)具有比通过为每个组运行“单组”CGKA获得的更好的复杂性。 其他工作集中在CGKA的更强的安全概念上,无论是在理论上[7]还是在实践中[5,9]。支持更多的并发性也是一个焦点话题,正如[11,18,36]中的协议所最近[27]提出了具有新的成员隐藏属性的CGKA。CGKA安全的密码模型 以简单而有意义的方式定义CGKA安全性已被证明是一项严峻的挑战。许多概念至少在以下两种意义中的一种意义上是不足的它们要么没有捕捉到从业者所期望(和设计)的关键保证(例如向新加入的成员提供保证最重要的是,他们没有考虑到完全活跃的对手。 例如,在[3]中,不允许对手修改分组,而在[5,6]中,可以注入新的分组,但仅当尽管过去的损坏但可以保证真实性时(因此限制了关于会话在损坏后如何重新获得安全性的捕获)。同时,[19]的工作允许大类主动攻击,但仅在ITK的密钥导出过程的上下文中。因此,虽然他们的对手可以任意修改秘密在一个诚实的一方这是一个重要的限制,例如,它72()下一页|→[ ] →|→[]→∈[|→|]+→←()←()→()→CCS不会捕获传送带有密文的数据包的攻击者,而攻击者不知道这些数据包的明文。事实上,在[9]中可以找到一个很好的迹象,表明这种简化可能是有问题的 他们提出了对TreeKEM的攻击(除了[ 19 ]之外,它可以很容易地适应上述作品中的CGKA),它使用诚实的组成员作为解密神谕,显然违反了CGKA所期望的直观安全性。然而,上面的每一个作品(除了[19])都证明了他们的CGKA的安全性,只使用IND-CPA安全加密。与上述工作相反,[7]旨在捕捉现实对手可能拥有的全部能力。因此,他们模拟了一个完全活跃的对手,可以随意泄露各方的本地状态,甚至设置他们的随机硬币。在[9]中,此设置扩展为捕获Poettering et. al 取 消 了 限 制 在 [32] 中,他 们 展 示 了 诸 如ElGamal[26]之类公知PKE方案即使在跨密文重用硬币时也是安全的。事实上,以这种方式重用硬币还可以降低封装的计算复杂度和KEM的密文大小,例如[21,29,34]的多重加密KEM(mKEM)中所示。 所有之前的安全概念(对于mmPKE和mKEM)都允许攻击者提供恶意密钥(无论是否知道相应的秘密密钥),但只有[28]允许诚实密钥的自适应损坏,这对于ITK对抗自适应攻击者的安全性是必要的。2符号对于���∈Z,我们定义[���]:={1,2,. . . ,���}。我们写←$ ���为内部安全这是对手,可以额外腐败从一个(有限)集合中随机均匀地抽样一个元素PKI。这捕获了已部署的以及对于随机化算法的输出,即,e. 中文(简体) ���(���)下一页密钥服务器不被视为可信第三方的E2E应用程序。不幸的是,这种真实世界的准确性导致了一个(可能有点内在的)复杂的模型。CGKA安全的符号模型作为对上述工作的补充,TreeKEM的几个版本已经使用符号方法和自动证明器进行了分析[17]。他们的模型考虑了完全活跃的攻击者,并捕获了相对广泛的安全属性,作者能够通过使用自动证明令人信服地解决这些安全属性。”[28]《明史》卷一百二十八。 这项工作[28]提出了CGKA的一个变体,这里称为过滤CGKA(fCGKA),以及一个名为CmPKE的协议。在fCGKA中,像在saCGKA中一样,接收器下载个人化子分组。然而,fCGKA以不同的方式实现了这一点-上传的fCGKA数据包具有特定的形式,即发送给所有接收者的报头,后面是许多密文,每个接收者一个。注意,fCGKA是saCGKA的一种特殊情况,其中提取过程输出报头和接收方表示使用新的随机硬币对输入加密进行概率算法加密的输出。