没有合适的资源?快使用搜索试试~ 我知道了~
⃝可在www.sciencedirect.com在线获取ScienceDirectICTExpress 7(2021)200www.elsevier.com/locate/icte一个无配对无证书签密方案的密码学分析PhilemonKasyoka,b,Mr. Chang,Michael Kimwelea,Shem Mbandu Chang,ca肯尼亚内罗毕Jomo Kenyatta农业和技术大学计算和信息技术学院b肯尼亚东南肯尼亚大学信息和通信技术学院,肯尼亚c肯尼亚合作大学计算和数学学院,肯尼亚凯伦-内罗毕接收日期:2019年7月22日;接收日期:2020年5月20日;接受日期:2020年7月31日2020年8月9日网上发售摘要签密是一种非常有用的加密原语,旨在以有效的方式实现身份验证和机密性。对Wei和Ma(2019)提出的安全签密方案进行了密码分析。此外,我们提出了相应的修改,以显示他们的签密方案可以在我们提出的签密方案更安全。该安全性分析也适用于其他类似设计的签密方案c2021韩国通信和信息科学研究所(KICS)。出版社:Elsevier B.V.这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。关键词:无证书;密码分析;椭圆曲线密码;签密方案内容1.导言. 2011.1.攻击型2012.Wei和Ma签密方案2012.1.设置2012.2.设置秘密值2012.3.提取部分私钥2012.4.设置私钥2012.5.Signcrypt2012.6.取消签密2013.安全分析2013.1.不可伪造2014.建议的修改签密方案2024.1.设置2024.2.设置秘密值2024.3.提取部分私钥2024.4.设置私钥2024.5.Signcrypt2024.6.取消签密2025.建议方案的安全性分析2025.1.不可伪造性的证明2036.修改方案的性能评估2047.结论204通讯作者:计算和信息技术学院,Jomo Kenyatta农业和技术大学,肯尼亚内罗毕电子邮件地址: pkasyoka@gmail.com(P. Kasyoka).同行评审由韩国通信和信息科学研究所负责。https://doi.org/10.1016/j.icte.2020.07.0062405-9595/2021韩国通信和信息科学研究所(KICS)。出版社:Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。P. Kasyoka,M.Kimwele和S.M.2021年7月200-204日201--==·=;=;=+·+·;=·;=;==+·+=′=竞争利益声明204参考文献2041. 介绍常规签密提供了在单个逻辑过程中执行签名和加密的有效方式,使得其比对消息进行签名然后稍后对相同消息进行加密更有效。签密可以有不同的形式,即公钥基础设施(PKISC)签密,基于身份的签密(IBSC)或无证书签密(CLSC)[1]。PKI使用证书颁发机构,该机构负责生成绑定到用户公钥的证书证书颁发机构还维护一个颁发过期或吊销证书的证书吊销列表。由于PKI所执行的任务繁多,资源需求量大,使得PKISC不适合在资源上使用KGC是由KGC管理的。设置如下所示:选取λ-位素数p和返回元组p,Fp,Gp, P,其中Gp是Fp和P上椭圆曲线上的可加循环群组成点,作为Gp的生成元.选择masterkeyx∈Zp并将masterpublickey设为Ppub=xP,则选择加密散列函数:H0{0,1}<$XGp→Z<$p,H1:Gp XGp→ {0, 1}n,H2:Gp X{0, 1}<$X{ 0,1}<$XGp→Zp和H3:GpX{0,1}<$X{0,1}<$X Gp →Zp。KGC将发布系统参数={Fp, Gp, P, Ppub, H0,H1,H2,H3}2.2. 设置秘密值该算法由用户i运行 有单位元 I Di,用户i随机选择值xIDi∈Z并计算公钥受限环境。为了解决证书问题,IBSC概念被提出[2,3]。这个想法是,sPI Dip=xIDi P.用户的公钥可以从任意字符串(如电话号码或电子邮件地址)中导出,私钥由称为私钥生成器(PKG)的可信第三方生成。PKG利用与系统参数相关的主密钥。[4]注意到,IBSC遇到密钥托管问题的弱点,其中PKG知道所有用户的私钥。为了克服这一缺点,文[5]提出了CLSC方案的概念在CLSC中,用户1.1. 