Page 270 - 《软件学报》2021年第10期

P. 270

3242 Journal of Software 软件学报 Vol.32, No.10, October 2021

息 State,然后生成 Nl 腐败用户的公私钥对,并输出接收方公钥 PK R ;在猜测阶段,挑战者基于随机比特 b,生成挑
*
战消息 M ,并计算挑战签密 C *  ( ,...,c 1 * c * N ). 当 attk=CCA2 时,A 可以继续进行 MSC()、RO()和 DSC()询问,但不
*
能询问 C 的知识,最后输出一个猜测的比特 b;当 attk=CPA 时,A 直接输出一个猜测的比特 b.
-
-
我们定义敌手 A 的优势为 Adv M  N -MRattk () | Pr[k  attkExp M  N -MR , A -attk -0 ( )k  0] Pr[attkExp M  N -MRattk -1 ( )k  0]. 如果敌手 A
,A
, A
NMR
-
的优势 Adv M  ,A -CCA 2 ()k 是可以忽略的,则称该 PRRU-MM-MR 签密方案 M是抗自适应选择密文攻击不可区分
-
NMR
(IND-CCA2)安全的;如果敌手 A 的优势 Adv M  ,A -CPA ()k 是可以忽略的,则称该 PRRU-MM-MR 签密方案 M是抗
选择明文攻击不可区分(IND-CPA)安全的.
定义 7(PRRU-IND-CPA 和 PRRU-IND-CCA2 安全的签密) [14] . 给定一个语义安全的签密方案=(Gen,
Kgen,SC,DSC),设 M=(Gen,Kgen,MSC,DSC)是对应的 PRRU-MM-MR 签密方案,如果 M是 IND-CPA 或 IND-
CCA2 安全的,那么我们称是 PRRU-IND-CPA 或 PRRU-IND-CCA2 安全的签密方案.
定义 8(不可伪造安全性) [14] . 对于多接收方签密来说,不可伪造性是指任意敌手无法伪造一个合法的签密
文.与外部敌手相比,通常内部敌手具有更多的优势来伪造一个签密文,如果他能够伪造一个发送方的签名,那
么他就能伪造一个发送方的合法签密.如果一个签密方案是抗内部攻击者不可伪造性安全的,那么该方案也是
抗外部攻击者不可伪造性安全的.鉴于此,我们考虑的安全模型包括内部敌手.
对于给定的 PRRU-MM-MR 签密方案 M=(Gen,Kgen,MSC,DSC),设 k 为安全参数,接收方个数为自然数
N=n(k),对于任意多项式时间伪造者 F,考虑以下 ForgeExp 实验.
-
NMR
 ForgeExp M  ,F -CMA ().k
(1) parm Rnd Gen(k),(State)F(select,N,parm);
(2) (pk S ,sk S ) Rnd Kgen(parm);
),
(3) 对于 i=1,2,…,N,计算 (pk ,sk )  Kgen (parm 令 PK  (pk ,..., pk ),SK  (sk ,...,sk );
i R i R Rnd R 1 R R N R 1 R R N
,
(4) 输出一对伪造签密文(m i ,c i )F SC(),RO() (pk S ,PK R ,SK R ),其中,i(1,2,…,N).若满足 DSC RO () (,c pk sk i R ) 
S
i
m i 且没有向签密预言机 MSC()询问过 m i 的签密,则返回 1;否则,返回 0.
上述实验过程中,F 是一个自适应的伪造者,在选择(select)阶段,F 被给定系统参数 parm 和输出状态信息
State;在伪造阶段,F 可以向签密预言机 MSC()、随机预言机 RO()询问,随后输出某个接收方的消息 m i 以及相
应的伪造签密文 c i ,如果该签密文是消息 m i 的合法签密文,且没有以 m i 向签密预言机询问过知识,则 F 赢得伪造
实验.
我们定义伪造者 F 的优势为 Adv N M  -MR ,F -CMA ( )k  max{Pr[ForgeExp M  N -MR ,F -CMA ( ) 1]}.k 
-
NMR
如果任意敌手 A 的优势 Adv M  ,F -CMA ()k 是可以忽略的,则称该 PRRU-MM-MR 签密方案 M是一个抗自适应
内部选择消息攻击不可伪造(euf-CMA)性安全的签密方案.
定义 9(PRRU-euf-CMA 安全的签密) [15] . 给定一个语义安全的签密方案=(Gen,Kgen,SC,DSC),设 M=
(Gen,Kgen,MSC,DSC)是对应的 PRRU-MM-MR 签密方案,如果 M是 euf-CMA 安全的,那么我们称是 PRRU-
euf-CMA 安全的签密方案.
3 安全随机数部分重用条件

在给多个接收方发送不同的消息时,我们需要多次运行标准密码方案,如果在多次运行标准密码方案的过
程中使用相同的随机数(重用随机数),就可以有效地节约系统开销(例如图 1 描述的情况).然而,如果标准的密码
方案中的随机数在解密算法中被接收方解密,那么一个接收方就可以知道其他接收方密码方案中的随机数.众
所周知,随机数对方案的安全性至关重要,在考虑内部敌手的情况下,此时其他接收方的消息就不再安全.那么,
满足什么条件的标准密码方案中的随机数可以重用呢?
[8]
2007 年,Bellare 提出了可再生的加密方案概念,指出,一个标准的加密方案可安全地随机数重用的充分条
件为方案是可再生的.给出并证明了随机数重用可再生性定理.随后,韩益亮等人将它推广到签密的场景.然而,

265 266 267 268 269 270 271 272 273 274 275