对于确定性算法 ,我们写= 将一个元素 添加到集合 中用 + 表示,将一个条目 添加到列表 中用 ++表示 。将整个列表102转换为列表101由101-102表示。 对于一个向量,我们把它的长度记为,并且,���好吧注意,我们在编程中使用向量,即。我们不需要任何代数结构。为了清楚起见,我们使用len来表示集合的长度。3多消息多接收方PKE我 们 首 先 回 顾 一 下 [15] 中 的 mmPKE 语 法 在 高 级 别 上 ,mmPKE是标准加密,它支持将多个加密操作合并在一起,以提高效率。3定义3.1(mmPKE)。多消息多接收者公钥加密(mmPKE)方案mmPKE = KG,Enc,Dec,Ext由以下四个算法组成:密文KG→$(e k,dk):生成一个新的工作队列。[28]中的fCGKA安全概念本质上是[9]的模型Enc(e→k,n→)→$���:在输入公共k的向量e yse→k和a时唯一的区别是[9]需要对导致给定时期的网络数据包的历史达成一致为了适应fCGKA语法,[28]需要对数据包报头的历史达成一致。 与我们的saCGKA概念相比,这仍然是语法一致性,例如,需要CCA安全。参见第二节。四点五关于通信成本,CmPKE被设计为减少总带宽,即,对于一个操作,它最小化发送的分组和所有下载的分组的大小。相比之下,SAIK被设计成减小最大带宽,即,它最小化每个发送或下载的分组的大小因此,CmPKE具有比SAIK更小的总带宽。事实上,对于CmPKE,下载的数据包的最大大小也较小。然而,对于CmPKE,发送的数据包的大小通常要大得多。总之,SAIK旨在支持带宽较差的客户端,即, 它最小化了单个上传或下载的分组的大小。因此,虽然服务器负载有点高,但客户端的网络要求通常要低得多。mmPKE.. mmPKE由Kurosawa [30]引入,尽管他们的安全模型有缺陷,Bellare et.al [14,15]指出并修复了该模型。然而,这些作品也缺乏一般性,因为他们要求恶意接收者知道他们的公钥的秘密密钥。这���具有相同长度的消息的向量,输出多接收器密文ext���,将每个消息���输入到e → k中的对应k e y。Ext ,Ext :一个确定性函数。 在输入多接收者密文和位置索引时 ,输出用于第n个接收者的单独密文Decdk,������:在输入单独的密文���和秘密密钥dk时,输出解密的消息,���或者在解密失败的情况下,输出解密的消息。3.1自适应破坏的安全性我们的安全概念mmPKE,称为mmIND-RCCA,需要在存在主动对手谁可以自适应地破坏收件人的秘密密钥的不可篡改性。 这个概念建立在[ 32 ]中mmPKE的(加强的)IND-CCA安全性基础上,但有两个重要的区别:首先,[32]不考虑腐败。其次,我们定义了一个稍微弱一点的概念,即可重放CCA(Replayable CCA,RCCA),而不是CCA。RCCA [20]大致相同3大多数关于mmPKE的作品使用不同的语法,其中没有Ext,而是Enc输出单个密文的向量。 因为Ext是确定性的,所以语法是等价的。73→→∗∗→→()下一页)()[客户端](())(()()服务器辅助连续组密钥协议CCS除了修改密文以加密完全相同的消息之外,CCA不被视为攻击。RCCA安全性由CCA安全性所隐含。我们注意到,一个几乎相同的安全定义是由桥本等人并行提出 的 。 [28] 第 10 段 。 然 而 , 它 们 仅 考 虑 多 接 收 者 PKE(mPKE),其中所有接收者接收定理3.2. 设G是一个素数阶群,G具有生成元��� , 设 DEM 是 数 据 封 装 机 制 , 并 且 设 mmPKE =DH-mmPKE[G,���,���,DEM,���]。