CN103493428B - 数据加密 - Google Patents

数据加密 Download PDF

Info

Publication number
CN103493428B
CN103493428B CN201280018931.3A CN201280018931A CN103493428B CN 103493428 B CN103493428 B CN 103493428B CN 201280018931 A CN201280018931 A CN 201280018931A CN 103493428 B CN103493428 B CN 103493428B
Authority
CN
China
Prior art keywords
message
encryption
composition
concordance
ciphertext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201280018931.3A
Other languages
English (en)
Other versions
CN103493428A (zh
Inventor
J·L·卡梅尼施
K·哈拉兰比夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN103493428A publication Critical patent/CN103493428A/zh
Application granted granted Critical
Publication of CN103493428B publication Critical patent/CN103493428B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • H04L9/3221Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

提供了用于在数据处理系统(1)中在公钥下加密秘密数据的公钥加密方法和装置。秘密数据被提供为消息(m),该消息(m)包括满足双线性映射ê:G1xG2→GT的基群对G1,G2的至少一个元素,其中GT是目标群。使用所述公钥来加密消息(m)以产生加密消息(c)。使用加密消息(c)和所述双线性映射来生成一致性成分(v),从而一致性成分(v)允许在不展现加密消息的情况下对加密消息的验证。输出密文(ct)包括加密消息(c)和一致性成分(v)。

