王立斌, 溫偉強(qiáng)

(華南師范大學(xué) 計算機(jī)學(xué)院, 廣東 廣州 510631)

后量子時代密鑰交換協(xié)議的分析與設(shè)計

王立斌, 溫偉強(qiáng)

(華南師范大學(xué) 計算機(jī)學(xué)院, 廣東 廣州 510631)

摘要:基于認(rèn)證密鑰交換協(xié)議是重要的密碼學(xué)構(gòu)件，其設(shè)計性能必須高效且抗量子攻擊的需求，論述其最新發(fā)展?fàn)顩r，包括安全模型的設(shè)計和被動安全密鑰交換協(xié)議及主動安全密鑰交換協(xié)議的分析與設(shè)計等，并根據(jù)當(dāng)今的發(fā)展?fàn)顩r指出，設(shè)計對稱的且安全性可規(guī)約到格上標(biāo)準(zhǔn)難題的被動安全密鑰交換協(xié)議等，將是今后有意義的開放難題。

關(guān)鍵詞:密碼學(xué)；公鑰密碼體制；密鑰交換；格密碼

認(rèn)證密鑰交換(Authenticated Key Exchange, AKE)協(xié)議，可在不安全的公開網(wǎng)絡(luò)中為用戶協(xié)商安全的共享會話密鑰，使得用戶能借助安全的會話密鑰以及相應(yīng)的密碼學(xué)算法進(jìn)行安全通信，是確保通信安全的重要密碼學(xué)構(gòu)件。自從Diffie-Hellman(DH)密鑰交換(Key Exchange, KE)協(xié)議[1]被提出后，不少學(xué)者以此為藍(lán)本設(shè)計了許多基于DH假設(shè)的AKE協(xié)議。目前，AKE協(xié)議被廣泛應(yīng)用于各種不同的網(wǎng)絡(luò)應(yīng)用系統(tǒng)，主要部署在電子商務(wù)系統(tǒng)和電子政務(wù)系統(tǒng)等安全需求相對高的系統(tǒng)中。標(biāo)準(zhǔn)化組織也重點關(guān)注此類協(xié)議的設(shè)計與分析，致力于將其標(biāo)準(zhǔn)化并固化為通用網(wǎng)絡(luò)協(xié)議的重要部件，比如，在互聯(lián)網(wǎng)安全協(xié)議和傳輸層安全協(xié)議等標(biāo)準(zhǔn)中都實現(xiàn)了相應(yīng)的AKE協(xié)議。對AKE協(xié)議設(shè)計與分析的研究具有理論意義和實踐價值。

在后量子時代，由于離散對數(shù)問題或大整數(shù)分解問題在量子計算下存在多項式求解算法[2]，因此，基于傳統(tǒng)數(shù)論難題——如離散對數(shù)問題、大整數(shù)分解問題——構(gòu)造的公鑰密碼體制容易遭受量子攻擊，其安全性受到嚴(yán)重威脅，研究抗量子攻擊(即達(dá)到后量子安全)的新型公鑰密碼體制已成為業(yè)界關(guān)注的熱點問題。同時，作為公鑰密碼體制的重要分支，如何設(shè)計高效且后量子安全的AKE協(xié)議也是后量子時代必須迫切解決的重要問題[3]。

格(Lattice)理論是設(shè)計后量子安全公鑰密碼體制的一種重要基礎(chǔ)理論[3]。已知存在多種基于格的困難問題在量子計算下還不存在多項式時間高效求解算法，因此基于格設(shè)計的公鑰密碼算法可以抵御量子攻擊?；诟裨O(shè)計的公鑰密碼算法還具有兩個突出優(yōu)點：其一是安全性高，因為格上密碼算法的安全性可以歸約到格上難題最壞情形下的困難性；其二是計算速度快，因為格上密碼不需要大整數(shù)運算，僅涉及單精度整型向量的加法和乘法以及格上高斯抽樣等。近年來，基于格的密碼體制得到廣泛重視且正快速發(fā)展，基于格的公鑰加密方案[4-8]、數(shù)字簽名方案[9-13]和同態(tài)加密方案[14-16]等已見諸文獻(xiàn)報道。格上密碼有望在未來成為后量子密碼技術(shù)的標(biāo)準(zhǔn)。

