廖鈺城， 王立斌， 黃杰彬

(華南師范大學計算機學院， 廣州 510631)

簽密方案(Signcryption Scheme,SC)[1]是一個邏輯步驟內同時實現(xiàn)數(shù)字簽名和公鑰加密功能的非對稱密碼協(xié)議，其在有效提高簽名和加密效率的同時，還能夠提供保密性、認證性和完整性等安全性保障，是公鑰密碼體制下確保網絡環(huán)境中多方通信安全的重要密碼技術。

混合簽密方案(Hybrid Signcryption Scheme,HSC)是在傳統(tǒng)簽密方案的基礎上，通過引入對稱加密體制的協(xié)議構件來進一步提升了協(xié)議的計算效率，從而解決了傳統(tǒng)簽密方案在長明文通信時效率不佳的問題[2]。得益于此優(yōu)勢，近年所提出的簽密方案[3-8]實質均為混合簽密方案。為了方便實例化混合簽密方案，BJ?RSTAD和DENT[9]提出了帶標簽的簽密密鑰封裝機制(Signcrytion tag Key Encapsulation Mechanism,SC-tag-KEM)，可通過“帶標簽的簽密密鑰封裝機制+被動安全對稱加密機制”(SC-tag-KEM+DEM)的構造來實例化混合簽密方案。

混合簽密方案的完整內部安全[10]是指在多方內部安全模型下，混合簽密方案同時達到適應性選擇密文不可區(qū)分性(IND-CCA2)安全和選擇報文攻擊強存在性不可偽造(SUF-CMA)安全。當前，許多研究致力于實現(xiàn)完整內部安全的混合簽密方案[3-4,11]。2013年，LI等[11]基于簽名后加密提出了一種簽密方案，并聲稱其達到了完整內部安全，但實質上由于其未完整重用隨機數(shù)，可通過解密后選取新鮮隨機數(shù)重新加密的方式攻擊其SUF-CMA安全，因此該方案并不具備完整內部安全。2014年，LU等[12]基于文獻[11]實現(xiàn)了混合簽密方案，但認證性上僅達到了存在性不可偽造(EUF-CMA)安全，未達到完整內部安全。2018年，GéRARD和MERCKX[8]提出了基于格密碼的后量子安全混合簽密方案(SETLA)，但在加密算法設計上，誤差分布的定義參數(shù)及誤差參數(shù)均遠超出既定限制范圍，因此該協(xié)議不具備正確性。為解決上述正確性問題，劉鎮(zhèn)等[13]放棄了隨機數(shù)重用方式，提出了一種簽名后加密的簽密方案，但該方案僅能達到EUF-CMA安全，同樣不具備完整內部安全。2019年，YANG等[14]提出了標準模型下的高效混合簽密方案，但該方案的安全性僅達到了多方內部的IND-CCA2和EUF-CMA安全，無法達到完整內部安全。

為解決上述問題，本文主要基于SC-tag-KEM的通用構造，展開對完整內部安全的混合簽密方案的相關研究。首先，提出了一種帶標簽的簽密密鑰封裝機制(SC-tag-KEM)的通用構造方案(SCtKstd)，該方案通過數(shù)字簽名構件綁定標簽與密鑰封裝報文，進一步將得到的簽名和臨時密鑰通過消息認證碼進行外部信息綁定，從而在標準模型下可證明達到完整內部安全。然后，將SCtKstd方案應用在“SC-tag-KEM+DEM”的通用構造中，提出了可達完整內部安全的混合簽密的通用構造方案(HSCstd)，并對其進行了安全性分析。

1 預備知識

下面對本文的符號進行說明，并列舉方案構造以及分析中使用到的密碼學原語。

1.1 符號說明

對于函數(shù)negl(n)，如果對于任意的正多項式p(·)，皆存在正整數(shù)N，使得對于任意的λ>N,皆有negl(n)<1/p(λ),則稱negl(n)是可忽略函數(shù)。