Description

数据加密
技术领域
本发明总体上涉及数据加密,并且提供了用于在数据处理系统中的秘密数据的公钥加密的方法和装置。
背景技术
公钥加密基本上是目标在于保护数据处理系统中传送的数据的任何安全协议中的重要密码工具。加密方案依赖于秘钥对,也就是私钥和公钥,其与系统中通信的特定方相关联。一方的公钥可用于方案的所有用户,而私钥对该方是保持秘密的。当在基本的消息收发过程(其中发送者希望与接收者通信,同时保持消息数据对其他人秘密)中使用时,发送者可以使用接收者的公钥经由密码编码过程对秘密数据进行加密。安全依赖于这样的前提,即,使用秘钥对的相应私钥仅可以将所产生的密文解密为用于恢复原始明文消息,即,秘密数据。由此,仅拥有该秘钥的授权接收者才可以解密密文从而展现秘密数据。加密方案还可以在其他场景中使用,例如,用于在可信第三方(TTP)的公钥下加密数据,以使得所产生的密文的接收者可以应用于TTP以在特定环境下解密密文。可以开发这样的系统,例如用于在用户行为不当(例如,没有支付账单)的情况下,允许向密文的接收者展现在密文中加密的用户标识数据。
在实践中,由加密方案提供的安全的等级基本上取决于攻击者在不知晓秘钥的情况下可以从密文推导出信息的程度。实际上,用于加密方案的当前实际标准安全观念称为“针对选择密文攻击的安全”(CCA)。这是在以下可能性的方面定义的,即,在指定约束(允许对用于攻击者所选择的密文的解密的解密数据库进行受限访问)下操作的名义上的攻击者可以检测到两个消息(明文)中的哪一个与给定密文相对应的可能性。现在,CCA安全是标准要求,因为满足较弱安全观念的方案,例如,所谓的“语义安全”(针对选择明文攻击的安全(CPA)),已经被证明易受到特定类型的攻击。
存在很多有效的公钥加密方案,但是多数需要使用某些种类的哈希函数,诸如抗冲突哈希函数或者密码哈希函数。特别地,CCA安全加密方案通常通过语义安全加密方案而获得,该方案通过添加防止攻击者在没有检测的情况下修改观察到的密文的一致性检查而实现。最终的密文包含由明文消息的加密而产生的加密消息和使用哈希函数由加密消息生成的一致性检查部分。密文的接收者可以认证一致性部分对于加密消息正确,并且由此认证加密消息(即,由发送者有效计算并且没有被攻击者修改)。虽然这提供了CCA安全的基础,但是这些方案中哈希或者类似函数的使用防止了对所产生的密文进行特定证明。特别地,在没有实际展现输入和输出的情况下,无法提供这些函数的输入与输出之间的特定关系。因此,在没有展现密文本身的情况下,例如无法证明密文已经被有效计算。这在高级安全协议中是重要的要求,在高级安全协议中,必须进行特定的证明,同时保留高度私密等级。具体地,某些协议要求用户不展现密文而可以提供关于该密文的特定性质的证据。例如,用户可以仅需要证明其拥有有效计算的密文,而不将密文展现给认证方。还可能需要附加的证明,例如,在密文中加密的消息满足特定要求,以免向认证方展现该事实之外的其他事情。
在以下文献中描述了基于哈希函数的CCA安全加密方案的示例:“A PracticalPublic Key Cryptosystem Provably Secure against Adaptive Chosen CiphertextAttack”,R.Cramer和V.Shoup,CRYPTO′98,13-25页,Springer-Verlag,1998;以及,“Designand Analysis of Practical Public-Key Encryption Schemes Secure againstAdaptive Chosen Ciphertext Attack”,R.Cramer和V.Shoup,SIAM Journal onComputing,33:167-226,2001。也描述了Cramer-Shoup加密方案的无哈希变量。在该无哈希方案中,通过如下来避免哈希:将密文中的某些部分(素数阶数组中的元素)作为比特序列来处理,将序列切分为比特块,并且将切分的值作为数值取模素数阶来处理,其继而被馈送到特定函数求值。基本上,该过程建立了专用的哈希函数,其将允许输入与输出之间的特定关系的证明,但是需要输入与输出二者都完全展现。这当然会达到证明输入与输出之间的关系的目的,因为如果二者都进行了展现,可以很容易地对输入的适当函数进行求值,并且针对给定输出检查结果。线性Cramer-Shoup加密方案还在以下文献中进行了描述:“ACramer-Shoup Encryption Scheme fromthe Linear Assumption and fromProgressively Weaker Linear Variants”,H.Shacham,2007,Cryptology ePrintArchive,Report2007/074。该方案的安全性基于决策性线性假设(DLIN),并且关键地依赖于哈希函数的使用,并且再一次防止在不展现密文的情况下证明。
在数字签名领域,可以在不展现签名的情况下向认证方证明签名的知识。允许知识的此类证明的签名方案可以实现为多种方式。一个示例在实现签名方案中使用双线性群。该“结构保留”签名方案在以下文献中进行了讨论:“Structure-PreservingSignatures and Commitments to Group Elements”,Abe等,CRYPTO 2010,LNCS 6223,209-236页,2010。
迄今为止,没有可切实可行的加密方案,使得拥有密文和密文被有效计算的证明的用户能够在不展现此类有效计算的密文的情况下而向认证方证明他拥有该密文。
发明内容
本发明的一个方面提供了一种用于在数据处理系统中在公钥下加密秘密数据的公钥加密方法。该方法包括:
提供作为消息的秘密数据,消息包括满足双线性映射ê:G1xG2→GT的基群对G1,G2的至少一个元素,其中GT是目标群;
使用所述公钥来加密消息,以产生加密消息;
使用加密消息和所述双线性映射来生成一致性成分,从而一致性成分允许在不展现加密消息的情况下对加密消息的验证;以及
输出包括加密消息和一致性成分的密文。