基于格的AKE(Lattice-based AKE, LBAKE)協(xié)議的設(shè)計與分析研究方興未艾，尚有許多理論空白，適時開展此項研究勢在必行。本文重點關(guān)注后量子安全AKE協(xié)議的設(shè)計與安全性證明，分別介紹安全模型設(shè)計、被動安全KE協(xié)議設(shè)計及主動安全AKE協(xié)議設(shè)計三方面的研究現(xiàn)狀，并指出當(dāng)前存在的一些有意義的開放難題。

1安全模型設(shè)計

安全模型刻畫攻擊者能力，描述協(xié)議安全需求并準(zhǔn)確定義協(xié)議安全性，是指導(dǎo)AKE協(xié)議設(shè)計與分析、確保協(xié)議可證明安全性的基礎(chǔ)性理論工具。設(shè)計安全模型分析AKE協(xié)議安全性的研究源自于Bellare和Rogaway的創(chuàng)新性工作(BR模型)[17]。該模型通過預(yù)言機(jī)查詢(Oracle Query)來刻畫攻擊者能力，讓攻擊者獲得協(xié)議執(zhí)行過程中使用或產(chǎn)生的秘密信息，最后，通過協(xié)議生成的會話密鑰與隨機(jī)比特串的不可區(qū)分性來描述協(xié)議的安全需求。

CK模型[18]和eCK模型[19]是目前應(yīng)用最廣泛的兩種安全模型。與BR模型相比，CK模型與eCK模型定義了更豐富的攻擊者能力，除常規(guī)的消息重放攻擊、中間人攻擊、平行會話攻擊和已知密鑰攻擊等攻擊類型外，還著重關(guān)注密鑰泄露偽裝攻擊、臨時私鑰泄露攻擊、未知密鑰共享攻擊等。一些高級安全屬性，如完全前向安全性(Perfect Forward Secrecy, PFS)與可否認(rèn)性等，是目前研究的重點。定義這些攻擊的一個共同出發(fā)點就是在合理的范圍內(nèi)給攻擊者更強(qiáng)的攻擊能力，從而使得協(xié)議的安全性更強(qiáng)。通常，安全模型通過定義不同的預(yù)言機(jī)查詢來刻畫攻擊者行為，不同的安全模型定義了不同的預(yù)言機(jī)查詢。

CK模型中定義了三類查詢：會話密鑰泄漏(Session Key Reveal)、會話狀態(tài)泄漏(Session-State Reveal)和長期私鑰泄漏(Corrupt)查詢。eCK模型試圖通過向攻擊者提供更強(qiáng)的查詢能力來給出一個更強(qiáng)的安全定義。該模型定義了一個新的臨時密鑰泄漏(Ephemeral Key Reveal)查詢，該查詢輸出某用戶執(zhí)行協(xié)議過程中與特定會話相關(guān)的秘密信息，用來取代在CK模型中定義的Session-State Reveal查詢。eCK模型還引入了新的會話新鮮性定義，允許攻擊者對測試會話(Test Session)進(jìn)行Ephemeral Key Reveal查詢。僅從定義來看，eCK模型似乎比CK模型更強(qiáng)，但有結(jié)論[20]顯示，這兩個模型的表達(dá)能力各具特性，并不構(gòu)成明顯的強(qiáng)弱對比關(guān)系，這意味著一些協(xié)議可以在其中一個模型中證明安全，但卻可在另一個模型中證明不安全，反之亦然。比如，NAXOS協(xié)議在eCK模型下可證明安全，但卻在CK模型下被證明不安全[20]。

繼CK模型和eCK模型之后，為滿足不同協(xié)議安全性的需求，衍生出多種改進(jìn)模型，包括CK+、eCK+、eCK-w和seCK模型等。這些安全模型各自定義了不同的攻擊者查詢，但所定義的攻擊者查詢?nèi)狈_性，難以對不同的安全模型能力進(jìn)行嚴(yán)格比較。如在CK模型中，Session-State Reveal查詢是模擬攻擊者獲取指定會話所有中間計算結(jié)果的能力，但其引起歧義的原因在于，中間狀態(tài)(Session State)包含哪些信息是由具體的AKE協(xié)議設(shè)計者來確定的。