对于任何对手A和任何���∈N,存在对手B1和B2,其运行时间大致与A的s. t相同。Advmm IND-RCCA(A)≤ AdvIND-RCCA(B2)同样的信息。mmPKE,DEMmmIND-RCCA类似于常规加密+2·(2������������ℎ在多用户设置中。主要区别在于,(G,,)联系我们),密文是通过在公共密钥的向量下加密消息的两个向量������之 一 来 计 算的。 矢量e→k由对手选择,并且可以包含挑战者生成的密钥以及任意密钥。对手还可以访问每个接收者的标准解密和损坏的神谕 为了使平凡的胜利无效,我们要求���→k0和���→k1具有相等的长度,并且如果e→ k 1中的���第k y是损坏的,���则���→10和���→11是相同的。此外,我们要求对于每个节点,则R10和R11的 第n个分量的长度相同。最后一个要求意味着安全的mmPKE方案可以泄漏加密向量的分量的长度 我们注意到,SAIK在使用泄漏更多的mmPKE方案实例化时也是安全的(参见完整版本[8]),例如。向量中的两个消息是否相同。正式定义见完整版本[8]。3.2建设[32]的mmPKE很简单。它需要一个数据封装方案DEM,一个散列 和一个由生成的素数阶 群G 。4回想一下,ElGamal加密的公钥需要对硬币进行采样 以获得密文DEM,其中=,。mmPKE变体重复使用从第一个ElGamal密文中提取的硬币来加密所有后续的明文。因此,最终的密文具有以下形式:DEM1, 1,DEM2, 2,. . . 哪里=,全民我们称之为建筑DH-mmPKE G,DEM, ;正式描述在完整版本中[8]。优化短消息。通常,当消息���可以具有任意大小时,明智的mmPKE将使用KEM\DEM风格的构造来避免多次重新加密���。换句话说,对于���加密向量中的每一个,我们为AEAD选择一个新的k e y������′,并���使用������′进行加密。然后使用mmPKE[32],以encrypt������'到每个公共密钥接收���。怎么样,其中���是随机预言机,���是欧拉数,���是挑战向量的长度,1和���������������1分别是对解密和损坏预言机以及随机预言机的查询次数。备注1. Diffie-Hellman的一些实际应用,最值得注意的是C UR ve25519和C UR ve 448 [31],实现了一个Diffie-Hellman运算,它不是素数阶群中的幂运算。这样的运算可以形式化为所谓的名义群[2]。在完整版[8]中,我们推广并证明了定理3.2.特别地,这意味着如果用C UR ve 25519和C UR ve 448实例化,则DH-mmPKE是安全的。4服务器辅助CGKA在本节中,我们首先解释saCGKA语法。然后,我们给出了直观的安全属性saCGKA协议应该提供和我们的saCGKA安全模型的概述详情请看完整版[8]。最后,我们强调了saCGKA的语义协议提供的额外灵活性,并与以前的主动CGKA安全工作相比,它使列表简化[7,9,28]。4.1语法saCGKA协议允许一个动态组的各方同意一个连续的对称组密钥序列saCGKA协议的执行以历元进行。在每个时期,一组固定的当前组成员共享一个组密钥。 组成员可以通过向mailboxing服务发送单个消息来修改组状态,即创建新纪元。之后,每个组成员可以下载一个可能个性化的消息,如果他们接受它,过渡到新的时代。支持三种类型的组修改:添加成员、删除成员和更新,即,刷新组密钥。4.2直观的安全属性saCGKA协议设计用于具有活动广告的设置,由于在SAIK中加密的秘密具有与AEAD密钥相同的长度,在我们的情况下,直接加密秘密更有效安全措施很严格 在完整版本[8]中,我们证明了[32]中任何对手对mmPKE的优势的上界。