1.2 密鑰封裝機制

密鑰封裝機制(Key Encapsulation Mechanism,KEM)由以下4個算法構成：

(1)KEMSetup(1λ)→prm：該算法以安全參數(shù)λ為輸入，輸出公共參數(shù)prm。

(2)KEMKeyGen(prm)→(pk,sk)：該算法以公共參數(shù)prm為輸入，輸出用戶的公私密鑰(pk,sk)。

(3)KEMEncap(prm,pk)→(K,C)：該算法輸入公共參數(shù)prm和用戶公鑰pk，輸出臨時隨機密鑰K和對應該密鑰的密鑰封裝報文C。

(4)KEMDecap(prm,sk,C)→Kor ⊥：該算法輸入公共參數(shù)prm、用戶私鑰sk和密鑰封裝報文C，輸出密鑰K或錯誤信息⊥。

稱密鑰封裝機制KEM有正確性，當且僅當對prm←KEMSetup(1λ)和任意(pk,sk)←KEMKeyGen(prm)、(K,C)←KEMEncap(prm,pk)，K=KEMDecap(prm,sk,C)以(1-negl(λ))的概率成立。

定義1[15](KEM的 IND-CCA2安全)稱密鑰封裝機制KEM具備IND-CCA2安全，當且僅當對任意的概率性多項式時間攻擊者，在KEM的協(xié)議環(huán)境下執(zhí)行KEM的IND-CCA2安全游戲，獲得游戲勝利的優(yōu)勢概率為：

且該優(yōu)勢概率關于安全參數(shù)λ可忽略。

1.3 數(shù)字簽名

數(shù)字簽名方案(SignatureScheme,SIG)由以下4個算法構成：

(1)SIGSetup(1λ)→prm：該算法以安全參數(shù)λ為輸入，輸出公共參數(shù)prm。

(2)SIGKeyGen(prm)→(pk,sk)：該算法以公共參數(shù)prm為輸入，輸出用戶的公私密鑰(pk,sk)。

(3)SIGSign(prm,sk,m)→σ：該算法輸入公共參數(shù)prm、用戶私鑰sk和明文信息m，輸出對應的數(shù)字簽名信息σ。

(4)SIGVer(prm,pk,m,σ)→or ⊥：該算法輸入公共參數(shù)prm、用戶公鑰pk、明文m和數(shù)字簽名信息σ，輸出接受信息或錯誤信息⊥。

稱數(shù)字簽名方案SIG具有正確性，當且僅當對prm←SIGSetup(1λ)和任意的(pk,sk)←SIGKeyGen(prm)及明文m，SIGVer(prm,pk,m,SIGSign(prm,sk,m))=成立的概率為(1-negl(λ))。

定義2[16](SIG的SUF-CMA安全)：稱數(shù)字簽名方案SIG具備SUF-CMA安全，當且僅當對任意的概率性多項式時間攻擊者，在SIG的協(xié)議環(huán)境下執(zhí)行數(shù)字簽名的SUF-CMA安全游戲，獲得游戲勝利的優(yōu)勢概率為：

∧(m′,σ′)]≤negl(λ)，

且該優(yōu)勢概率關于安全參數(shù)λ可忽略。

1.4 消息認證碼

對稱加密的消息認證碼(Message Authentication Code,MAC)主要包含MACSign算法和MACVer算法。使用M表示消息認證碼的對稱密鑰空間，該空間通常取決于安全參數(shù)λ。對任意的對稱密鑰mkM，明文消息τ{0,1}*，有MACVer(mk,σ=MACSign(mk,τ),τ)=以(1-negl(λ))的概率成立，稱σ為明文消息τ關于對稱密鑰mk的消息認證碼。

消息認證碼的One-to-One屬性：稱消息認證碼MAC是One-to-One的，當且僅當對任意的mkM，任意的明文消息τ{0,1}*，有且僅有唯一的消息認證碼σ=MACSign(mk,τ)，滿足MACVer(mk,σ,τ)=。