為了準(zhǔn)確刻畫攻擊者能力，PACK模型[21]強(qiáng)調(diào)攻擊者能力的物理解釋，同時要求協(xié)議設(shè)計者不可自行選定攻擊者能力及協(xié)議的泄露信息，而是由協(xié)議的真實執(zhí)行來唯一確定攻擊者所允許的能力。

對后量子安全KE協(xié)議的證明，主要使用BR模型和CK模型(及其衍化版本)，不完全考慮攻擊者在量子環(huán)境下的攻擊能力。無法回避的是，后量子時代攻擊者的能力與傳統(tǒng)計算模型下攻擊者的能力顯示有所不同，量子攻擊者的能力比傳統(tǒng)攻擊者能力更強(qiáng)[22-23]。如果在安全模型中不能體現(xiàn)攻擊者在量子環(huán)境中的真實能力，就難以完全體現(xiàn)安全協(xié)議在后量子時代的安全性。換言之，目前使用傳統(tǒng)安全模型證明的AKE協(xié)議都難以具備完全抗量子攻擊的能力，將具有量子計算能力的攻擊者局限在傳統(tǒng)的計算環(huán)境當(dāng)中，是極不現(xiàn)實的。后量子時代安全模型的定義必須得到重新考慮。如何在安全模型中嚴(yán)格刻畫攻擊者在量子環(huán)境中的攻擊能力是一個開放問題。

2被動安全KE協(xié)議的設(shè)計

被動安全的KE協(xié)議是設(shè)計AKE協(xié)議的基礎(chǔ)原語，設(shè)計出高效合理的被動安全KE協(xié)議是成功設(shè)計AKE協(xié)議的重要前提。DH協(xié)議是被動安全KE協(xié)議的重要代表，具有優(yōu)異的結(jié)構(gòu)與特性，得到了廣泛研究與應(yīng)用。后量子安全KE協(xié)議的研究者也充分認(rèn)識到了DH協(xié)議的重要性，一直在試圖運用格上的難題設(shè)計出與DH協(xié)議相類似的基于格的KE(Lattice-based Key Exchange, LBKE)協(xié)議，然而截止目前，這仍然是一個尚未解決的難題。

與格上公鑰加密、數(shù)字簽名等體制的飛速發(fā)展相比，格上KE的設(shè)計似乎處于發(fā)展瓶頸，成果不多。設(shè)計抗量子攻擊的被動安全KE的方法主要有兩種：一是基于密鑰封裝機(jī)制(Key Encapsulation Mechanism, KEM)構(gòu)造協(xié)議[24]；二是基于格上帶誤差學(xué)習(xí)(Learning with Errors, LWE) 的變種問題構(gòu)造協(xié)議[25]。

自LWE問題[26]被提出后，格上公鑰密碼體制得到飛速發(fā)展，各種公鑰加密體制和數(shù)字簽名被提出[4-13]，然而被動安全的KE協(xié)議尚未見諸文獻(xiàn)。在一些尚未正式發(fā)表的講稿上，也許可以看到一些基于LWE問題的LBKE協(xié)議構(gòu)造，其中包括格密碼學(xué)者Peikert的協(xié)議。除了LWE問題之外，這類協(xié)議通常還需借助小整數(shù)解問題(Small Integer Solution, SIS)，且難以作成完全對稱的形式(收發(fā)雙方發(fā)相同結(jié)構(gòu)的報文)，更糟糕的是，難以設(shè)計合理的編解碼機(jī)制來支持此類協(xié)議的高效實現(xiàn)?？梢哉f，以LWE問題和SIS問題構(gòu)造被動安全KE協(xié)議在理論上看似可行，但實現(xiàn)上卻有很大的難度。

退而求其次，使用被動安全的KEM機(jī)制則是一種新思路。KEM與KE有微妙的區(qū)別，最主要的區(qū)別是前者需要發(fā)送方對某些秘密比特進(jìn)行編碼，而后者沒有此過程，收發(fā)雙方必須從協(xié)商出的秘密報文中，通過特定的解碼技術(shù)抽取出共同的秘密比特。KEM的這種要求給編解碼的設(shè)計帶來了極大方便，使得秘密比特高效傳輸成為可能。在2014年的后量子密碼會議上，Peikert提出一種基于理想格(Ideal lattice)的新編解碼方案，從而構(gòu)造出一種被動安全的高效KEM體制[24]，并以此作為AKE協(xié)議的設(shè)計原語。此技術(shù)有望進(jìn)一步得到推廣，成為LBAKE協(xié)議設(shè)計的重要基礎(chǔ)。