具体化本发明的公钥加密方法使用双线性映射,来生成针对密文中的加密消息的一致性成分。加密消息通过消息的公钥加密来产生,该消息包括满足双线性映射到目标群的基群对的一个或多个元素。继而,使用加密消息和双线性映射来生成一致性成分,从而所产生的一致性成分可以用于验证加密消息而不需要展现加密消息本身。这提供了高效加密方案的基础,该方案既是CCA安全的又允许对密文做出证明,例如,密文已经被有效计算,而不需要在证明中展现密文本身。该方案由此可以视为“结构保留加密方案”,其中,术语“结构保留”此处在特定结构被构造为允许进行此类证明的整体密文中的情况下使用。
通常,执行具体化本发明的加密方法的数据处理系统可以包括一个或多个(本地化或者分布式)设备或者组件用于处理数据,并且秘密数据可以包括要被保护避免未授权访问的任何数据。在一些实施方式中,将秘密数据提供为包括群元素的消息的步骤可以包括编码步骤,从而输入用户数据被编码从而获得包含表示用户数据的群元素的消息。在其他实施方式中,可以在系统中简单地提供表示秘密数据的消息,例如,存储在系统存储器中,以用于在加密过程中使用。在任何情况下,消息通常包括基群G1,G2的一个或多个元素,其中,G1可以等于或者不等于G2
可以使用除了加密消息和双线性映射的一个或多个其他项目来生成一致性成分,并且最终的密文可以包括一个或多个附加成分以及加密消息和一致性成分。虽然,可以设想其中可以向验证方展现一致性成分以便验证(仍然秘密的)加密消息的场景,但是在优选实施方式中,一致性成分允许在不展现一致性成分或者加密消息的情况下进行加密消息的验证。这通过一致性成分中的双线性映射是易于实现的。更一般地,优选的是,可以在不展现密文的任何成分的情况下验证加密消息,从而可以证明有效密文的拥有,同时保持整个密文的私密性。再一次,通过使用双线性映射,可以按照这样的方式生成一致性成分。
可以按照任何方便的方式使用公钥来加密消息,以产生将要被包括在密文中的加密消息。在下文详述的优选实施方式中,加密消息包括基群对的至少一个元素,并且通过向加密消息应用双线性映射来生成一致性成分。然而,如已经指示的,在生成一致性成分时可以使用其他项目。例如,具体化本发明的方法通常将包括步骤:生成随机成分,该随机成分继而在产生最终密文时使用。特别地,可以使用该随机成分来生成一致性成分。这样的随机成分可以包括基群对G1,G2的至少一个元素,并且一致性成分的生成可以包括向随机成分应用双线性映射。随机成分继而可以被包括作为最终输出密文的成分。
出于加密方案的使用相关的实践原因,要被加密的消息可以与标签相关联。标签的使用在加密应用中是已知的,例如用于允许具体上下文信息与业务相关联。在下文描述的优选加密方法中,在生成相应的一致性成分时使用与给定消息相关联的标签。更具体地,这样的标签与基群对G1,G2的至少一个元素相对应,并且一致性成分的生成包括向与标签相对应的元素应用双线性映射。
由具体化本发明的加密方法产生的密文可以向存储器输出,并且存储用于随后的证明协议。备选地,例如,密文可以发送至远程方,该远程方继而可以在证明协议中使用密文,同时保持密文的私密性。例如,可以经由数据通信信道向另一设备发送密文,在该另一设备中,密文最终在证明协议中使用。在任何情况下,具体化本发明的方法可以包括步骤:执行加密消息的知识的加密证明,并且使用一致性成分用于加密消息的验证。这样的证明通常可以通过理想化地不在该过程中展现一致性成分,按照各种方式使用一致性成分用于验证。因此,优选的方法执行加密消息和验证加密消息的一致性成分二者的知识的加密证明。本发明还提供了用于提供密文的知识的方法,包括:接收通过根据本发明的第一方面的方法产生的密文,执行加密消息的知识的加密证明,并且使用一致性成分用于加密消息的验证。
本发明的另一方面提供了一种计算机程序,包括用于使得计算机执行根据本发明的前述方面的方法的程序代码装置。可以理解,术语“计算机”在一般的意义上使用,并且包括具有用于实现计算机程序的数据处理能力的任何设备、组件或者系统,并且由此可以包括单个设备或者设备的分布式系统的一个或多个处理器。另外,具体化本发明的计算机程序可以构成独立的程序或者程序集,或者可以是较大的程序或者程序集的一部分,并且例如可以提供为在计算机可读介质中实现,计算机可读介质诸如磁盘或者用于在计算机中加载的电子传输。计算机程序的程序代码装置可以包括指令集的任何语言、代码或者记法的任何表示,指令集用于使得计算机,直接地、或者在执行以下中的一种或者二者之后,执行所考虑的方法(a)转换为另一语言、代码或者注释和(b)在不同的材料形式中再现。
本发明的又一方面提供了用于在公钥下加密秘密数据的装置。该装置包括:存储器,用于将秘密数据存储为消息,该消息包括满足双线性映射ê:G1xG2→GT的基群对G1,G2的至少一个元素,其中GT是目标群;以及控制逻辑,适于:
使用所述公钥来加密消息以产生加密消息;
使用加密消息和所述双线性映射来生成一致性成分,从而一致性成分允许在不展现加密消息的情况下对加密消息的验证;以及
输出包括加密消息和一致性成分的密文。
一般地,在此参考本发明的一个方面的实施方式描述了本发明的特征,相应的特征可以在本发明的另一方面的实施方式中提供。
附图说明
现在将通过示例的方式参考附图描述本发明的优选实施方式,在附图中:
图1是用于实现具体化本发明的方法的示例性数据处理系统的示意图;
图2示出了由实现具体化本发明的加密/解密过程的系统设备执行的步骤;以及
图3示出了具体化本发明的示例性加密应用中的系统设备之间的交互。
具体实施方式
图1是示出要描述的基于加密的技术的操作中涉及的主要组件的数据处理系统的简化示意图。出于本说明书的目的,考虑示例性系统1,其包括三方P1、P2和P3,分别由附图中相应计算机2、3和4表示。计算机2实现了具体化要描述的示例中的用于加密秘密数据的本发明的加密装置。计算机2包括控制逻辑6,用于一般地控制计算机的操作并且实现加密过程的关键步骤。计算机2还包括用于存储加密过程中使用的数据的存储器6和通信接口7。计算机3包括用于控制计算机3、存储器9和通信接口10的操作的控制逻辑8。控制逻辑8包括用于在下文描述的场景中加密从计算机2接收的消息的功能。控制逻辑8还包括在下文描述的另一场景中用于实现与认证方的证明协议的功能,认证方此处由计算机4表示。特别地,控制逻辑8可以在将要描述的场景中实现与认证方4的零知识证明(ZKP)协议。认证方计算机4具有控制逻辑11,用于一般地控制计算机,并且包括用于认证由计算机3做出的证明的功能。认证方计算机还包括在这些过程中使用的存储器12以及通信接口13。
