基于身份的完全匿名广播加密RNZ的密码分析" - 姆里甘卡·曼达尔

⃝··可在www.sciencedirect.com在线获取ScienceDirectICTExpress 6（2020）316www.elsevier.com/locate/icte基于身份的完全匿名广播加密RNZ的密码分析姆里甘卡·曼达尔印度理工学院数学系，Kharagpur 721302，印度接收日期：2020年1月11日;接收日期：2020年4月23日;接受日期：2020年4月27日2020年5月5日网上发售摘要基于身份的完全匿名广播加密（IB-FAnoBE）是一种将机密数据传输给一组用户的新概念，其中订阅用户的外部和内部匿名性是主要关注的问题。在本文中，我们回顾了一个最有效的IB-FAnoBE，由Ren，Niu和Zhang（RNZ）提出的，并表明他们的建设不提供广播加密的主要消息不可否认的安全要求。为了这个目的，我们展示了未经授权的用户可以解密加密的内容，而没有合法的解密权限。此外，我们提出了一些修改，以改善这个计划，并构造一个安全的IB-FAnoBE。c2020年韩国通信与信息科学研究所（KICS）。Elsevier B. V.提供的出版服务。这是CC BY-NC-ND许可证下的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词：广播加密;基于身份的加密;安全性;消息不可篡改性;攻击1. 介绍广播加密（BE）使得广播者能够以这样的方式将加密的内容传输到合法用户的任意目标集合，使得非合法用户即使串通也不会检索到关于广播信息的任何内容。BE在诸如付费电视、加密（图像）文件系统[1]、云计算[2，3]等的广泛应用中提供针对机密内容的未经授权分发的机密性。基于身份的广播加密（IBBE）[4]是一种高级原语，其中每个用户的公钥使用与用户索引链接的唯一标识符（例如，用户IBBE虽然是BE的一个改进，但它并不满足接收者因此，攻击者可以识别谁是真正的用户，并通过损害用户的物联网（IoT）[ 5 ]支持的轻量级设备，甚至通过威胁一些用户来恢复秘密解密密钥因此，IBBE必须有能力保护其用户IBBE具有订户的局外人和局内人匿名电子邮件地址：mriganka_mandal@maths.iitkgp.ac.in。同行评审由韩国通信和信息科学研究所（KICS）负责https://doi.org/10.1016/j.icte.2020.04.011作为基于身份的完全匿名广播加密（IB-FAnoBE）。为了实现用户Libert等人。[10]实现了O（N）通信和计算成本，与[11，12]类似，具有自适应安全性，而不使用非标准的随机预言模型（ROM）。[11][12]在ROM下是安全的。Ren，Niu和Zhang [13]提出了第一个基于非对称双线性映射的IB-FAnoBE，这是一个自适应不可区分选择明文攻击（IND-CPA）安全的无ROM。在本文的其余部分，我们将他们的方案称为RNZ。我们的贡献。我们表明，RNZ不提供BE框架的主要安全要求。本文的主要贡献有三个方面，即：我们表明，在RNZ中，任何接收者（授权或未经授权）可以解密传输的加密内容，而无需有效的解密密钥。我们证明了任何概率多项式时间（PPT）攻击者都可以正确地解密加密的内容通过查询被撤销用户在消息不可撤销安全游戏中的密钥。2405-9595/2020韩国通信和信息科学研究所（KICS）。出版社：Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。·（）下一页联系我们˜==-（x−x）=i˜=： ×→∈=˜˜˜˜··=∈∈∀∈L（）下一页（）下一页S′i=1W× =M。e指数α，β，γ，{γi}l= ∈ Zp并计算以下翼：（）下一页H）和主秘密-k∈ yMSK=（α∈B，U∈′，{U∈}li=1）。{}{i=γi，i=γi}，=γM. Mandal/ICT Express 6（2020）316-319317我们提出了一些修改的RNZ和它的安全框架，以构建一个安全的IB-FAnoBE，可以抵御我们的攻击。Organization. 我们首先在第2节介绍初步背景。接下来，我们讨论RNZ是第3节。在第4节中，给出了对RNZ的实用攻击。 我们提议这里，IDi[k] 0， 1表示IDi0，11的第k位。 最后，GM通过它们之间的安全通信信道向用户i发送SKIDi• 加密MPK，S，M：广播公司将主公钥MPK，多项式大小的集合S=ID1，ID 2，. . . ，I D L订阅用户和消息 M∈构建安全的IB-FAnoBE在第5节中描述。