攻击模型[6]的方案遵循[7]中描述的模型。我们从两种类型的对手的角度来看待安全性。一个是不拥有KGC的秘密密钥但可以替换用户的公钥的I型攻击者另一个对手是II型对手,对手代表内部对手,他是一个恶意的KGC,可以访问主密钥,通常在不可伪造性下表示为AII[4]。在本文中,我们回顾了[6]提出的一个无证书的混合签密方案,并证明了该方案是如何对类型I和类型II攻击者存在伪造的。2. Wei和Ma签密方案Wei和Ma [6](以下简称WM)的签密方案由六个概率多项式时间算法组成:建立、设置秘密值、提取部分私钥、设置私钥、签密和解签密2.1. 设置该算法以参数λ为输入,返回系统参数params和主密钥msk。阿尔-2.3. 提取部分私钥KGC计算dIDi xH0(IDi, PIDi) mod p作为部分私钥,并通过安全信道将dIDi当用户接收到d IDi时,用户i可以通过检查d IDiP = x H0(I Di,P IDi)P pub是 否 成立来验证d I Di。2.4. 设置私钥完整私钥被设置为skID=(dIDi,xIDi)。2.5. 签密具有身份IDs和作为时间戳的τ的用户i将执行如下算法:随机选择一个lIDZP;SIDlIDPHH2(SIDs,τ,ID r,P IDs)H ′H3(S ID,τ,I D r,P IDr)W IDsd IDilID HxI Ds H′mod p TI DSlI DsH0(I Dr,PI Dr)PpubKH1(T IDS,l IDs P IDr),并输出P I D s(sIDs,W IDs)和K2.6. 去签密给定签名者IDs,K,签名者身份IDs和公钥PIDs。解密过程如下进行:H H2(SIDs,τ, I Dr, PIDs),H′H3(SIDs,τ, I Dr, PIDr)如果WI DsPH0(I Ds,PI Ds)PpubHSI DHPI Ds则签名是有效的,接收方恢复IDr用于计算TIDS=dIDr·SIDs3. 安全分析3.1. 不可伪造WM [6]已经声称他们的方案对于Type-I和Type-II攻击都是存在不可伪造的,并且证明了类似于202P. Kasyoka,M.Kimwele和S.M.2021年7月200-204日==+======·==·+·+;===·;=;==;=()下一页一()下一页=巴蒂诺[7]。我们表明,他们的计划是不安全的,对类型I和类型II的攻击。在EUF-CMA-I和EUF-CMA-II博弈中,AI和AII伪造者可以访问接收者的全部私钥,AI不允许查询发送者的部分私钥,并且AII不允许替换公钥或提取用户私钥。I型攻击:对手在训练阶段与挑战者C进行交互,类似于WM [6]。A我无法查询发件人的私钥。然而,A1可以访问接收方AdjacentAI使用IDs、 IDr和任意值τ进行签密查询。 C用 XIDs=(S ID,W IDs)和对称密钥K_i=H1(TIDS,x IDr·S ID)响应A I。广告商在广告期间获得一个固定的广告ID(SID,WIDs)对于相同的任意值τ的训练阶段,以下步骤。AIselectsxA,dA ∈RZ<$P并替换{0,1}n,H2:GpX GpX{0,1}<$X{0,1}<$X Gp→Z<$p和H3:GpX GpX{0, 1}<$X{ 0, 1}<$X Gp→Z<$p。KGC将发布系统参数= {Fp, Gp, P, Ppub, H0,H1,H2,H3}4.2. 设置秘密值该算法由具有身份IDi的用户i运行,用户i随机选择值xIDi∈Zp并计算公共密钥ysPI Di=xI DiP。4.3. 提取部分私钥KGC将随机选择值IDi∈Zp并设置R IDi=r IDi P,然后计算部分私钥为d IDi=r IDi+x·h0mod p,其中h0是H0(IDi,R IDi,P IDi),发送者publickeyyPIDs PID AxAP 。 广 告 将 继 续计算主公钥,计算为为H0−1(dA<$P )使得dA<$P=H0(IDs,PID)成立. AI选lID(∈RZ<$P 并通过计算进行处理SID= IID P; H= H2部分私钥 KGC计算值Q IDiR IDiH0(IDi, RIDi, PIDi) Ppub并通过安全信道将(dIDi,QIDi, RIDi)当用户接收到dIDi时,用户i可以通过检查dIDiP=RIDi+H0(IDi, RIDi, PIDi)Ppubholds.τ,IDr,PIDr);WIDs 为dA +lID·H+x<$A·H′modp;TIDS=dIDr·SID。