1.5 對稱加密算法

(1)SYMENC(dk,m)→C：算法以對稱密鑰dkD和明文m為輸入，輸出密文C。

(2)SYMDEC(dk,C)→m：該算法以對稱密鑰dkD和密文C為輸入,輸出明文m。

稱對稱加密方案SYM具有正確性，當且僅當對任意的密鑰dkD、明文m,m=SYMDEC(dk,SYMENC(dk,m))以(1-negl(λ))的概率成立。

定義3[17](對稱加密算法的IND- PA安全)稱對稱加密方案SYM具備IND- PA安全，當且僅當對任意的概率性多項式時間攻擊者，在SYM的協(xié)議環(huán)境下執(zhí)行SYM的IND-PA安全游戲，獲得游戲勝利的優(yōu)勢概率為：

且該優(yōu)勢概率關于安全參數(shù)λ可忽略。

1.6 密鑰推導函數(shù)

D0={(dk,mk)|(dk,mk)←D×M},

D1={(dk,mk)K←K,(dk,mk)←KDF2(K)},

|Pr[b←{0,1},(dk,mk)←Db,b′←(KDF2,(dk,

mk)),b′]-1/2|≤negl(λ)

成立。

2 SCtKstd方案

本節(jié)將提出一種帶標簽的簽密密鑰封裝機制的通用構造方案(SCtKstd)，并進行安全性分析。

2.1 帶標簽的簽密密鑰封裝機制

帶標簽的簽密密鑰封裝機制的協(xié)議概念[4]和安全模型[17]的具體表述如下。

定義4[4]帶標簽的簽密密鑰封裝機制(SCtK)由以下6個算法構成：

(1)SCtKSetup(1λ)→prm：該算法以安全參數(shù)λ為輸入，輸出公共參數(shù)prm。

(2)SCtKKeyGenS(prm)→(pkS,skS)：該算法以公共參數(shù)prm為輸入，輸出用戶的發(fā)送方公私密鑰(pkS,skS)。

(3)SCtKKeyGenR(prm)→(pkR,skR)：該算法以公共參數(shù)prm為輸入，輸出用戶的接收方公私密鑰(pkR,skR)。

(4)SCtKSym(prm,skS,pkR)→(K,ω)：該算法輸入公共參數(shù)prm、發(fā)送方私鑰skS和接收方公鑰pkR，輸出臨時隨機密鑰K和中間狀態(tài)信息ω。

(5)SCtKEncap(prm,skS,pkR,ω,τ)→C：算法輸入公共參數(shù)prm、發(fā)送方私鑰skS、接收方公鑰pkR、中間狀態(tài)信息ω和標簽信息τ，輸出帶標簽的簽密密鑰封裝報文C。

(6)SCtKDecap(prm,skR,pkS,C,τ)→Kor⊥：該算法輸入公共參數(shù)prm、接收方私鑰skR、發(fā)送方公鑰pkS、簽密密鑰封裝報文C和標簽信息τ，輸出密鑰K或錯誤信息⊥。

稱帶標簽的簽密密鑰封裝機制SCtK具有正確性，當且僅當對任意的prm←SCtKSetup(1λ)、(pkS,skS)←SCtKKeyGenS(prm)、(pkR,skR)←SCtKKey-GenR(prm)、(K,ω)←SCtKSym(prm,skS,pkR)及C←SCtKEncap(prm,skS,pkR,ω,τ)，SCtKDecap(prm,skR,pkS,C,τ)=K以(1-negl(λ))的概率成立。

定義5[17](帶標簽的簽密密鑰封裝機制的DM-IND-iCCA安全游戲)挑戰(zhàn)者與攻擊者按以下步驟進行安全游戲：

定義6[17](帶標簽的簽密密鑰封裝機制的DM-IND-iCCA安全)稱簽密密鑰封裝機制SCtK具備DM-IND-iCCA安全，當且僅當對任意概率性多項式時間攻擊者，在SCtK的協(xié)議環(huán)境下執(zhí)行SC-tag-KEM的DM-IND-iCCA安全游戲，獲得游戲勝利的優(yōu)勢概率為：