必須強(qiáng)調(diào)，試圖設(shè)計出與原始DH協(xié)議類似的格上KE體制，依然是密碼學(xué)界的追求?；贚WE問題的一種變形所設(shè)計出的一種被動安全的KE協(xié)議[25]，高效且具有與DH協(xié)議類似的對稱結(jié)構(gòu)，該協(xié)議還可擴(kuò)展為借助環(huán)上LWE問題的協(xié)議，得到更高的效率和更短的密鑰長度。此類協(xié)議的設(shè)計思路為當(dāng)前的研究帶來許多的啟發(fā)，算法的計算效率、編碼優(yōu)化等都值得進(jìn)一步研究。

3主動安全AKE協(xié)議設(shè)計

從被動安全KE協(xié)議出發(fā)，借助數(shù)字簽名、MAC等認(rèn)證機(jī)制可設(shè)計出主動安全的AKE協(xié)議，借助不同的安全模型進(jìn)行分析，可考察協(xié)議的抗強(qiáng)信息泄露性。AKE協(xié)議的設(shè)計有豐富的理論與實踐成果，主要分為兩類：一類是顯式認(rèn)證協(xié)議，包括STS、IKE、SIGMA協(xié)議等；另一類是隱式認(rèn)證協(xié)議，包括MQV、HMQV、CMQV協(xié)議、OAKE協(xié)議等。由于隱式認(rèn)證協(xié)議結(jié)構(gòu)簡單、效率高，且安全分析、證明相對容易，逐漸成為AKE協(xié)議研究的主流目標(biāo)。此類工作也為后量子安全的AKE協(xié)議設(shè)計奠定了理論基礎(chǔ)，許多方法可以借鑒用于LBAKE協(xié)議的設(shè)計。

目前，已知的LBAKE協(xié)議并不多。顯式認(rèn)證LBAKE協(xié)議包括Peikert的協(xié)議[24]和Bos等人設(shè)計的協(xié)議[27]。Peikert對SIGMA協(xié)議[28]進(jìn)行變形，將被動安全的KEM體制與數(shù)字簽名、MAC體制結(jié)合(這些體制都使用格上的具體實例)，從而得到后量子安全的AKE協(xié)議。Bos等人設(shè)計的AKE協(xié)議則與傳統(tǒng)AKE協(xié)議設(shè)計有較大區(qū)別，他們不設(shè)計格上的AKE協(xié)議，而是把格上被動安全的協(xié)議嵌入到傳統(tǒng)的帶認(rèn)證的體制中去，比如TLS協(xié)議，使用傳統(tǒng)的認(rèn)證機(jī)制，比如RSA簽名或者橢圓曲線數(shù)字簽名等，從而得到帶認(rèn)證的密鑰交換。顯然，這并非一種完整的LBAKE協(xié)議的解決方案。

隱式認(rèn)證的LBAKE協(xié)議主要包括一種由通用構(gòu)造方法所得到的協(xié)議[29]和Ding等人的協(xié)議[30]。Fujioka等人提出一種使用KEM體制構(gòu)造LBAKE的通用方法[29]，即從單向CCA安全的KEM出發(fā)，得到CK模型下安全的AKE，通過構(gòu)造格上滿足要求的KEM體制，則可得到一系列不同的LBAKE設(shè)計。這種方法的缺陷是，構(gòu)造依然不對稱，需要同時使用主動安全與被動安全的兩種KEM，需額外發(fā)送被動安全KEM的公鑰，增加了通信報文的復(fù)雜度，安全性證明依賴隨機(jī)預(yù)言機(jī)。更糟糕的是，這種構(gòu)造將KEM看作黑盒子進(jìn)行調(diào)用，KEM體制中所有中間計算信息的泄露情況均無法考察，這種通用構(gòu)造難以在強(qiáng)信息泄露環(huán)境下進(jìn)行安全性分析和證明。盡管Fujioka等人聲稱所得到的體制的安全性可在強(qiáng)信息泄露的CK模型下得到證明，但是其前提條件是所有內(nèi)存私密信息都必須刪除，不允許泄露。AKE的通用構(gòu)造方法還包括Boyd等人使用MAC的技術(shù)[31-32]和Moriyama等基于哈希證明系統(tǒng)(Hash Proof System, HPS)的構(gòu)造[33]，如果將其實例化為格上抗量子攻擊的密碼體制，都可得后量子安全的AKE，只是目前尚不存在格上的HPS實例構(gòu)造。