最后，我们在第6节结束。2. 先决条件在本节中，我们描述了一个基本的密码学知识，这是我们的论文的明确介绍所需要的。定义1（非对称双线性对[13]）。设G+和G+是两个可加源群，G×T是一个可乘源群. 群G+和G×T 有相同的长度G×T。它执行以下步骤来产生密文对应于消息M。1. 它首先从主公钥MPK中提取密码散列函数H以计算x1 H（I D1），x2H（I D2），. . .，x LH（I DL）。对于i 1，2. . .，L，则它设置以下多项式Lf（x）jj=1（xi−xj）j= i=ai，1+ ·· · +ai，L（x）L−1（mod p）.（三）素数阶p（> 2 η），G +的阶是p的某个幂。 设P，P∈分别是G+和G∈+的两个生成元.这里，或者fi（x）=1，如果x=xi对于所有i=j。或者fi（x）=0，如果x=xj函数eG+G+G×T 如果它具有以下三个性质，则称之为非对称双线性对。2. 它随机地选择sZp。 F或i1，2。 . . ，L，它计算双线性：e（aU， bV）e（U， V）ab，U G+，VG+和a， bZp。非简并性：e是非简并的，即，e（P，P）是G × T的生成元.Ri= ∑j=1aj，isU′ +ID∑j[k]=1中国，（4）• 可计算性：e是有效可计算的。元组BG=（p，G+，G×T，e）被称为非对称元组。设V=s P，W=M·s。最后，广播者发布密文CT=（{R}L、度量双线性对系统V、W）·对应于消息M。ii=13. RNZ的IB-FAnoBE方案在本节中，我们描述了RNZ [13]的通信模型，其中涉及组管理器（GM），广播公司和多个用户。该方案由四个算法- （设置、密钥生成、加密、解密），下面详细说明。• 设置η：GM在输入安全参数η时，首先解密MPK、 SKi、CT：订阅用户i，属于订阅的用户集，其秘密密钥SKIDi和主公钥MPK可以恢复正确的消息M通过执行以下步骤从密文CT中1. 它首先从主公钥MPK中提取密码散列函数H，并计算xi=H（I Di），生成非对称双线性对系统BG=（p，G+，G+，G×T，e）（cf. 定义1）。设P，P_n是两个随机数Λi=R1+···+Ri（xi）i−1+···+RL（xi）L−1（modp），G+生成元 关于G+ 尊敬我。它随机选择I1其中，{Ri}L（五）U P U Pl U′Pi=1U=γ P，B=βP，E=e（P，P）αβ.（一）它选择加密散列函数H：{0， 1}l→Zp到ID i是用户i的身份。2. 最后，它通过计算恢复正确的消息e（Λi，di，2）e（V，di，1）设置主公共-keyMPK=（BG，P，Pi，U i，U′，{Ui}1，=4. 我们的攻击最后，GM发布MPK并保存MSK本身我 I1秘诀在RNZ的工作中[13]，作者提出了自适应下的消息不可否认性博弈IND-CPA安全模型[2]，并证明了他们的方案与密文CT分离，˜• KeyGen MPK、 MSK、IDi：在接收到用户身份I D i=（I D i[1] I D i[2]. . . I D i[l]）∈ {0，1}l，GM选择r∈RZp并生成秘密-ke yS KIDi=（di，1，di，2），使用MSK并从MPK中提取P，如下实现了在判决bilin下的密文保密性耳在本节中，我们将证明他们的说法是不正确的，并证明任何PPT攻击者都可以通过查询被撤销用户（包括未经授权的用户）的单个密钥来解密密文。i，1=+rU′+ ∑ki，2=攻击者如下进行。(A) 计算解密数量。没有失去基因-dαβ[k]= 1 U和drP（二）为了简单起见，我们假设每个用户的长度l=∑、为|S|≤=∈ {}[（∑）（∑[（∑1·（′x a sU+3，3一一11=（∑）（∑一（∑（∑·=将为CT={Ri}3，V，W.1I D3[k]=1318海里Mandal/ICT Express 6（2020）316同一性是3（即，l3）。攻击者首先设置以下函数因此，攻击者可以通过计算下式来解密质询密文以恢复正确的消息MF（IDu）=F（I Du）′I Du[k]=1中国，（6）e（Λ4，d4， 2）W×e（V，d4 1）= M.（九）• 计算复杂性。 假设最大尺寸其中IDu（IDu[1]IDu[2]IDu[3]） 0， 1，3是某个用户身份，IDu[k]是身份IDu的第k位。它选择ID1=110，ID2=111，ID3=101，并设置目标集合S={ID1，ID2（，ID3}。