在系统1的操作中,计算机2、3和4可以经由其相应的通信接口通过数据通信网络15进行通信(其中,网络15实际上可以包括多个组成网络和/或互联网)。这些计算机的控制逻辑5、8、11配置用于实现下文描述的加密过程的适当步骤。通常,该控制逻辑可以在硬件或者软件或者其组合中实现,并且实现各方P1至P3的设备的精确形式在很大程度上与描述的过程的基本操作部相关。然而,在该特定示例中,假设这些设备由通用计算机实现,并且控制逻辑5、8和11由相应的计算机程序实现,这些相应的计算机程序将主机配置用于执行所描述的功能。通过此处的描述,适当的软件将对本领域技术人员易见。
首先,将在直接的通信操作的上下文中描述具体化本发明的加密方案,从而,充当“发送者”的一方P1需要向“接收者”一方P2发送消息,同时保持所考虑的数据的私密性。该操作中的关键步骤在图2中示出。由发送者计算机2执行的步骤在该图的左侧示出,并且由接收者计算机3执行的步骤在右侧示出。该操作使用与接收者3相关联的秘钥对(sk,pk)。两个秘钥对接收者3都是已知的,并且在接收者存储器9中保持。秘钥pk是公钥,其在系统1中由接收者3公布。该秘钥因此可以被发送者2访问,并且存储在发送者存储器6中。秘钥sk是私钥,并且对接收者3保持是秘密的。
在消息收发操作的第一步骤即步骤(a)中,发送者2的加密逻辑5构造要被传送的包括秘密数据的消息m。在该步骤中,秘密数据由一对代数群的一个或者多个元素表示,下文将进一步描述。在适当的时候,该步骤可以包括任何方便的编码过程,用以将秘密数据编码为群元素。在任何情况下,所产生的(一个或多个群元素)集合作为消息m存储在存储器6中。在过程的步骤(b)中,发送者计算机2的加密逻辑5使用接收者的公钥pk对消息m进行加密,从而产生加密消息c。加密过程下文详述。接下来,在步骤(c)中,加密逻辑生成用于加密消息的一致性成分v。如下文详述,使用加密消息c和与从其构造消息m的代数群相关联的双线性映射来生成一致性成分。包括加密消息c和其认证成分v二者的密文ct形成逻辑5的加密过程的输出。在步骤(d)中,经由发送者计算机2的通信接口7通过网络15向接收者计算机3发送密文ct。密文由计算机3经由其通信接口10接收,并且存储在存储器9中。继而在步骤(e)中,接收机3的解密逻辑8确定密文是否有效。特别地,解密逻辑8确定一致性成分v对于密文中的加密消息c是否正确(即,是否与其一致)。以下给出该过程的细节。如果一致性成分被确定为正确,则确认了加密消息有效,即,其已经被发送者有效计算,并且经过网络15时没有被篡改。假设步骤(e)中密文被验证,则解密逻辑8进行到步骤(f),使用其私钥sk来解密加密消息c。解密过程恢复原始消息m,并且从而恢复由发送者2发送的秘密数据。(需要注意,初始用于将数据编码为消息元素的任何编码方案将是发送者和接收者公知的,从而在需要的情况下,可以由逻辑8执行将消息元素解码为用户数据)。
在下文中,将描述以上加密方案的特定优选实现,包括基础的加密过程的细节。
出于该方案的目的,消息m至少包括一对基群G1,G2的至少一个元素,该一对基群G1,G2满足双线性映射ê:G1xG2→GT,其中,GT是目标群。为了简化该示例,G1和G2取相同群,由G表示。特别地,G和GT表示素数阶q的群,其具有非退化、有效可计算双线性映射ê:GxG→GT
所描述的方案在决策性线性假设(DLIN)下是安全的。这一假设是本领域公知的,并且可以表示如下:使得G为素数阶q的群;g1,g2,g3←G;并且r,s,t←Zq。以下两种分布是计算上不可区分的:
为了简化该示例,方案将被描述为加密作为G中的单个群元素的消息m。该方案还支持标签。特别地,消息m被视作与基群对G1,G2(此处是相同的群G)的至少一个元素相对应的标签相关联。标签的使用在加密领域中是公知的,并且在此不需要详细讨论。可以理解,标签允许附加信息与消息相关联。例如,标签可以用于将上下文信息附接到业务上,从而允许包括相同消息m的不同业务能够通过使用每个业务中的不同标签而区分开。为了简化该示例,假设标签L是基群对中(并且从而此处在单个群G中)的单个群元素。
要在该方案中使用的秘钥对(sk,pk)生成如下:
KeyGen(1 λ ):选择随机群生成器g,g 1,g2,g3←G*。针对随机选择的设置继而,选择并且针对i=0,…,5,计算输出公钥 和私钥
图2的步骤(b)至步骤(d)中采用的加密方案定义如下:
Encrypt (m):选择随机以及r,s←Zq
包括三个元素u1,u2 and u3的随机成分生成为:
使用公钥pk生成加密消息c:
认证成分v生成为:
其中,u0=g。
输出密文继而被构造为:
该算法中的加密消息和随机成分都包括来自基群对(此处是相同的群G)的元素的集合。在该特定示例中,加密消息包括单个群元素,并且随机成分包括3个群元素。一致性成分v通过向加密消息c、随机成分元素u1至u3和标签L应用双线性映射而生成。双线性映射的每个应用产生目标群GT的元素。在该示例中,根据以上给出的公式来计算这些元素的乘积,以产生包括GT的单个元素的最终一致性成分。此处,输出密文ct是随机成分、加密消息c和认证成分v的串联(concatenation)。
图2的步骤(e)至(f)中采用的解密方案定义如下:
Decrypt 解析为u1,u2,u3,c,r),并且检查:
其中,u0=g。如果成功,则密文被验证的。如果不成功,则密文作为无效的被拒绝。假设有效,使用私钥sk经由以下公式对密文进行解密:
展现原始消息m。