Ding等人使用理想格構(gòu)造出一種與HMQV、OAKE非常類似的LBAKE協(xié)議[30]，該協(xié)議以被動KE[25]為基礎(chǔ)。與HMQV不同的是，該協(xié)議的安全性不依賴于數(shù)字簽名，而直接基于環(huán)上LWE問題的困難性。使用BR模型，該協(xié)議的安全性在隨機(jī)預(yù)言機(jī)模型下得以證明,但并沒有充分考慮更強(qiáng)的攻擊者能力[21]。

Wen等人提出了在PACK模型[21]下安全的基于標(biāo)準(zhǔn)格的認(rèn)證密鑰交換協(xié)議[34]。該協(xié)議將HMQV協(xié)議中“挑戰(zhàn)-應(yīng)答”的技巧應(yīng)用于基于格的認(rèn)證密鑰交換當(dāng)中，同時具有隱式認(rèn)證的匿名屬性和一輪認(rèn)證的高效性。有別于Fujioka等人基于格的通用構(gòu)造[29]，該協(xié)議直接基于LWE困難問題，在強(qiáng)信息泄漏模型下具體構(gòu)造，因此，協(xié)議信息泄漏情況以及協(xié)議計算效率更加清晰，更有利于協(xié)議的進(jìn)一步分析和改進(jìn)。然而，該協(xié)議依然需要依賴隨機(jī)預(yù)言機(jī)模型，如何基于PACK模型，設(shè)計標(biāo)準(zhǔn)模型下后量子安全的認(rèn)證密鑰交換協(xié)議仍是一個重要問題。

4結(jié)語

在后量子時代，AKE協(xié)議的安全性面臨嚴(yán)重挑戰(zhàn)，關(guān)于后量子安全的AKE協(xié)議設(shè)計與安全性證明尚處于起步階段，存在大量亟待解決的問題。目前，AKE與格密碼研究領(lǐng)域已涌現(xiàn)出眾多研究者，并逐漸形成了相對成熟的理論研究體系，取得了不少理論成果，為后續(xù)LBAKE研究打下了堅實基礎(chǔ)。國內(nèi)不少高?；蜓芯繖C(jī)構(gòu)也對密鑰交換協(xié)議的設(shè)計與分析展開了研究[35]，基于格的密碼體制研究也在向縱深發(fā)展，取得了國際一流的研究成果，如王小云等人所提出的一個改進(jìn)的求解SVP 問題的篩選算法[36]。

LBAKE協(xié)議設(shè)計與證明所面臨的許多理論或應(yīng)用難題都值得深究：分析傳統(tǒng)數(shù)論下AKE協(xié)議的設(shè)計原則及思想，為LBAKE協(xié)議設(shè)計后量子環(huán)境下的安全模型；設(shè)計對稱的、且安全性可規(guī)約到格上標(biāo)準(zhǔn)難題的被動安全KE協(xié)議；設(shè)計同時滿足多種安全需求，如強(qiáng)前向安全與強(qiáng)可否認(rèn)性要求的LBAKE協(xié)議；在標(biāo)準(zhǔn)模型下設(shè)計可緊致歸約到格上最壞情況的高效LBAKE協(xié)議。在云數(shù)據(jù)安全需求激增的當(dāng)前[37]，LBAKE協(xié)議也可望成為滿足新型安全需求的密碼學(xué)構(gòu)件。鑒于該研究的重要性及其所處的研究現(xiàn)狀，有必要系統(tǒng)研究LBAKE協(xié)議，設(shè)計與分析滿足需求的實用、高效、可證明安全的協(xié)議，為后量子時代信息系統(tǒng)安全提供強(qiáng)有力的保障工具。

參考文獻(xiàn)

[1]DIFFIE W, HELLMAN M E. New Directions in Cryptography[J]. IEEE Transactions on Information Theory, 1976, 22(6): 644-654.