因此，RNZ密码i=1目标集的最大值是L（N）。然后，解密量计算最多需要L次哈希计算和O（L）次成本有效的和与积运算的计算。另一方面，新的解密特权过程需要计算最多L个求和运算。最后，第三步如解密算法中所示（参见 当量 （5）、攻击者可以通过在密文分量R1、R2、R3之间进行以下线性组合来恢复解密量Λ1。x1=H（I D1），Λ1=R1+R2（x1）+R3（x1）2（modp）我们提出的算法只需要计算一个乘积运算和两个双线性对运算。5. 构建安全IB-FAnoBE在本节中，我们将解释两种获取=a1， 1s U′+I D1[k]= 1Uk + · ·· +a3，1s U′+I D3[k]= 1（联合王国）]保护IB-FAnoBE免受脆弱的RNZ攻击为了抵御我们的攻击（cf。第4节），我们可以修改RNZ，或者+ x1a1， 2s U′+I D1[k]= 1Uk）+···+x1a3， 2s（U′+我们可以在不影响主协议的情况下改变其安全框架。这两种技术可以描述如下。∑Uk）]+[x2a1，3s（U′+∑Uk）+···+Tech-1（不带IB设置的FAnoBE）：为了防御我们的攻击，可以从RNZ中删除基于身份（IB）的设置。I D3[k]=1213IDΣ3[k]=1（联合王国）]I D1[k]= 13在IB设置中，对手被给予多项式的许多密钥生成oracle访问，允许查询一组身份（其选择）。例如，在我们的攻击中，=s（∑a1，jxj−1）（U′+∑Uk）+s（∑a2，jxj−1）询问身份ID4100，这使我们来解密广播密文另一方面，在一个j=1I D1[k]=13j=1FAnoBE（没有IB设置），允许A进行×（U′+∑Uk）+s（∑a3，jxj−1）（U′+∑I D2[k]=1个J=1（英、克）关键字生成对一组索引的Oracle查询作为回报，挑战者将每个索引与唯一标识相关联，并且=s f1（x1）U′+I D1[k]= 1Uk +s f2（x1）U′+I D2[k]= 1（英、克）在此身份上运行密钥生成oracle。相关联的一系列的身份都是完全隐藏的因此，它将抵制我们攻击的过程（C）（参见。第4节）。+s f3（x1）U′+I D3[k]= 1（英、克）然而，这种技术的主要缺点是我们必须放弃IB设置。=s U′+I D1[k]=1（英、克）技术-2（IB-FAnoBE，在接收者完全匿名的情况下具有消息不可识别性的安全性=sF（I D1）（7）这里，可以在没有任何秘密信息的情况下生成上述量。另外两个解密量Λ2和Λ3也可以通过类似的计算来生成。观察到这些都是由相同的随机性s构成的。(B) 正在生成新的解密权限。攻击者可以通过采用解密量Λ 1、Λ 2和Λ 3的以下线性组合来生成针对（未订阅的）用户身份ID 4 100的新解密特权。Λ1-Λ2+Λ1=sF（I D1）-sF（I D2）+sF（I D3）一个CIB-FAnoBE⏐⏐−⎢⎢A1A⎥XANO-IND-CPAζ（）对抗消息不可否认性和接收者这两个安全属性一直由RNZ遵循。我们可以将这两个安全属性结合起来，为IB-FAnoBE定义一个组合的安全游戏，而不是删除IB设置（遵循Li等人的工作。在自适应匿名IND-CPA安全模型下的这个博弈，记为ANO-IND-CPA，PPT对手一个挑战者. A在赢得比赛中的优势被定义为Adv（ η）==sF（ID4）（八）Advc（η）2，其中Advc（η）由以下等式给出：标题：=Λ4（(C) 中断消息不可撤销性安全性。攻击者可以通过给出（未订阅的）用户身份ID4= 100作为输入来访问密钥生成oracle O KeyGen（MPK，MSK，·）。最后，神谕重新-匝←KeyGen（MPK， MSK，ID4）.SK4=（d4， 1，d4， 2）（M0，M1），（S0，S1）←[A（MPK）]OKeyGen（MPK，MSK，·）;Pr∈R{0， 1}且x∈R{0， 1};（CT）←Encrypt（MPK，S，M）;格（）（{}）（x′，x′）←ACT，SKIDi：IDi∈/S0S1i=1=一A，IB-FAnoBEi=12RNZ也最多为1。M. Mandal/ICT Express 6（2020）316-319319这里，OKeyGen（MPK，MSK ，·）表示密钥生成oracle访问，其允许A在索引集合I [N]上查询，其中|我|≤ q =poly （η）≤ N ，并且对于所有u ∈ I，它返回（SKiu）← KeyGen（MPK，MSK，I D iu）。