上文定义了用于在DLIN下安全的CCA加密方案的有效构造。经由通常的博弈分析可以容易地演示出CCA安全,这对本领域技术人员是易见的,在此不需要再现。另外,以上方案相对于现有的CCA加密方案具有重要的优点。如先前所述,在计算一致性校验成分时,现有方案采用底层语义安全加密方案的诸如加密哈希函数、抗冲突哈希函数或者切分元素的技术。即使此类方案例如在秘钥和随机成分中使用代数群的元素,也可以通过将加密方案的元素从代数群中去除的方式来实现一致性校验。该底层结构的损失防止了先前所解释的一致性校验函数的输入与输出之间的关系的证明。相反,以上加密方案通过以不离开代数群的域(realm)的方式实现一致性校验从而保留了结构。具体地,以上系统中的一致性校验功能使用不同代数群之间的双线性映射,其中嵌入了语义安全的加密方案。因此,以上结构提供了结构保留的(structure-preserving)CCA加密方案,从而特定结构被构造为整个密文,这对于要求证明密文的特定性质同时保留高的私密等级的协议是重要的。特别地,该方案允许在不需要展现加密消息或者甚至任何密文成分的情况下对加密消息做出证明。由此,拥有通过该方案生成的密文的一方可以在不需要向认证方展现密文的情况下向认证方证明他拥有有效计算的密文。
该加密方案可以在需要向认证方做出关于秘密密文的证明的多种场景中使用。在这些场景中,可以在多个不同方的公钥下执行加密。例如,在一方需要在不向认证方展现密文本身的情况下向认证方证明他拥有有效密文的应用中,可以在该认证方信任的某些方的公钥下执行加密。下文将关于图1的简单数据处理系统描述此类场景的一个示例。在该场景中,所考虑的密文形成向用户发布的证书的一部分,用户继而希望使用该证书来获得对认证方提供的服务的访问权限。出于该场景的目的,图1中的一方P1表示证书发布者,一方P2表示用户,并且P3表示认证方。实现该方案的关键步骤在图3中表示。在该附图中,发布者、用户和认证方这三方执行的操作分别由左手列、中间列和右手列来表示。
在过程的步骤(a)中,由用户计算机3向发布者计算机2发送要发布的证书所用于的用户数据。针对该示例性场景,假设用户数据是用户标识(ID)数据。此处,发布者计算机2被用户和认证方二者所信任。在步骤(b)中,发布者2的加密逻辑5在确认用户ID的有效性(如有必要的话)之后,在与其自己的私钥sk相对应的公钥pk下加密表示ID数据的消息m(和要被包括在证书中的任何其他数据)。继而如上文详述的在步骤(c)中生成包括所产生的加密消息c的密文ct。该密文ct可以充当证书表示其自身的权利,或者可以形成由发布者2以任何方便的方式生成的证书的一部分。在任何情况下,包括密文ct的证书继而在步骤(d)中被返回至用户计算机3,并且存储在存储器9中。
在该场景中,用户3可以使用所接收的证书来获得对认证方4提供的服务的访问。作为用于访问服务的条件,用户必须证明拥有针对其ID数据的有效计算的密文ct。步骤(b)和步骤(c)中采用的结构保留加密方案允许在不向认证方展现密文ct的情况下这样做。在图3过程的步骤(e)中,用户3发送用于访问服务的请求。在步骤(f)中,在加密ID c和验证加密ID c的一致性成分v的知识的ZKP证明中,用户计算机3的控制逻辑8继而接合认证方计算机4的认证逻辑11。以这种方式,用户3证明拥有针对其ID数据的有效计算的密文。由于加密方案的结构保留性质,可以使用标准加密技术以通常所知的方式进行这种证明,并且适当的实现将对本领域技术人员易见。通过示例的方式,可以通过利用以下文献中描述的GrothSahai证明系统来进行ZKP证明:“Efficient Non-interactive Proof Systems forBilinear Groups”,Jens Groth,Amit Sahai,EUROCRYPT 2008:415-432。备选地,例如,可以使用例如在以下文献中描述的基于标准离散对数的证明来进行ZKP证明:“On thePortability of Generalized Schnorr Proofs”,Camenisch等人,Eurocrypt 2009,LNCS5479,425-442页,2009。此类ZKP证明不向认证方展现要被证明的信息之外的任何信息。加密方案的构造还允许要进行的附加零知识证明,特别是与密文中加密的消息m相关的证明。例如,可以在不展现消息本身的情况下证明消息具有特定性质。由此,例如,可以在零知识时,在不展现ID本身的情况下证明密文加密了有效的用户ID。根据在步骤(f)中是否由用户正确地做出证明并且由计算机4认证,继而在步骤(g)中,认证方4根据认证过程的结果来允许或者拒绝用户访问服务。
类似于图3的场景的特定示例是其中用户必须证明所谓的“抗泄漏(leakage-resilient)签名”的知识是作为密文的成分。然而,可以设想包括上文描述的基本原理的多个场景。在一些应用中,在信任第三方(TTP)的公钥下执行加密。还可以设想其中执行加密的一方还执行与所产生的密文相关的证明的应用。例如,在图1中,可以设想这样的场景,其中计算机2在某些公钥下加密消息之后可以向认证方4证明有效计算的密文的知识。此类场景的特定示例是其中在不展现消息的情况下两方联合计算器消息的机密。这形成了在申请人的参考CH9-2010-0085下在此同时提交的共同未决的欧洲专利申请(在此通过参考并入其内容)。
虽然上文已经描述了示例性实施方式,但是可以设想多种备选和修改。例如,虽然已经针对作为单个群元素的消息m的示出了详细构造,但是对本领域技术人员易见的是,该方案以直接的方式扩展至包括群元素的矢量的消息。类似地,方案简单地扩展至标签L是群元素的矢量的情况。而且,可以将来自空间{0,1}*哈希化为一个或多个群元素,所以通常,标签可以是与群元素相对应的任何位串。
可以设想对详细加密协议的各种修改。例如,可以采用多种不同的加密方案从明文消息m生成加密消息c。一致性成分v也可以按照不同的方式生成。在以上构想中,例如,一致性成分包括目标群GT的至少一个元素。这是特别有效的构想。然而,在备选构造中,一致性成分可以包括来自相应基群G1和G2的一个或多个元素对。在这种情况下,通过使用满足双线性映射的群元素对而在一致性成分中使用双线性映射,并且这可以在相应的认证过程中进行认证。这种类型的实现可以为不同场景下的使用提供较大的灵活性。此类实现的细节将对本领域技术人员易见。
虽然上文中简单的数据处理系统1用于示例性的目的,但是可以在包括通用计算机之外的处理设备(例如,移动电话、PDA(个人数字助理)、智能卡、读卡器等)的各种系统中实现具体化本发明的加密方案。在一些应用中,例如,加密用户数据的密文可以存储在智能卡(例如,存储用户ID数据的标识卡)上,并且在用于各种应用的证明协议中使用。
可以理解,在不脱离本发明的范围的情况下,可以对实施方式做出多种其他改变和修改。

