多PKG环境下基于身份签密方案.docVIP

第四章 多接收者签密方案 本章主要对李等的方案[37]进行分析。回顾他们的方案，然后针对该方案给出了具体的攻击方法，指出该方案并不具备必威体育官网网址性。 4.1 对李等签密的回顾 李等的签密包括： 系统建立(KeyGen)： 该算法输入秘密正整数, PKG（私钥生成中心）执行如下选择： (1)选择一个阶为的加法群 和一个乘法群 ， 是的生成元； (2)双线性映射； (3)随机选，计算 ； (4)选择四个Hash函数：，，， ( 表示明文的比特长度)。 最后，输出 ，秘密持有。 私钥提取(Extract)： 该算法输入系统参数， 和用户的身份，PKG执行计算如下： (1) 的公钥 ； (2) 的私钥 。 签密(Signcrypt)： 若发送者的身份为，他打算将消息签密后再发送给个不同的接收者，接收者的身份分别为,则发送者执行以下计算步骤： (1) 加密(Encrypt): a) 发送者随机选择一个整数和整数； b) 计算，以及； c) 对于每一个身份，分别计算和（其中），得到以下个元组： ，然后根据这个元组构造拉格朗日函数 使其满足是的根； d)对于，计算 （其中）； e)对于，计算。 (2) 签名(Sign)： 计算，以及（其中与分别为发送者的私钥和公钥）。 最后，得到的签密密文为。 解签密(Unsigncrypt)： 每一个接收者在接收到密文之后，使用其私钥按照如下步骤解密密文： (1) 计算()，验证等式，若成立执行如下解密，否则输出拒绝； (2) 计算； (3) 计算； (4) 计算 以恢复明文消息。 4.2 攻击方法 在这一部分当中，我们将给出一个对李等（基于身份的）改进的多接收者签密方案的具体攻击。存在下述敌手，能以不可忽略的优势赢得IND-sMIBSC-CCA游戏。因此，这也就意味着其方案不能满足IND-sMIBSC-CCA安全。 初始化(Initial)： 运行KeyGen算法以产生主密钥和系统参数，然后将系统参数发送给，并秘密持有。收到后，输出个目标身份。 查询阶段1(Query_phase1)： 在此阶段中不进行任何查询，包括：私钥提取查询(Extract_queries)， 签密查询(Signcrypt_queries)以及解签密查询(Unigncrypt_queries)。 挑战阶段(Challenge)： 选择等长明文和任意私钥。然后随机选择一个比特以计算挑战密文，并发送挑战密文给。 查询阶段2(Query_phase2): 在Query_phase2仅解签密查询。 按照如下计算步骤构造一则新的签密密文： (1) 恢复出； (2) 随机选择一个整数，然后构造出； (3)计算新的Hash值； (4)计算新的。 这里需要注意的是：利用上述计算构造出的是针对于挑战明文的新的签密密文，并且该密文能够通过合法性检查 。因为当前从密文中被恢复出来的值正是由敌手在(2)这一步骤中构造出的： 至此，敌手对密文进行解签密查询。 ，因此该解签密询问是合法的。敌手 能够获得对应的明文，也即挑战明文。 猜测(Guess)： 输出对值的猜测。 因为能够获得对应于密文的明文，因此，通过与的比较， 能够以不可忽略的优势猜测出的值。最终，能够以不可忽略的优势赢得IND-sMIBSC-CCA游戏。也就是说，他们的方案并不能满足他们所声称的IND-sMIBSC-CCA安全性。 第五章 多PKG环境下基于身份签密方案 本章主要对赵等的方案[38]进行分析。回顾他们的方案，然后针对该方案给出了具体的攻击方法，指出该方案并不具备必威体育官网网址性。 5.1 对赵等签密的回顾 赵等的签密包括： 全局建立(G-Setup)： 选择素数阶群和。是双线性对。是的生成元。选定随机元素，另外，选择群中的元素和长度分别为和的向量和，向量中的各个元素均为群中的随机元素。和为密码学意义上的Hash函数，定义（表示明文消息的长度）。定义。 全局系统参数为： 域建立(D-Setup)： 每个选择一个随机元素，并计算它们的域公钥和对应的主密钥。 私钥提取(Extract)： 表示身份的字符串。是其长度。是的第比特。是的位的集合。为了构造和身份相关的私钥，随机选择一个整数，然后计算： 设签密者Alice为中的注册用户，身份为，接受者Bob为中的注册用户，身份为。那么他们的私钥分别由和来生成： 签密算法(Signcrypt)： 为了发送待签密消息给Bob，Alice选择随机整数，然后执行以下步骤： (1) 计算，其中为的域公钥，计算； (2) 计算； (3) 计算； (