最后,它将输出签名的 =(S ID,W IDs)和对称密钥KI=HI(T IDS,I IDs·P IDr)。签名将通过验证,因为W IDs P=H0I Ds,PIDAPpub+H·SID+H′·PID A 所能容纳是4.4. 设置私钥完整私钥设置为skID4.5. 签密=(d)IDi,xIDi)。还注意到WM [6]方案有一个安全缺陷,允许对手通过计算x ′ d I Di H 0(I Di,P I Di)−1来访问KGC这使得可以计算给定用户的部分私钥,di<$x′H0(I Di,P IDi)mod p.部分私钥可以通过检查等式diP H0(I Di,P IDi)P pub是否成立来验证。第二类攻击:对手与挑战者C交互类似于WM的训练阶段[6]。我无法查询发送者的私钥。然而,A11可以访问接收者的完整私钥。AdjacentAII使用IDs、 IDr和任意值τ进行签密查询。C用I D s响应A II(SID,WIDs)和对称keyK。 No wAII已经形成了针对任意值τ的签名II IDs,其获得为如下A II计算新密钥KI IHI(T IDS,X IDr S ID),其中TIDSdIDrSID。因此,WIDs(SIDs ,WIDs)是来自发送者IDs和接收者IDr的密钥Kk的有效签名。计算HH2(SIDs,τ,IDs,PIDs)对于特征码SIDs或SIDs将产生相同的值。有效性检查具有身份IDs和作为时间戳的τ的用户i将执行如下算法:选择一个随机的lIDZP;SIDlIDPTIDSlIDsQI Dr HH2(SI D,TI DS,τ,I Dr,PI Ds)H ′H3(SI D,TI DS,τ,I Dr,PI Dr)WIDsdI DslI DsHxI DsH′mod p K H1(TIDS, SID, QIDr, I Dr)输出ΔI Ds( SIDs, WIDs)和K4.6. 去签密给 定 签 名 者 IDs 、 K 、 签 名 者 身 份 IDs 和 公 钥( QIDs 、PIDs ) 。 解 密 过 程 如 下 进 行 :TIDS=dIDr·SIDs;H=H2(SID, TIDS,τ, I Dr, PIDs),H′=H3 ( SID , TIDS , τ , I Dr , PIDr ) 如 果 WIDsP=QIDs+H·SIDs+H′·PIDs则签名是有效的,接收方计算K=H1(dIDr·SIDs, QIDr, I Dr)正确性我们的方案的正确性如下:W IDsP = H0(I Ds,P IDs)P pub+ H·S ID+ H ′·P IDs成立。lI D QI博士= lID (RIDr+h0 P清吧)而TI博士I博士 也可以4. 修改签密方案在本节中,我们提出了一个安全有效的方案,它是WM[6]的签密方案的修改。4.1. 设置我 们 的 设 置 类 似 于 WM [6] , 除 了 密 码 学 H0{0 ,1}<$XGpXGp→Z<$p;H1:GpX GpX Gp→ Z<$p的变化。计算为T IDr=d IDr S IDs=I ID P(r r+xh0)=I IDRIDr+h0Ppub。5. 方案的安全性分析改进方案的安全性是基于椭圆曲线离散对数(ECDL)问题.在ECDL假设下,在随机预言机模型下,我们给出了一个形式化的安全证明,证明了我们提出的签密方案对I型和II型攻击者是UF-CMA安全的。SID,τ, I Ds,PIDA;H′=H3(SID,P. Kasyoka,M.Kimwele和S.M.2021年7月200-204日203::∈==-联系我们)的情况下()()下一页2qH0:2KqH02Kεq H02KT= dr SID, IDrD, PrDSID, Rs, H,I Dr对()下一页SID,Rs,H,I Dr),以获得另一个H′。AdjuvantAII=(=5.1. 不可伪造性的证明定理2. 在ECDLP假设证据我们在引理1和引理2中给出了这个定理的证明。引理1. 在随机预言机模型下,我们的方案在DLP假设下是EUF-CMA安全的。如果存在具有不可忽略的优势ε的对手AI,该优势ε可以损害我们方案的真实性,则存在算法C,该算法可以以优势解决DLP问题Pr[C] ≥ ε1(1 − q s(q H2+q H3))。C有可能从公钥查询中获得xs,因此可以求解li。