Claims (14)

1.一种用于在数据处理系统(1)中在公钥下加密秘密数据的公钥加密方法,所述数据处理系统包括互相通信的发送者和接收者,所述方法包括:
在发送者一侧提供作为消息(m)的所述秘密数据,所述消息(m)包括满足双线性映射ê:G1x G2→GT的基群对G1,G2的至少一个元素,其中GT是目标群;
在发送者一侧使用所述公钥来加密所述消息(m),以产生加密消息(c);
在发送者一侧向所述加密消息(c)应用所述双线性映射来生成一致性成分(v),从而所述一致性成分(v)允许在不展现所述加密消息的情况下对所述加密消息的验证;
输出包括所述加密消息(c)和所述一致性成分(v)的密文(ct);
向所述接收者发送密文(ct),以便由所述接收者的解密逻辑执行:
确定所述一致性成分(v)对于密文(ct)中的所述加密消息(c)是否正确;以及
响应于确定所述一致性成分(v)对于密文(ct)中的所述加密消息(c)正确:
确认所述加密消息(c)有效;
解密所述加密消息(c)以获取所述秘密数据。
2.根据权利要求1所述的方法,其中,所述一致性成分(v)以使得允许在不展现所述一致性成分(v)的情况下能够对所述加密消息(c)进行验证的方式生成。
3.根据权利要求1或2所述的方法,其中,所述加密消息(c)包括所述基群对的至少一个元素。
4.根据权利要求1或2所述的方法,所述一致性成分(v)包括所述目标群的至少一个元素。
5.根据权利要求1或2所述的方法,其中,所述一致性成分(v)包括来自相应基群的至少一对元素。
6.根据权利要求1或2所述的方法,包括:生成随机成分,并且使用所述随机成分来生成所述一致性成分(v),其中,所述密文(ct)包括所述随机成分。
7.根据权利要求6所述的方法,其中,所述随机成分包括所述基群对的至少一个元素,并且其中,所述一致性成分(v)的生成包括向所述随机成分应用所述双线性映射。
8.根据权利要求1或2所述的方法,其中,所述一致性成分(v)以使得允许在不展现所述密文(ct)的情况下能够对所述加密消息(c)进行验证的方式生成。
9.根据权利要求1或2所述的方法,其中,所述消息(m)与对应于所述基群对的至少一个元素的标签相关联,所述方法包括使用与所述标签相对应的所述至少一个元素来生成所述一致性成分(v)。
10.根据权利要求9所述的方法,其中,所述一致性成分(v)的生成包括:向与所述标签相对应的所述至少一个元素应用所述双线性映射。
11.根据权利要求1或2所述的方法,包括:执行所述加密消息(c)的知识的加密证明,并且使用所述一致性成分(v)用于所述加密消息的验证。
12.一种用于提供密文的知识的方法,所述方法包括:
接收通过权利要求1至10中任一项所述的方法所产生的密文(ct);以及
执行所述加密消息(c)的知识的加密证明,并且使用所述一致性成分(v)用于所述加密消息的验证。
13.根据权利要求12所述的方法,包括:执行所述加密消息(c)和验证所述加密消息的一致性成分(v)二者的知识的加密证明。
14.一种用于在公钥下加密秘密数据的装置(2),所述装置包括:用于将所述秘密数据存储为消息(m)的存储器(6),所述消息(m)包括满足双线性映射ê:G1x G2→GT的基群对G1,G2的至少一个元素,其中GT是目标群;以及,控制逻辑(5),适于:
使用所述公钥来加密所述消息(m)以产生加密消息(c);
向所述加密消息(c)应用所述双线性映射来生成一致性成分(v),从而所述一致性成分(v)允许在不展现所述加密消息的情况下对所述加密消息的验证;以及
输出包括所述加密消息(c)和所述一致性成分(v)的密文(ct);
发送所述密文(ct),以便由解密逻辑执行:
确定所述一致性成分(v)对于密文(ct)中的所述加密消息(c)是否正确;以及
响应于确定所述一致性成分(v)对于密文(ct)中的所述加密消息(c)正确:
确认所述加密消息(c)有效;
密所述加密消息(c)以获取所述秘密数据。
CN201280018931.3A 2011-04-29 2012-04-13 数据加密 Expired - Fee Related CN103493428B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP11164311.0 2011-04-29
EP11164311 2011-04-29
PCT/IB2012/051809 WO2012147001A1 (en) 2011-04-29 2012-04-13 Data encryption