我们的界比从[32]的界的直接适应得出的界更紧(即使用混合参数并猜测未损坏的密钥)。特别地,该界限将(线性地)依赖于公钥的总数,这可能会变得非常大。相比之下,我们的界限只取决于损坏的密钥的数量和加密向量的长度4在SAIK中,我们可以使用现成的AEAD(如AES-GCM)实例化DEM,与HKDF合作完全控制邮箱服务并反复揭露政党秘密状态的间谍。请注意,除非假设一些额外的不可破坏的资源,如可信签名设备,否则上述攻击者包含恶意内部人员(或MPC中的主动破坏方)的典型概念。为了讨论saCGKA的安全性,我们使用[6]中介绍的历史图历史图是群演化的一种符号表示。节点表示历元,有向边表示组修改。例如,当epoch中的Alice���想要添加Bob时,她创建了一个epoch���,其边为“from ���to���”。 该图还存储有关各方的当前时期、对手的动作等的信息。在一个完美的执行中,历史图将是一条链。然而,即使是出于善意的原因,情况也可能并非如此。比如说,74一一一一一一一一F一FF一FFFFFFFF一FF一FA一FCCS如果两方同时创建epoch,则在图中创建分叉此外,一个活跃的对手可以向不同的方发送不同的消息,使他们遵循不同的分支。此外,它还可以通过注入邀请消息来欺骗各方加入它创建的虚假群组假群中的历元形成了我们所说的分离树。所以,在完全一般性的情况下,图是一个有向森林。使用历史图表,我们可以列出saCGKA的直观安全属性。一致性同一时期的任何两方 都同意组状态,即,当前成员的集合、组密钥、最后的组修改和先前的时期。一致性的 一个结果是在历史上达成一致:各方通过执行自后者加入以来的相同序列的组修改来如果对手没有关于其组密钥的信息,则历元是机密的。在某些时代,腐败可能会破坏保密性。saCGKA安全性由识别执行中的机密时期的机密性断言来参数化������如果以下情况成立,则一个epoch中的一方的真实性被保留:如果一方���过渡到子epoch ���'并标识���为发送者创建���',则���确实创建了���'。在某些情况下,一个积极的对手可能会破坏权威性 saCGKA安全性由真实性谓词参数化,该真实性谓词决定是否保留历元中的一方������的真实性。机密性和真实性谓词概括了前向保密和后妥协安全。4.3认证密钥服务(AKS)大多数CGKA协议,包括ITK和SAIK,都依赖于一种PKI,这里称为认证密钥服务(AKS)。AKS自动分发所谓的一次性密钥包(也称为密钥束或预密钥),用于向组添加新成员,而不与它们交互。 为了简单起见,我们使用理想化的AKS,它保证任何用户的新鲜,真实,诚实地生成的密钥包总是可用的。4.4形式模型直觉在UC框架下定义了saCGKA协议的安全性也就是说,如果没有环境可以区分与执行协议的各方交互的真实世界和与理想的saCGKA功能和模拟器交互的理想世界,则saCGKA协议是安全的。 熟悉基于游戏的安全性的读者应该将其视为对手(参见[8]以获得更多讨论)。现实世界 在现实世界的实验中,以下动作是可用的:第一,它可以指示各方执行不同的组操作,创建新的时代。 当这种情况发生时,参与方运行协议,更新其状态并将消息交给要发送到邮箱服务的消息。邮箱服务完全由控制。 这意味着它可以执行的下一个操作是向各方发送任意消息。接收到这种消息的一方更新其状态(或在有新成员的情况下创建状态)并将组的语义交给A操作应用。此外,可以从各方获取根据其当前状态计算的组密钥,并通过暴露其当前状态来破坏它们。5理想的世界。在理想世界的实验可以执行相同的动作,但不是协议,各方使用理想的CGKA功能,cgk A。在内部,cgkA维护并动态扩展历史图。