分析分析集中于以下独立事件发生的可能性:E1:AdjunAI does not choose to be challenged onIDID查询E2: AdjunAI does ask private key query onID查询E3AdwordsAI确实替换了公钥,并在IDE4挑战者C由于拒绝有效的密文而中止解签密查询.挑战者C在这场比赛中不中止的概率是Pr [E4]=1(1 −qs(q H2+q H3))。这里,q H0、 q H2和q H3分别是对H、H和H查询的最大查询次数,而q和q表示-因此,我们认为,0 2 301-02- 0qs(q H2+q H3))分别重新发送签密和取消签密查询在运行Setup(1k)之后,挑战者C给出Pr[C] ≥ ε q H01 −2k.系统参数到AD VERSARYAI。值bRZqqq将被用来模拟发送方的部分私钥,因此挑战者C必须解决P d P for(Q A dP),这是DL问题的一个实例。C维护列表L i(i 0, 1,2, 3)的随机预言机H0,H1,H2和H3。可以使用列表LK引理2. 在随机预言机模型下,我们的方案在ECDL假设下是EUF-CMA安全的。如果存在具有不可忽略的优势ε的敌手AII,它能比我们方案的真实性更好,则存在算法C,它能比我们方案的真实性更好地解决ECDL问题来存储私钥和公钥。Pr [C]≥1(1−qs(q H2+q H3))定理1在[8]中,除了H1查询,其中C检查元组(TIDS,SID, QIDr, I Dr, K)是否存在于L1中。如果它存在,C将K返回给AI。否则,它选择K0, 1n返回到A1,并将元组(TIDS, SID, QIDr, I Dr, K)添加到列表L1。伪 造 在 训 练 阶 段 结 束 时 , 攻 击 者 A I 输 出 密 文 σSID、WID、KD,其中I DsD和I DrD分别作为发送方和接收方。如果I D sI_D_C中止会话。否则,C在Sl_ID上提交H2查询,这里,q H0、q H2和q H3分别是对H0、H2和H3查询的最大查询次数,而q s和q u分别表示签密和解签密查询。挑战者C将使用对手AII来解决(P, b P),这是ECDL问题的一个实例。我们的对手有主密钥。C向我们的对手提供系统参数,包括Ppub=a P和Pi=λP,其中值λ以分别获得另一个H和H′。如果散列值H和H′中的任何一个或两者都已经在相应的列表中定义,则I密文的有效性将决定对手A1是否赢得游戏。我会赢得比赛,如果EQ。(1)保持训练阶段。这个阶段类似于定理2引理1。伪造在训练阶段结束时,对手A II输出密文σi=SIi Dd,WIidd,K idon,其中ID si d和IDr id不是由Signcrypt查询生成的。 如果I DA =ID,挑战者CwP=QID+HSID+H′PIDs(1)利用分叉引理[9],我们可以得到另一个方程中止会话。否则,C在元组上提交H查询(SID(,T=drSIDs,IDr,Pr))以记录值H和H3查询WP=QID+H SID+H′PID(2)从Eq中减去(1)获得如果H和H′值已经存在于相应的列表中,则将失败。分析分析的重点是在可能性的w−wPH− H+ H′− H′=(b+li+xs) P(3)独立事件:E1: AdvertisementAII不选择在ID我们现在可以如下恢复值bE2: AdvertisementAII did ask private key query onI D我在ID上询问私钥查询训练阶段。 在此阶段,哈希查询类似于.和H3查询未知C。值a是主密钥。204P. Kasyoka,M.Kimwele和S.M.2021年7月200-204日=bw−wH− H+ H′− H′-(li+xs)由于在模拟过程中拒绝了有效密文,因此E3AdjunctAII在解签密查询过程中中止值b是我们的DL问题的解决方案,这意味着C可以使用对手AI作为子例程来从QA=b P获得b。其余的分析与引理1的分析部分类似。P. Kasyoka,M.Kimwele和S.M.2021年7月200-204日205=∗ ∗=联系 我们6. 改进方案在本节中,我们分析了我们提出的访问控制方案的性能,并与WM [6]的方案进行了比较。.如在[10]中,我们采用MICA2 mote上的运行时间和能耗,MICA2 mote配备了ATmega128 8位处理器,时钟频率为7.3728 MHz,4 kB RAM和128 kB ROM。在我们的定量分析中,我们将只考虑具有高计算成本的操作,例如在G1中表示为PM的点乘。从[11]中,我们知道PM操作需要0.81 s在具有160位p的椭圆曲线上。