[2]SHOR P W. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer[J]. SIAM Journal on Computing, 1997, 26(5):1484-1509.

[3]PEIKERT C. Public-key cryptosystems from the worst-case shortest vector problem: extended abstract[C]//41st ACM Symposium on Theory of Computing. Washington D C:SIGACT,2009:333-342.

[4]MICCIANCIO D, PEIKERT C. Trapdoors for Lattices: Simpler, Tighter, Faster, Smaller[C/OL]//Advances in Cryptology:EUROCRYPT 2012.UK Cammbridge: Springer Berlin Heidelberg,2012,700-718[2015-11-24].http://link.springer.com/chapter/10.1007%2F978-3-642-29011-4_41.

[5]STEHLE D, STEINFELD R. Making NTRUEncrypt and NTRUSign as Secure as Standard Worst-Case Problems over Ideal Lattices[C/OL]//IACR Cryptology ePrint Archive: Report 2013/004[2015-11-20].http://eprint.iacr.org/2013/004/20130111:212943.

[6]ALPERIN-SHERIFF J, PEIKERT C. Circular and KDM Security for Identity-Based Encryption[C/OL]//Public Key Cryptography: PKC 2012.Germany Darmstadt: Springer Berlin Heidelberg,2012:334-352[2015-11-20].http://link.springer.com/chapter/10.1007%2F978-3-642-30057-8_20.

[7]PEIKERT C. Public-key cryptosystems from the worst-case shortest vector problem: extended abstract[C/OL]//The 41st ACM Symposium on Theory of Computing(STOC 2009). Washington D C: SIGACT, 2009:333-342[2015-11-20].http://dl.acm.org/citation.cfm?id=1536461.

[8]GENTRY C, PEIKERT C, VAIKUNTANATHAN V. Trapdoors for hard lattices and new cryptographic constructions[C/OL]//STOC’08 Proceedings of the Fortieth Annual ACM Symposium on Theory of Computing. New York: ACM,2008:197-206[2015-11-25].http://dl.acm.org/citation.cfm?doid=1374376.1374407.DOI:10.1145/1374376.1374407.

[9]LYUBASHEVSKY V. Lattice Signatures without Trapdoors[C/OL]//Advances in Cryptology:EUROCRYPT 2012.UK Cambridge: Springer Berlin Heidelberg,2012:738-755[2015-11-18].http://link.springer.com/chapter/10.1007%2F978-3-642-29011-4_43.

[10] ABDALLA M, FOUQUE P A, LYUBASHEVSKY V, et al. Tightly-Secure Signatures from Lossy Identification Schemes[J/OL].Journal of Cryptology,2012,7237(1):572-590[2015-11-11].http://link.springer.com/article/10.1007%2Fs00145-015-9203-7.

[11] LYUBASHEVSKY V. Fiat-Shamir with Aborts: Applications to Lattice and Factoring-Based Signatures[C/OL]//Advances in Cryptology:ASIACRYPT 2009.Japan Tokyo: Springer Berlin Heidelberg,2009:598-616[2015-11-18].http://link.springer.com/chapter/10.1007/978-3-642-10366-7_35.

[12] LYUBASHEVSKY V, MICCIANCIO D. Asymptotically Efficient Lattice-Based Digital Signatures[C/OL]//Theory of Cryptography.New York:Springer Berlin Heidelberg,2008:37-54[2015-11-11].http://link.springer.com/chapter/10.1007%2F978-3-540-78524-8_3.

[13] BOYEN X. Lattice Mixing and Vanishing Trapdoors: A Framework for Fully Secure Short Signatures and More[C/OL]//Public Key Cryptography:PKC2010Paris:Springer Berlin Heidelberg,2010:499-517[2015-11-11].http://link.springer.com/chapter/10.1007/978-3-642-13013-7_29.

[14] GENTRY C. Fully homomorphic encryption using ideal lattices[C/OL]//STOC’09 Proceedings of the Forty-first Annual ACM Symposium on Theory of Computing.New Yoork:ACM,2009:169-178[2015-11-15].http://dl.acm.org/citation.cfm?id=1536440.DOI:10.1145/1536414.1536440.

[15] GENTRY C. Toward Basing Fully Homomorphic Encryption on Worst-Case Hardness[C/OL]//Advances in Cryptology:CRYPTO 2010USA CA Santa Barbara:Springer Berlin Heidelberg,2010:116-137[2015-11-18].http://link.springer.com/chapter/10.1007%2F978-3-642-14623-7_7.