Publications (2)

Publication Number Publication Date
CN103493428A CN103493428A (zh) 2014-01-01
CN103493428B true CN103493428B (zh) 2017-04-05

Family

ID=47071651

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280018931.3A Expired - Fee Related CN103493428B (zh) 2011-04-29 2012-04-13 数据加密

Country Status (7)

Country Link
US (1) US9544144B2 (zh)
JP (1) JP6041864B2 (zh)
CN (1) CN103493428B (zh)
CA (1) CA2819211C (zh)
DE (1) DE112012000971B4 (zh)
GB (1) GB2500557B (zh)
WO (1) WO2012147001A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2860904A1 (en) * 2013-10-08 2015-04-15 Thomson Licensing Method for signing a set of binary elements, and updating such signature, corresponding electronic device and computer program product
EP3089398B1 (en) * 2015-04-30 2017-10-11 Nxp B.V. Securing a cryptographic device
CN106546942B (zh) * 2015-09-17 2023-03-21 广东电网有限责任公司电力科学研究院 一种电能计量设备一致性的加密检测方法
FR3063365B1 (fr) * 2017-02-27 2019-04-05 Jacques GASCUEL Systeme d'authentification a cle segmentee
US11032068B2 (en) * 2018-06-29 2021-06-08 International Business Machines Corporation Leakage-deterring encryption for message communication
CN109614820A (zh) * 2018-12-06 2019-04-12 山东大学 基于零知识证明的智能合约认证数据隐私保护方法
US11272363B2 (en) * 2020-03-25 2022-03-08 Nxp B.V. Authentication method in a communication system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101101675A (zh) * 2006-07-03 2008-01-09 上海交通大学 电子门票认证方法和系统