当指示一方执行组操作时,该方输入Send to cgk A。功能性在其历史图表中创造了一个新的时代,并传达了一个理想化的信息。 消息由任意模拟器选择,这意味着它是任意的。当传递消息时,该方输入接收到cgkA。在这样的输入cgk上,A首先要求模拟器识别接收器转变到的时期。模拟器可以指示一个现有的历元或指示cgkA创建一个新的历元。后一种能力应该仅在注入消息时使用,因此,以这种方式创建的epoch被标记为已注入。然后,cgk A根据图计算消息的语义。在现实世界中的腐败对应于在理想世界中 cgk A执行pro-campus Expose和模拟器计算腐败方的状态。当获取组密钥时,该方将GetKey输入到cgkA,cgka输出来自该方的历元的密钥钥匙的方式接下来讨论选择理想世界中的安全保障 为了形式化机密性,CGK A由谓词机密性参数化,该谓词机密性确定历史图中保证组密钥的机密性的时期。对于这样一个保密的时期,cgkA选择一个随机和独立的组密钥。否则,模拟器选择任意密钥。为了形式化真实性,cgkA被authenticate参数化,authenticate确定对于一个时期和一方是否保证真实性。 一旦具有真实父代的注入纪元出现在历史图中,cgk A就停止,使得世界容易区分。最后,cgk A通过基于历史图计算输出(例如由加入方输出的组成员集合)来保证一致性。这意味着现实世界中的输出必须与图一致(因此也彼此一致),否则,世界将是可区分的。观察到模拟器各方转换和创建注入时期受到上述安全保证的限制。例如,只有当环境暴露了足够多的状态来破坏真实性时,才能创建注入的epoch。为了保持一致性,cgk A还要求参与方只能转换到当前纪元的子纪元。另一个例子是,如果现实世界中的一方从安全时期输出密钥,则模拟器无法使其转换到不安全时期。个性化信息。 saCGKA协议可能要求邮箱服务在传递消息之前对其进行个性化。在我们的模型中,这样的处理是由。它可以传递经过诚实处理的消息,也可以传递任意注入的消息。模拟器决定消息是否被诚实地处理,即, 导致非注入时期,或者被注入,即,导致注入的时代。5为了使不熟悉UC的读者能够访问本节,我们避免了技术细节,这有时会导致不准确。例如,在一个示例中,双方被(虚拟)对手破坏,而不是A。我们希望这75一一一F一一一FFFAF服务器辅助连续组密钥协议CCS请注意,这个概念具有RCCA风格。例如,传递一个以其他方式诚实地生成的消息,但修改了一些语义上无关紧要的比特,可以将接收者引导到一个诚实的时期。适应性腐败。我们的模型允许自适应地决定哪些方腐败,只要这不允许它琐碎地区分世界。具体地,可以简单地区分损坏是否允许其计算cgkA已经输出到随机密钥的时期中的真实组密钥我们的陈述量化了那些我们注意到,一般来说,可以存在实现以下更强保证的协议:在一个平凡的胜利腐败时,cgkA向模拟器提供它选择的随机密钥,并且模拟器提出一个与之匹配的假状态然而,这需要通常是昂贵的和/或需要额外的假设的技术,例如可由模拟器编程的随机预言或公共引用字符串。我们注意到,更简单的弱的缺点是限制组合的意义上说,任何组成的协议只能是安全的,以同样的方式限制的环境类基于游戏的安全性。作为saCGKA的典型安全游戏,考虑区分现实和理想世界可能会有所帮助。游戏中的对手与环境相对应。 对手的挑战查询对应于机密时期中代表各方的GetKey输入,并且其揭示会话密钥查询对应于非机密时期中的GetKey输入。为了禁用琐碎的胜利,我们要求如果对手在某个时期查询挑战,那么它不能以使其非机密的方式损坏。除了挑战时期中的密钥是真实的或随机的之外,真实世界和理想世界是相同的,除非发生以下两个坏事件之一:第一,对手破坏一致性,也就是说,它导致协议在真实世界中输出不同于理想世界中的cgk a的东西。