[16] BRAKERSKI Z, GENTRY C, HALEVI S. Packed Ciphertexts in LWE-Based Homomorphic Encryption[C/OL]//Public-Key Cryptography:PKC 2013.Japan Nara:Springer Berlin Heidelberg, 2013:1-13[2015-10-20].http://link.springer.com/chapter/10.1007%2F978-3-642-36362-7_1.

[17] BELLARE M, ROGAWAY P. Entity Authentication and Key Distribution[C/OL]//Advances in Cryptology: CRYPTO’93.USA CA Santa Barbara:Springer Berlin Heidelberg, 1994:232-249[2015-11-05].http://link.springer.com/chapter/10.1007%2F3-540-48329-2_21.

[18] RAN C, KRAWCZYK H. Analysis of key exchange protocols and their use for building secure channels[C/OL]//Advances in Cryptology:EUROCRYPT 2001.Austria Innsbruck:Springer Berlin Heidelberg, 2001:453-474[2015-11-08].http://link.springer.com/chapter/10.1007%2F3-540-44987-6_28?LI=true.

[19] LAMACCHIA B, LAUTER K, MITYAGIN A. Stronger security of authenticated key exchange[C/OL]//Provable Security. Australia Wollongong:Springer,2007:1-16[2015-10-10].http://link.springer.com/chapter/10.1007%2F978-3-540-75670-5_1.

[20] CREMERS C J F. Session-state reveal is stronger than ephemeral key reveal: Attacking the NAXOS authenticated key exchange protocol[C/OL]//Applied Cryptography and Network Security.Paris-Rocquencourt:Springer Berlin Heidelberg,2009:20-23[2015-11-01].http://link.springer.com/chapter/10.1007/978-3-642-01957-9_2.

[21] WEN W, WANG L, PAN J. Unified Security Model of Authenticated Key Exchange with Specific Adversarial Capabilities[J/OL].IET Information Security[2015-10-18].http://digital-library.theiet.org/content/journals/10.1049/iet-ifs.2014.0234.

[22] SIMON D R. On the Power of Quantum Computation[J/OL].SIAM Journal on Computing,1994,26(5):1474-1483[2015-10-19].http://epubs.siam.org/doi/abs/10.1137/S0097539796298637.

[23] BONEH D, DAGDELEN O, FISCHLIN M, et al. Random Oracles in a Quantum World[C/OL]//Advances in Cryptology:ASIACRYPT 2011.South Korea Seoul: Springer Berlin Heidelberg,2011:41-69[2015-11-01].http://link.springer.com/chapter/10.1007/978-3-642-25385-0_3.

[24] PEIKERT C. Lattice cryptography for the internet[C/OL]//Post-Quantum Cryptography.Waterloo: Springer International Publishing,2014:197-219[2015-11-11].http://link.springer.com/chapter/10.1007/978-3-319-11659-4_12.

[25] DING J T, XIE X, LIN X D. A Simple Provably Secure Key Exchange Scheme Based on the Learning with Errors Problem[J/OL].IACR Cryptology Eprint Archive[2015-11-11].http://eprint.iacr.org/2012/688.pdf.

[26] REGEV O. On lattices, learning with errors, random linear codes, and cryptography[C/OL]//Proceedings of the thirty-seventh annual ACM symposium on Theory of computing.New York: ACM, 2005:84-93[2015-11-11].http://dl.acm.org/citation.cfm?doid=1060590.1060603.

[27] BOS J W, COSTELLO C, NAEHRIG M, et al. Post-quantum key exchange for the TLS protocol from the ring learning with errors problem[C/OL]//IEEE Symposium on Security and Privacy.CA San Jose:IEEE,2015:553-570[2015-11-11]http://ieeexplore.ieee.org/xpl/articleDetails.jsp?arnumber=7163047.DOI:10.1109/SP.2015.40.

[28] KRAWCZYK H. SIGMA: The ‘SIGn-and-MAc’ approach to authenticated Diffie-Hellman and its use in the IKE-protocols[C/OL]//Advances in Cryptology:CRYPTO 2003.CA Santa Barbara:Springer Berlin Heidelberg,2003:400-425[2015-11-11].http://link.springer.com/chapter/10.1007/978-3-540-45146-4_24.