WM [6]的签密算法在非签密算法中执行3PM和6PM,而我们的方案在签密和非签密算法中分别执行2PM和3PM因此,与WM [6]的方案相比,我们修改方案的计算时间如下:WM [ 6 ]中密文生成和解密的计算时间为30.812. 43秒60. 81四、86 s• 在我们的方案中,密文生成和解签密的计算时间是2 × 10 ~(-1). 81 = 1。62秒和3秒00。八十一=二。43 S分别。与WM [6]的方案相比,我们的方案在签密方面的计算时间效率提高了33%,在解签密方面的计算时间效率提高了50%。我们采用了[12]和[11]中使用的方法来计算能耗。鉴于MICA2的能量水平 为3.0 V,数据速率为12.4 kbps,我们假设活动模式下的电流消耗为8.0 mA,发送模式为27mA,接收模式下的电流消耗为10 mA [12]。根据[13],点乘运算消耗3。08. 0 0。8119. 44毫焦耳。WM [6]和我们的方案中签密和解签密的总能量计算成本计算为(3 6)19. 44 174. 96mJ和(2 3)19. 四四九七。2毫焦耳分别因此,我们的计划减少了能源计算成本(174。96-97。2)/174. 96= 44%。7. 结论本文证明了[6]最近提出的无证书签密方案是可以被破解的通过公钥替换和进一步的改进,我们提出了一个改进的签密方案,并给出了一个有效的签密方案。我们的结论是,任何其他配对自由签密方案具有类似的设计将容易受到同样的攻击。竞合利益作者声明,他们没有已知的可能影响本文所报告工作引用[1] 法医Saeed,Q. Liu,G.田湾,澳-地Gao,F. Li,HOOSC:物联网的异构在线/离线签密,无线。网络(2017年)。[2] L. Chen,J. Malone-Lee,改进的基于身份的签密,在:公钥密码学-PKC,Springer,柏林,2005,pp. 362-379[3] D. Boneh,M. Franklin,基于Weil配对的身份加密,SIAM J。Comput. 32(2003)586[4] Y. Huifang,Y.无配对安全无证书签密方案,计算机。J. 60(8)(2016)1187[5] S.S. Al-Riyami , K.G. 无 证 书 公 钥 密 码 学 , 高 级 密 码 学 。ASIACRYPT(2003)452-473.[6] L. Wei,W. Ma,基于无证书混合签密的云存储安全高效数据共享方案,MDPI-Electron。8(590)(2019)。[7] S. Seo,E. Bertino,Elliptic curve cryptography based certificate- lesshybrid signcryption scheme without pairing,in:CERIAS TR 2013-10:CERIAS,West Lafayette,USA,2013。[8] A.A. Omala,A.S. Mbandu,K.D.穆图里角Jin,可证明安全的无线体域网异构接入控制方案, J. Med. 系统41(108)(2018)。[9] D. Pointcheval,J. Stern,数字签名和盲签名的安全性论证,J。密码醇13(2000)361[10] K.- A.沈,Y.- R.李角,澳-地M. Park,EIBAS:一种有效的基于身份的无线传感器网络广播认证方案,Ad-HocNetw。11(2013)182-189。[11] K.A. Shim,S2drp安全实现的分布式可重编程,Ad Hoc网络。19(2014)1[12] X.曹,W.库湖当湾,澳-地赵,IMBAS:基于身份的无线传感器网络多用户广播认证,COMPUT。Commun. 31(4)(2008)659-667。[13] C.妈,K. Xue,P. Hong,无线传感器网络中具有自适应隐私保护特性的分布式访问控制,Secur。Commun. 网络7(4)(2014)759·
下载后可阅读完整内容,剩余1页未读,立即下载
cpongm
- 粉丝: 4
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- zigbee-cluster-library-specification
- JSBSim Reference Manual
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功