Page 268 - 《软件学报》2021年第10期

P. 268

3240 Journal of Software 软件学报 Vol.32, No.10, October 2021

(1) parm Rnd Gen(k),(State)A(select,parm);
(2) (pk S ,sk S )(pk R ,sk R ) Rnd Kgen(parm);
(3) 若 attk=CCA2,(m 0 ,m 1 ,State)A SC(),RO(),DSC() (Find,State),(|m 0 |=|m 1 |);若 attk=CPA,(m 0 ,m 1 ,State)A SC(),RO()
(Find,State),(|m 0 |=|m 1 |);
*
(4) b Rnd {0,1},c  Rnd SC(sk S ,pk R ,m b );
*
*
(5) 如果 attk=CCA2,bA SC(),RO(),DSC() (Guess,c ,State),要求不能再询问 c 的知识,返回 b;如果 attk=CPA,
返回 b.
上述实验过程中,设 k 为安全参数,A 是一个自适应的三阶敌手,在选择(select)阶段,A 被给定系统参数,输出
状态信息 State;在发现阶段,A 可以向签密预言机 SC()、随机预言机 RO()询问(本文安全性定义都是在随机预
言机模型下的,如果在标准模型下,则无 RO()),如果 attk=CCA2,A 还可以向解签密预言机 DSC()询问,随后输出
两个等长的消息(m 0 ,m 1 )以及状态信息 State;在猜测阶段,随机选择一个比特 b,计算并输出消息 m b 的挑战签密
*
*
c .当 attk=CCA2 时,A 可以继续进行 SC()、RO()和 DSC()询问,但是不能询问 c 的知识,最后输出一个猜测的比
特 b.当 attk=CPA 时,限制 A 不可以进行 DSC()询问,直接输出一个猜测的比特 b.
我们定义敌手 A 的优势为 Adv attk ,A () | Pr[k  attkExp attk , A -0 ()k  0] Pr[attkExp  attk , A -1 ( )k  0]| .如果敌手 A 的优势


CCA
Adv  ,A 2 ()k 是可以忽略的,则称是一个抗自适应选择密文攻击不可区分(IND-CCA2)安全的签密方案;如果敌
手 A 的优势 Adv CPA ()k 是可以忽略的,则称是一个抗选择明文攻击不可区分(IND-CPA)安全的签密方案.

, A
定义 3(不可伪造安全性) [14] . 给定一个签密方案=(Gen,Kgen,SC,DSC),对于任意多项式时间伪造者 F,考虑
以下选择消息攻击(CMA)伪造实验 ForgeExp.
CMA
 ForgeExp  ,F ()k
(1) parm Rnd Gen(k),(State)F(select,parm);
(2) (pk S ,sk S )(pk R ,sk R ) Rnd Kgen(parm);
(3) (m,c)F SC(),RO() (pk S ,pk R ,sk R ).如果满足 DSC RO() (c,pk S ,sk R )=m 且没有向签密预言机 SC()询问过 m 的签
密,则返回 1;否则,返回 0.
上述实验过程中,设 k 为安全参数,F 是一个自适应的伪造者,在选择(select)阶段(1)和阶段(2),F 被给定系统
参数,输出状态信息 State;在伪造阶段(3),A 可以适应性地向签密预言机 SC()与随机预言机 RO()询问,并获得应
答.随后输出一个消息 m 以及相应的伪造签密文 c,如果该签密文是消息 m 的合法签密文,且没有以 m 询问过签
密预言机的消息,则 F 赢得伪造实验.
CMA
我们定义伪造者 F 的优势为 Adv  CMA ( )k  max{Pr[ForgeExp  CMA ( ) 1]}.k  如果任意敌手 F 的优势 Adv  ,F ()k 是
,F
,F
可以忽略的,则称是一个抗选择消息攻击不可伪造性(euf-CMA)安全的签密方案.
2.3 多接收方签密方案
定义 4(多接收方签密方案). 一个语义安全的多接收方签密方案 M=(Gen,Kgen,MSC,DSC)是一个四元组:
参数生成算法 Gen、密钥生成算法 Kgen 和解签密算法 DSC 与上述定义 1 的标准签密方案相同;MSC 是随机化
的多接收方签密算法,输入发送方私钥 sk S ,接收方公钥向量 PK  (pk , pk ,..., pk ), 明文向量 M=(m 1 ,m 2 ,…,
R 1 R R 2 R N
m N ),随机数集合 r Rnd Coins MSC (parm,sk S ,PK R ),输出签密文向量 C=(c 1 ,c 2 ,…,c N )=MSC(M,sk S ,PK R ,r),Coins MSC
(parm,sk S ,PK R )表示多接收方签密算法 MSC 按照具体要求选取算法所需的随机数.设系统参数 parm,Mspc
(parm)表示明文向量 M 所有分量 m i (1≤i≤N)的消息空间,要求对于所有满足 m i Mspc(parm)的明文向量 M,下
面的过程以概率 1 返回结果 1.
(1) 计算(pk S ,sk S ) Rnd Kgen(parm);
(2) 对于 i=1,2,…,N,计算 (pk ,sk )  Kgen (parm
);
i R i R Rnd
(3) 计算 C=(c 1 ,c 2 ,…,c N )=MSC(M,sk S ,PK R ,r);

263 264 265 266 267 268 269 270 271 272 273