基于有扰认证信道的信息理论安全密钥协商.pdf

Ab s t r a c tI n f o r ma t i o n - t h e o r e t i c a l l y s e c u r e s e c r e t - k e y a g r e e m e n t i s t h e k e y t o m a k e p e r f e c ts e c u r i t y . T h e m o d e l s o f u n c o n d i t i o n a l s e c u r i t y fr o m q u a n t u m c h a n n e l s a n d n o i s yc h a n n e l s a r e t w o t y p i c a l m e t h o d s n o w . O n c e t h e s e c r e t - k e y h a s b e e n a g r e e d o v e r ap u b l i c c h a n n e l , o n e c a n u s e t h e k e y t o e n c r y p t m e s s a g e s b y u s i n g o n e t i m e p a d .T h e ma i n wo r k i n t h i s t h e s i s i s a s f o l l o ws :1 ) A n e w i n f o r m a t i o n - t h e o r e t i c a l l y s e u r e c h a n n e l m o d e l i s p r o p o s e d . I n t h e n e wm o d e l , t h e l e g i t i m a t e p a rt n e r s c a n c o n t r o l t h e e r r o r b i t r a t e o f t h e e a v e s d r o p p e r ' sc h a n n e l b y a d j u s t i n g t h e i r v i rt u a l b i n a ry s y m m e t r i c c h a n n e l s . Wh e n o u r n e w m o d e li s i m p l e m e n t e d , t h e p r o b l e m o f r e c e i v i n g s y n c h r o n i z a t i o n o f t h e p a rt n e r s w i l l n o toc cur .2 ) A n e w i n f o r m a t i o n r e c o n c i l i a t i o n p r o t c o l i s p r e s e n t e d . T h e e f f i c i e n c y o f o u r n e wp r o t o c o l i s m u c h h i g h e r t h a n t h o s e o f a l l k n o w n i n f o r m a t i o n r e c o n c i l i a t i o np r o t o c o l s e v e n u n d e r t h e w o r s t c a s e , a n d s i m u lt a n e o u s l y , i t s i n f o r m a t io n l e a k a g e i sr e l a t i v e l y s m a l l .K e y w o r d : I n f o r m a t i o n - t h e o r e t i c s e c u r i tyN o i s y a u t h e n t i c c h a n n e lS e c r e t - k e y a g r e e m e n tI n f o r ma t i o n r e c o n c i l i a t i o n独创性声明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的 研究成果。

尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其它人己经发表或撰写过的研究成果;也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明 确的说 明并表示了谢意申请学位论文与资料之处，本人承担一切相关责任本人签名:工4 葬日 期 2 ' !关于论文使用授权的说明本人完全了解西安电子科技大学有关保留和使用学位论文的规定， 即: 研究生 在校攻读学位期间论文工作的知识产权单位属西安电 子科技大学本人保证毕业 离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学学 校有权保留送交论文的复印件，允许查阅和借阅论文;学校可以公布论文中的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文 〔 保密的论文在解密后遵守此规定)本人签名:导师签名:日 期M衫 c 独4日 期a c o 4 } I 几 $ a第一章 引 言第一章 引 言本章首先阐述密 码学的发展历史以及密 码学的分类，而后我们重点讨论与无 条件安全即信息理论安全有关的几对概念，如计算上安全与信息理论安全，以及密码体制的可证明安全性与无条件安全性.1 . 1密码学概述密码学是一门古老的学问， 在古代就被广泛地用于军事上，而且在密码编码 和密码分析上的优势有时候是取得战争胜利的关键因素。

在新技术高速发展的当 今社会，信息安全已经与人们的日 常生活紧密的联系在一起在信息的传输与处理的过程中，有关如何保护信息使之不被非法窃取或篡改.亦即信息的认证与保 密问 题，自 然成为人们关注的问题 密码学的应用已经渗透到了社会的各个领域， 如对计算机用户的认证、数据加密、网络安全、安全选举、不可追踪的电子现金等直到1 9 4 9 年， S h a n n o n 发表了一 篇划时代的论文 《 保密系统的通信理论》 1 1 1 密码学才真正成为一门 科学 在这篇文章中， S h a n n o n 首次用概率统计的观点 对信 息源、 密钥源、 接收和截获的密文进行数学描述和定量分析， 提出了如图1 . 1 所示 的通用的保密通信系统模型在本论文中，我们总是假定通信的发方是A l ic e ，收方是B o b , E v e 为窃听方 ( 可能是主动的窃听也可能是被动的窃听)E v eAl i c e明文Bo b密文密钥源图1 . 1 S h a n n o n 的 保 密 通 信 系 统 模型通信双方A l i c e 和B o b 共享一个秘密钥. 若发送方A l i c e 想秘密地给接收 方B o b 一个明文信息，她利用秘密钥通过一定的加密规则将明文加密为密文后传给B o b , B o b利用所掌握的密钥信息恢复出明文。