[29] FUJIOKA A, SUZUKI K, XAGAWA K, et al. Strongly secure authenticated key exchange from factoring, codes, and lattices[C/OL]//Public Key Cryptography: PKC 2012.Germany Darmstadt: Springer Berlin Heidelberg,2012:467-484[2015-11-11].http://link.springer.com/chapter/10.1007%2F978-3-642-30057-8_28.

[30] ZHANG J, ZHANG Z, DING J, et al. Authenticated key exchange from ideal lattices[C/OL]//Advances in Cryptology: EUROCRYPT 2015.Bulgaria Sofia:Springer Berlin Heidelberg, 2015: 719-751[2015-11-11].http://link.springer.com/chapter/10.1007/978-3-662-46803-6_24.

[31] BOYD C, CLIFF Y, NIETO J G, et al. Efficient one-round key exchange in the standard model[C/OL]//Information Security and Privacy. Australia Wollongong:Springer Berlin Heidelberg, 2008:69-83[2015-11-11].http://link.springer.com/chapter/10.1007%2F978-3-540-70500-0_6.

[32] BOYD C, CLIFF Y, NIETO J G, et al. One-round key exchange in the standard model[J/OL].International Journal of Applied Cryptography,2009, 1(3):181-199[2015-11-11].http://dx.doi.org/10.1504/IJACT.2009.023466.

[33] MORIYAMA D, OKAMOTO T. Leakage resilient eCK-secure key exchange protocol without random oracles[C/OL]// Proceedings of the 6th ACM Symposium on Information, Computer and Communications Security. New York: ACM,2011:441-447[2015-11-11].http://dl.acm.org/citation.cfm?doid=1966913.1966976.DOI:10.1145/1966913.1966976.

[34] 溫偉強(qiáng), 王立斌. 基于格問題的強(qiáng)安全密鑰交換協(xié)議[J]. 計算機(jī)研究與發(fā)展, 2015, 52(10):2258-2269.

[35] 鄭東,趙慶蘭,張應(yīng)輝. 密碼學(xué)綜述[J].西安郵電大學(xué)學(xué)報,2013,18(6):1-10.

[36] WANG X Y, LIU M J, TIAN C L, et al. Improved Nguyen-Vidick heuristic sieve algorithm for shortest vector problem[C/OL]//Proceedings of the 6th ACM Symposium on Information, Computer and Communications Security.New York: ACM, 2011:1-9[2015-11-11].http://dl.acm.org/citation.cfm?doid=1966913.1966915.DOI:10.1145/1966913.1966915.

[37] 張應(yīng)輝. 能保護(hù)隱私且屬性可擴(kuò)展的云數(shù)據(jù)共享[J]. 西安郵電大學(xué)學(xué)報, 2015, 20(5): 1-5.

[責(zé)任編輯:陳文學(xué)]

On the key exchange for post quantum era

WANG Libin,WEN Weiqiang

(School of Computer Science, South China Normal University, Guangzhou 510631, China)

Abstract:Considering that authenticated key exchange protocol is an important cryptographic primitive, and its performance must be efficient and quantum attack resistant, we give a detailed expouding on the current state of the art in this field, which includs the design of security model, the design and analysis of passively secure key exchange protocol and actively secure key exchange protocol respectively. Based on this discussion, some related valuable open problems are proposed, such as how to design a passively secure key exchange protocol, which is symmetrical and whose security can be stipulated to the standard problem on lattice.

Keywords:cryptography, public key cryptosystem, key exchange, lattice-based cryptography

doi:10.13682/j.issn.2095-6533.2016.01.001

收稿日期：2015-12-08

基金項目：廣東省自然科學(xué)基金資助項目(2015A030313379);廣州市科技計劃資助項目(156500043)

作者簡介：王立斌(1972-)，男，博士，副教授，從事密碼學(xué)和計算機(jī)安全研究。E-mail: wanglibin@m.scnu.edu.cn 溫偉強(qiáng)(1989-)，男，博士研究生，研究方向為密碼學(xué)。E-mail: weiqwen@gmail.com

中圖分類號：TN918

文獻(xiàn)標(biāo)識碼：A

文章編號：2095-6533(2016)01-0001-06