Page 269 - 《软件学报》2021年第10期

P. 269

刘镇等:安全随机数部分重用及在多接收方签密的应用 3241

(4) 随机选择 j(1,2,…,N),如果 DSC sk j ()c  m j , 返回 1;否则,返回 0.
j
本文主要的研究对象为随机数重用的多接收方签密,我们定义如下.
定义 5(随机数重用的多接收方签密). 对于给定一个定义 1 的标准语义安全签密方案=(Gen,Kgen,SC,
DSC),设签密算法 SC 中包含 w 个随机数,M=(Gen,Kgen,MSC,DSC)是定义 4 描述的所对应的多接收方签密方
案,定义随机数重用的多接收方签密算法 MSC 如下.
(1) r  (, ,..., )r r 2 r  d Rnd CoinsRu SC ( parm sk S );
,
1
(2) 对 i=1,2,…,N,选择 r   i R (r (d  1) i ,r (d  2) i ,...,r i w )  Rnd CoinsNRu SC (parm sk pk i R ), 令 r  (, ,..., ,r r 2 r r (d  1)i ,
,
,
S
i R
d
1
…, r i w ), 计算 c  SC (sk pk i R ,m r i R );
,
,
S
i
i
(3) 返回 C=(c 1 ,c 2 ,…,c N ).
如果 d=w,则称 M为随机数全重用的多消息多接收方签密方案(all randomness reuse for multi messages to
multi receivers,简称 ARRU-MM-MR);如果 d=0,则称 M为非随机数重用的多消息多接收方签密方案(non
randomness reuse for multi messages to multi receivers,简称 NRRU-MM-MR);否则,称 M为随机数部分重用的多
消息多接收方签密方案(partial randomness reuse for multi messages to multi receivers,简称 PRRU-MM-MR).
对于 SM-MR 签密,所有接收方收到的消息都是相同的,信息的泄露主要针对外部敌手,通常不考虑内部攻
击.而对于 MM-MR 签密,由于每个接收方收到的消息都不相同,信息的泄露可能会是内部敌手,任何想得到其他
接收方消息的接收方都可能是潜在敌手.因此,在定义保密性安全时,我们借鉴了文献[8,14]的攻击模型,考虑了
内部敌手,他可以腐败部分其他接收方,除了自己的密钥外,还拥有其他部分接收方的密钥.
定义 6(保密安全性) [14] . 给定一个 PRRU-MM-MR 签密方案 M=(Gen,Kgen,MSC,DSC),设 k 为安全参数,
接收方个数为自然数 N=n(k),l(1≤l≤N)为正整数,attk={CPA,CCA2},对于任意多项式时间敌手 A,考虑以下
attkExp 实验.
-
 attkExp NMR ,A -attk -b ().k
M 
l
(1) parm Rnd Gen(k),(1 ,State)A(select,N,parm);
(2) (pk S ,sk S ) Rnd Kgen(parm);
);
(3) 对 i=1,2,…,N,计算 (pk ,sk )  Kgen (parm
i R i R Rnd
1

,
(4) 当 attk=CCA2 时,计算 (MM M ,CoinsKgen ,State  A MSC ( ),RO ( ),DSC （） ,...,DSC l ( ) (Find pk ,..., pk ,State );
,
)
,
0 1 1 R l R
,
,
),
)
,
当 attk=CPA 时,计算 (MM M ,CoinsKgen ,State  A MSC (),RO ( ) (Find pk ,..., pk ,State 其中,
0 1 1 R l R
l
((M 0 ,M 1 )Mspc (parm),M=(m l+1 ,…,m N )Mspc Nl (parm),CoinsKgen=(CoinsKgen l+1 ,CoinsKgen l+2 ,…,CoinsKgen N ));
(5) 对 i=l+1,…,N,计算 (pk i R ,sk i R )  Kgen (parm ,CoinsKgen i );
(6) 令 PK R  (pk 1 R ,..., pk l R , pk l R 1  ,..., pk R N ),M *  (m 1 * ,...,m * N )  (m 1 b ,...,m m l 1 ,...,m N );
,
l b
(7) r  (, ,..., )r r 2 r  d Rnd CoinsRu SC ( parm sk S );
,
1
(8) 对 i=1,2,…,N,选择 r   i R (r (d  1) i ,r (d  2) i ,...,r i w )  Rnd CoinsNRu SC (parm sk pk i R ), 令 r  ( , ,..., ,r r 2 r r (d  1)i ,...,
,
,
d
1
S
i R
*
*
r i w ), 计算 c  SC (sk pk i R ,m r i R );
,
,
S
i
i
1

*
(9) 令 C *  ( ,...,c 1 * c * N ), 当 attk=CCA2 时, b  A MSC ( ),RO ( ),DSC （） ,...,DSC l ( ) (Guess ,C * ,State (要求不能询问 C 的有
)
*
关知识);当 attk=CPA 时,bA(Guess,C ,State);
(10) 返回 b.
上述实验过程中,设 A 是一个自适应的三阶敌手,已腐败 Nl 个接收方.不失一般性,设 l 个未腐的接收方为
R 1 ,…,R l .在选择(select)阶段,A 被给定系统参数 parm、用户数 N、输出腐败用户数 l(1≤l≤N)以及状态信息 State;
在发现阶段,A 被给定系统参数 parm、状态信息 State、l 个未腐败用户的公钥 pk 1 R ,..., pk l R , 可以向签密预言机
MSC()、随机预言机 RO()询问,如果 attk=CCA2,还可以向解签密预言机 DSC()询问,随后输出两个等长的 N 维
向量消息(M 0 ,M 1 )、一个 Nl 维向量消息 M、Nl 维的密钥生成算法所需的随机数向量 CoinsKgen 以及状态信

264 265 266 267 268 269 270 271 272 273 274