自 然，窃听者 E v e也可能会获得该密文信息，但由 于他不知A l i c e 和B o b 间的共享密钥，因而E v e 无法重构明文1 9 7 6 年W. D i ff i e 与M . E . H e l l m a n 发表的开 创性的 论文《 密 码学的 新方向 》 12 1基于有扰认证信道的信息理论安全密钥协商以及 1 9 7 7 年美国公布实施的 《 数据加密标准 ( D E S )》又把密码学的发展推向了一个崭新的阶段 W. D i f fi e 与M. E . H e l l m a n 在他们的论文中首次提出公钥密码体制( p u b l i c k e y c r y p t o s y s t e m ) 的 概念， 虽然他 们并没 有构造出 一个具体的公 钥体制， 但是他们基于有限域上的离散对数困难问题构造了一个非对称的密钥交换协议 在公 钥 密码体制的 概念提出 后不久， 基于大 整数分解问 题的R S A公钥体制[[3 1 和基 于子集和问 题的M e r k l e - H e l l m a n背包公 钥体 制[a 1 相继被提出.公 钥密码体制 在现在己经有很大发展，公钥体制的安全性有了多种定义，而且公钥密码体制的种类 也 有所增加。

比 如基于有限 域上离散 对数困 难问 题的E l G a m a l 公 钥密码体制[5 1 ， 基 于椭圆曲 线上的离散对数困难问题的椭圆曲 线密码体制[C 4 ， 基于有限 域的乘法群子 群的 迹表示的X T R密码体制 [ 7 l ( 其安全性也是 基于 有限 域上离散对数困 难问 题) ， 基 于 格 (( la tt ic e ) 中 困 难问 题的 密 码 体 制A j ta i - D w o r k l' l, G G H l9 1和N T R U l 1o 1 ， 以 及 基 于 辫 群(( b r a id g ro u p ) 的 公 钥 体 制 t i ll等. 公 钥 密 码 学 在 文 献 〔 1 2 1 有 详 尽 而 生 动 的 讲 解密码学的其他分支也有很大的发展，如高级加密标准A E S的设立等可以在 参考 文献【 1 3 1 中 找到 流密码和分组密 码的 最新进展流密码与分组密码加解密使用的密钥相同或者解密密钥很容易从加密密钥导出，因此流密码与分组密码统称为单钥密码、对称密码或者私钥密码;与之相对应，公钥密码体制也称为双钥密码或者非对称密码.各种密码体制的设计构成了 密码编码学的内容，各种密码体制的分析则属于密码分析学研究的内容.密码编码总是想设计出更为安全的密码体制来，而密码分析学总是试图证明密码体制是 不安全的甚至破解密码体制，密码编码学和密码分析学的发展是一个此消彼涨的 过程。

比 如， 第一个背包体制 [a 1 刚设计出 来不久， 就被S h a m i 尹 a } 使用整数规划的 方法破解掉了，随后各种各样的能够抵抗S h a m i r 攻击的背包体制相继被提出，然 而 更为有力的 攻击工具 — L 3 格基规 约算 法[[ 1 5 1 也被找到了， 而口格基规约算法对乘性背包无能为力[1 6 , 1 7 1密码学其他方面比如数字签名、零知识证明等的发展历史可以参阅文献[ 1 8 , 1 9 1 .1 . 2计算上安全与信息理论安全密码体制的设计是实现认证和保密通信的核心部分，因此，所使用的密码体 制本身的安全性也势必对整个系统的安全产生重大影响我们在讨论一个密码体制的安全性时总是要考虑到一定的时效性以及敌人的计算能力和计算资源，如果 设计的和使用的密码体制可以确保在规定的时间 ( 加密数据应当保密的时间)内 不被破解，我们就可以 认为该密码体制是安全的因此，考虑密码体制的安全性 是与破解该密码体制所需要的时间紧密相关的如果一个密码体制即使在敌人拥第一章 引 言有无限的计算资源和计算能力的情况下仍然不能被破解，就称该密码体制是无条件安全的计算上的安全性考虑的是用当前己知的最好的方法来攻击一个密码系统所需要的计算量，它依赖于攻击者的计算能力，如果敌手破译算法所需的时间超过了加密数据应当保密的时间，就称该密码系统在计算上是安全的。

根据密码体制的安全机制可以把密码体制分为计算上安全的和无条件安全的计算安全模 型和无条件安全模型[ 1 9 ] 是目 前密码学领域所使用的两个安全模型计算安全模型所使用的数学工具是复杂性理论，而无条件安全模型所使用的数学工具是概率论和信息论，因此，无条件安全也称信息理论安全信息理论安全优于计算上安全的一点就是信息理论安全是可以证明安全的而所有基于计算上安全的密码体制都没有被证明是安全的几乎 所有的密码体制包括概率 加密的。