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020049601A1 (en) * 1998-10-28 2002-04-25 Nadarajah Asokan Optimistic fair exchange protocols
ATE465571T1 (de) * 2001-08-13 2010-05-15 Univ Leland Stanford Junior Systeme und verfahren zur verschlüsselung auf identitätsbasis und damit zusammenhängende kryptografische techniken
JP4574957B2 (ja) * 2002-05-30 2010-11-04 株式会社東芝 グループ管理機関装置、利用者装置、サービス提供者装置及びプログラム
US8024574B2 (en) * 2004-01-22 2011-09-20 International Business Machines Corporation Unidirectional message masking and validation system and method
JP2008058944A (ja) * 2006-07-31 2008-03-13 Hitachi Ltd 暗号通信方法、受信者側装置、鍵管理センタ側装置及びプログラム
WO2008127428A2 (en) * 2006-11-17 2008-10-23 The Regents Of The University Of California Efficient non-interactive proof systems for bilinear groups
US20090327141A1 (en) * 2007-04-18 2009-12-31 Rabin Michael O Highly efficient secrecy-preserving proofs of correctness of computation
US20090080658A1 (en) * 2007-07-13 2009-03-26 Brent Waters Method and apparatus for encrypting data for fine-grained access control
US8281151B2 (en) * 2008-04-09 2012-10-02 Hewlett-Packard Development Company L. P. Auditor assisted extraction and verification of client data returned from a storage provided while hiding client data from the auditor
US8281131B2 (en) * 2008-08-28 2012-10-02 International Business Machines Corporation Attributes in cryptographic credentials
JP5314449B2 (ja) * 2009-02-12 2013-10-16 日本電信電話株式会社 電子署名検証システム、電子署名装置、検証装置、電子署名検証方法、電子署名方法、検証方法、電子署名プログラム、検証プログラム
JP5330858B2 (ja) * 2009-02-26 2013-10-30 日本電信電話株式会社 署名検証システム、署名検証方法、ブラインド署名生成方法、利用者装置、及びブラインド署名生成プログラム
US8681986B2 (en) * 2011-05-25 2014-03-25 International Business Machines Corporation Single-round password-based key exchange protocols
CN102811211A (zh) * 2011-05-30 2012-12-05 索尼公司 支持登录验证的设备和进行登录验证的方法
US20140281491A1 (en) * 2013-03-15 2014-09-18 Microsoft Corporation Identity escrow management for minimal disclosure credentials

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101101675A (zh) * 2006-07-03 2008-01-09 上海交通大学 电子门票认证方法和系统

Also Published As

Publication number Publication date
GB201313272D0 (en) 2013-09-11
JP2014515125A (ja) 2014-06-26
CN103493428A (zh) 2014-01-01
CA2819211A1 (en) 2012-11-01
DE112012000971B4 (de) 2014-06-26
CA2819211C (en) 2020-12-08
DE112012000971T5 (de) 2014-02-06
WO2012147001A1 (en) 2012-11-01
GB2500557B (en) 2015-02-25
GB2500557A (en) 2013-09-25
US9544144B2 (en) 2017-01-10
US20140082361A1 (en) 2014-03-20
JP6041864B2 (ja) 2016-12-14

Similar Documents

Publication Publication Date Title
US10659223B2 (en) Secure multiparty loss resistant storage and transfer of cryptographic keys for blockchain based systems in conjunction with a wallet management system
US8661240B2 (en) Joint encryption of data
US6298153B1 (en) Digital signature method and information communication system and apparatus using such method
CN103493428B (zh) 数据加密
EP4046325B1 (en) Digital signature generation using a cold wallet
CN102780698A (zh) 物联网平台中用户终端安全通信的方法
CN103155481A (zh) 具有消息恢复的数字签名的认证加密
US7424114B2 (en) Method for enhancing security of public key encryption schemas
CN113079177B (zh) 一种基于时间及解密次数限制的遥感数据共享方法
Shankar et al. Improved Multisignature Scheme for Authenticity of Digital Document in Digital Forensics Using Edward‐Curve Digital Signature Algorithm
Pu et al. Post quantum fuzzy stealth signatures and applications
Tsai et al. Multi‐document threshold signcryption scheme
CN106230840A (zh) 一种高安全性的口令认证方法
Dowlatshah et al. A secure and robust smart card-based remote user authentication scheme
CN116743358A (zh) 一种可否认的多接收者认证方法及系统
Basu et al. Secured hierarchical secret sharing using ECC based signcryption
Feng et al. A DRM system protecting consumer privacy
Hasan et al. " Online Transaction Security Enhancement": An Algorithm Based on Cryptography
TWI248744B (en) Multisignature scheme with message recovery for group authorization in mobile networks
JP3862397B2 (ja) 情報通信システム
CN110572256B (zh) 基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法和系统
Das A hybrid algorithm for secure cloud computing
Yue et al. MBCT: A Monero-Based Covert Transmission Approach with On-chain Dynamic Session Key Negotiation
Pikulkaew et al. Improving efficiency in privacy-preserving Automated Trust Negotiation with conjunctive policies
Milgo A secure unidirectional proxy re-encryption using identity and secret key exchange

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20170405

CF01 Termination of patent right due to non-payment of annual fee