基于改进HFC方案的ccAEAD算法

作     者：赵晴晴 

作者单位：兰州交通大学 

学位级别：硕士

导师姓名：伍忠东;丁朴

授予年度：2021年

学科分类：07[理学] 070104[理学-应用数学] 0701[理学-数学] 

主      题：端到端加密 Encryptment ccAEAD 可调分组密码 Deoxys-BC 

摘      要：随着对安全性和隐私权担忧的增加,用户正在寻找保护帐户安全的方法。于是包括Whats App,Facebook Messenger,Signal等在内的端到端加密消息系统已经越来越流行,现在数十亿人依靠它来保证安全。最近端到端的加密消息系统出现新的安全措施。恶意发送者可能会发送骚扰消息。当恶意发送者发送骚扰信息、恶意软件或任何不适当的内容时,应允许接收者向提供商报告该内容,以阻止发送者。端到端加密会阻止提供商验证所报告的消息是否是所发送的消息。因此Facebook在端到端加密消息系统中引入的一种加密方案,称之为消息邮戳,它允许用户以可验证的方式报告滥用情况。Grubbs等人正式定义了所需的新原语,称之为使用关联数据紧凑提交的认证加密（compactly committing authenticated encryption with associated data,ccAEAD）,Dodis等人引入了一个名为Encryptment的新原语,将其作为ccAEAD的核心构建块。Encryptment算法是一种一次性加密机制,只需要使用具有单个密钥的块密码进行单次传递。同时它可以对消息进行加密并将其紧凑地提交给消息。本文具体的研究内容如下:（1）Encryptment算法是基于哈希函数链（hash-function-chaining,HFC）方案的,它可以被看作是固定输入长度压缩函数的一种操作模式,如同基础的SHA-256或其他Merkle-Damg（?）rd构造的算法一样。其隐藏的压缩函数应该是一个安全的伪随机函数来抵抗相关的密钥攻击。针对此问题,本文中提出了一种基于HFC的Encryptment算法的改进算法。该算法在此基础上对HFC方案的压缩函数加入了使用可调整分组密码（Tweakable Block Ciphers,TBC）的DBL结构形成新的方案,称之为“微调哈希函数链（tweak-hash-function-chaining,THFC）。它遵循HFC方案,并使用Merkle-Damg（?）rd哈希函数。与Hirose同样提到的DBL实例化压缩函数不同,本文中将众所周知的Hirose DBL方案和Merkle-Damg（?）rd的组合起来,构成压缩函数。因为在这种情况下,获得的模式完全基于TBC的,这可能会降低实现成本。还可以在一定程度上增加算法的复杂性以提高算法的安全性。本文通过保密性,绑定性和不可伪造性对其进行了安全性的分析。此外本文使用了先提交再加密（Commit-then-Encrypt,CtE）的方法将基于THFC方案的Encryptment算法安全地转换为ccAEAD算法,文章最后同样验证了其安全性。与Dodis等人的方案相比,改进后的方案对相关密钥攻击的抵抗性更强。因为攻击者无法直接选择基础TBC的tweak值。（2）Dodis等人在提出的ccAEAD算法使用DM-AES实例化压缩函数,虽然在使用AES-NI的系统上,使用DM-AES实例化的HFC将具有非常好的性能,但由于需要对每个块重新密钥,其速度不如AES-GCM或OCB快。针对此问题,本文选用Deoxys-BC实例化TBC来验证使用THFC的ccAEAD算法。Deoxys-BC在软件中表现良好,且在大多数处理器上都比AES-GCM快。因为该处理是基于AES密码的Deoxys-BC,这意味着同样要使用AES-NI指令作为高性能的软件实现方式。因此我们启用AES-NI,使用gcc v4.8.1编译在Linux上,并使用Intel处理器系列的Intel Sandy Bridge测试了其速度。因为Deoxys-BC实际上是实例化使用TBC的压缩函数,因此实验数据与同样需要Deoxys-BC实例化压缩函数的Deoxys算法进行了比较。本文基于改进HFC方案的ccAEAD算法不仅在安全性上对相关密钥攻击的抵抗更强,而且通过更优的算法Deoxys-BC进行实例化,具有一定的价值。