定义2（消息不可复制性与接收者的完全安全性的安全性）。在自适应ANO-IND-CPA安全模型下，如果AdvANO-IND-CPA（η）对于所有PPT攻击者都是η的可忽略函数，则IB-FAnoBE是（t，n， q）消息，接收者运行时间最多为t最多可以得到qpoly（η）密钥查询。这里，poly（η）是安全参数η中的多项式。观察到任何PPT对手A可以以至多1的概率恢复解密量{Λi}L（参见图1）。第4节）。因此，A在打破26. 结论在本文中，我们已经审查了有效的IB-FAnoBE方案RNZ和显示其脆弱性。我们的研究表明，未经授权的用户可以恢复正确的消息，而不具有有效的解密权限。因此，它不为BE提供主消息不可篡改性安全要求。由于引入一个基于身份的、完全匿名的、经济有效的、可证明安全的BE是最重要的公开问题，我们提出了一个改进的方案，并使其安全。CRediT作者贡献声明Mriganka Mandal：概念化，形式分析，调查，方法，验证，写作-原始草案，写作-审查编辑。竞合利益作者声明，他们没有已知的可能影响本文所报告工作引用[1] C. Yu，J. Li，X. Li，X. Ren，B. B.基于四元数菲涅耳变换、混沌和计算机全息图的四像加密方案，多媒体工具应用。77（4）（2018）4585[2] Z. Yu，C.Z. Gao，Z. Jing，B. B. Gupta，Q.蔡，一种基于带噪声学习奇偶校验的实用公钥加密方案，IEEE Access6（2018）31918[3] Q. Zheng，X. Wang，M.K.汗，W。张先生Gupt，W.郭，基于混沌SCML的铁路云服务轻量级认证加密方案，IEEE Access 6（2017）711-722。[4] C. Delerablée，基于身份的广播加密与恒定大小的密文和私钥，在：密码学和信息安全的理论和应用的国际会议，施普林格，柏林，海德堡，2007年，pp. 200-215[5] A.Tewari ， B.B.Gupta ， Cryptanalysisofanovelultra-lightweightmutual authentication protocol for IoT devices using RFIDtags，J. 超级计算机73（3）（2017）1085-1102。[6] B.B.放大图片作者：D.P.（编），Handbook of Researchon ModernCryptographic Solutions for Computer and CyberSecurity ， IGIglobal，2016.[7] J. Hur，C.公园，S.O. Hwang，隐私保护基于身份的广播加密，Inf.Fusion 13（4）（2012）296[8] Y.M.曾耀雄Huang，H.J. Chang，CCA安全匿名多接收者基于ID的加密，在：高级信息网络和应用研讨会，2012年，第100页。177比182[9] X.利河，巴西-地杨利，基于身份的广播加密算法，国际数字学报。犯罪法医学6（2）（2014）40-51。[10] B. Libert ， K.G. 帕 特 森 ， E.A. Quaglia ， Anonymous broadcastencryption ： Adaptive security and efficient constructions in thestandard model ， in ： International Workshop on Public KeyCryptography，2012，pp. 206-224[11] K. He，J. Weng，J.N. Liu，J.K.刘伟德Liu，H. Robert，具有选择密文安全性的匿名基于身份的广播加密，在：第11届ACM亚洲计算机和通信安全会议论文集，2016年，第11页。247-255[12] J. Lai，Y.莱伊，英-地Mu，F. Guo，W.苏西洛河Chen，Anonymousidentity- based broadcast encryption with revocation for file sharing，in：Aus-tralasian Conference on Information Security and Privacy，2016，pp. 223-239.[13] Y. Ren，Z. Niu，X. Zhang，基于身份的广播加密算法，IJ Netw.安全性16（4）（2014）256-264。