第二,敌手破坏真实性,即它使协议接受一条违反理想世界中真实性要求的消息,使CGK永远停止。因此,区分世界意味着打破一致性、真实性或保密性。模拟器的优势 使用模拟器简化了这个概念,因为理想世界不需要编码与安全性无关的协议部分。例如,在我们的模型中,只要安全性保持,政党过渡的时期是任意的。这意味着在理想世界中,我们不需要一个输出一些唯一纪元标识符的协议函数。我们的理想世界对协议是不可知的,这在概念上是简单的。4.5语义一致我们的模型和[7,9,28]的模型之间的一个重要区别是,在[7,9,28]中,时代是由创建它们的消息(唯一)标识的。这对于saCGKA是有问题的,因为不同的接收器使用不同的消息过渡到给定的时期关键是,这意味着注入的消息不能用于识别其接收器转换到的注入时期我们以一种干净的方式处理这个问题,允许模拟器识别历元。也就是说,只要保持一致性、真实性和机密性,历元标识符就是任意的。工作[28],提出了一个新的CGKA,其中,类似于SAIK,接收器得到个性化的数据包,遇到了与现有模型相同的问题[7,9]。在他们的新模型中,过滤CGKA(fCGKA),一个epoch是通过导致它的数据包报头序列来识别的报头是所有接收者下载的上传数据包的一部分根据fCGKA模型,只有当它定义的报头具有对数据包语义的加密承诺的属性时,协议才是安全的。saCGKA推广了fCGKA(和[7,9]),并提供了额外的灵活性。例如,它使CGKA能够像SAIK一样假设PKE具有较弱的RCCA安全性,而fCGKA仍然需要更强的CCA概念。 我们相信,在未来,更多的CGKA协议将利用saCGKA的灵活性。例如,可以考虑为每个接收器使用不同的分组转发器,目的是提供某种程度的不可链接性-对手只看到参与者下载的分组,无法判断它们是否在同一个时期(或组)。4.6简化为了使安全概念易于处理,与[7,9,28]的模型相比,我们进行了以下简化。在我们的模型中,执行组操作的一方立即过渡到创建的epoch。实际上,一方只会发送创建epoch的消息,并在转换之前等待来自mailboxing服务的ACK。如果它在ACK之前接收到不同的消息,则它会转换到该历元。 这缓解了如果多方同时发送,则它们以并行时期结束并且无法通信的问题。实现立即转换的协议Prot可以以黑盒方式转换为等待ACK的协议Prot ',如下所示:为了执行组操作,Prot'创建Prot的当前状态的副本并运行Prot以获得临时更新状态和消息。 消息被发送,所有临时状态都保存在一个列表中。如果某个消息被确认,则相应的临时状态变为当前状态,并且如果接收到另一个消息,则使用当前状态来处理该消息。 在任何情况下,所有临时状态都将在转换时清除。简化的PKI [9,28]的模型考虑了AKS的现实实现,其中各方自己生成密钥包并将其上传到不可信的服务器,并使用长期的所谓身份密钥进行认证。这些长期密钥通过PKI认证,PKI允许广告商泄露注册的密钥,甚至代表任何参与者注册他们自己的任意密钥作品[9,28]在这种设置中定义了细粒度的安全性,即,它们的安全断言考虑了哪些被传递给各方的PKI密钥被破坏。相比之下,我们的模型避免了复杂的跟踪的PKI密钥在cgk的成本更粗粒度的保证。例如,它不再捕获ITK(的树签名)向被邀请参加由对手创建的伪造组的各方提供的(微妙的)安全保证(树签名对SAIK来说很简单)。我们强调,76FF++()下一页∈[−]CCS模型确实捕获了大多数活跃的攻击
我的内容管理
收起
我的收益 登录查看自己的收益
我的积分
登录查看自己的积分
我的C币
登录后查看C币余额
我的收藏 
我的下载 
下载帮助 