且該優(yōu)勢概率關于安全參數(shù)λ可忽略。

定義7[17](帶標簽的簽密密鑰封裝機制的DM-SUF-iCMA安全游戲)挑戰(zhàn)者與攻擊者按以下步驟進行安全游戲：

定義8[17](帶標簽的簽密密鑰封裝機制的DM-SUF-iCMA安全)稱帶標簽的簽密密鑰封裝機制SCtK具備DM-SUF-iCMA安全，當且僅當對任意的概率性多項式時間攻擊者，在SCtK的協(xié)議環(huán)境下執(zhí)行DM-SUF-iCMA安全游戲，獲得游戲勝利的優(yōu)勢概率為：

且該優(yōu)勢概率關于安全參數(shù)λ可忽略。

2.2 方案構造

定義密鑰封裝機制KEM=(KEMSetup,KEMKeyGen,KEMEncap,KEMDecap)，數(shù)字簽名方案SIG=(SIGSetup,SIGSign,SIGVer)，信息認證碼MAC=(MACSign,MACVer)，密鑰推導函數(shù)KDF2:K→D×M，其中，K、D、M分別為KEM、DEM、MAC密鑰空間。標準模型下，帶標簽的簽密密鑰封裝機制的通用構造方案(SCtKstd)如圖1所示。

圖1 帶標簽的簽密密鑰封裝機制的通用構造方案(SCtKstd)Figure1 The generic construction scheme (SCtKstd) of signcryption tag key encapsulation mechanism

2.3 安全性證明

定理1密鑰封裝機制KEM具備IND-CCA2安全，數(shù)字簽名方案SIG具備SUF-CMA安全，密鑰推導函數(shù)KDF2安全，信息認證碼MAC滿足一次選擇信息攻擊安全并具備One-to-One屬性，則SCtKstd方案在標準模型下達到完整內部安全。

證明完整內部安全包含DM-IND-iCCA安全和DM-SUF-iCMA安全，以下從這2個方面給出SCtKstd方案的具體安全性證明，其中省略了協(xié)議內部的公共環(huán)境參數(shù)prm。

(1)SCtKstd方案的DM-IND-iCCA安全證明。假設存在攻擊者以不可忽略的優(yōu)勢概率成功攻擊SCtKstd方案的DM-IND-iCCA安全，考慮以下的一系列安全游戲：

除K的選取方式不同外，Game 0和Game 1完全一致。此時若存在攻擊者，其在Game 0和Game 1中進行SC-tag-KEM的DM-IND-iCCA安全游戲的獲勝優(yōu)勢分別為ε0和ε1，且獲勝優(yōu)勢的差距是不可忽略的:|ε0-ε1|>negl()，則以攻擊者為子算法,可構造區(qū)分器用于攻擊KEM的IND-CCA2安全。

③進入DM-IND-iCCA安全游戲的階段1。此時，攻擊者將發(fā)起適應性查詢(pkS,(C,σ1,σ2),τ)，要求返回SCtKDecap(skR,pkS,(C,σ1,σ2),τ)。

⑤進入DM-IND-iCCA安全游戲的挑戰(zhàn)階段。此時，攻擊者發(fā)送給攻擊者KEM。攻擊者KEM根據(jù)其本身的挑戰(zhàn)報文(pk,Kb,C*)，計算(dk0,mk*)=KDF2(Kb)，dk1←D，并隨機拋幣c{0,1}，將dkc返回給攻擊者。在攻擊者返回標簽信息τ*后，攻擊者KEM調用返回給攻擊者。

因此，若密鑰推導函數(shù)安全，則攻擊者視角的Game 1和Game 2完全一致；否則,可構造區(qū)分器來區(qū)分該密鑰推導函數(shù)的輸出分布，從而得到：

最終可得到：

(2)SCtKstd方案的DM-SUF-iCMA安全證明。SCtKstd方案本質仍為加密后簽名的結構，對于接收方內部敵手獲取到的任意的簽密報文((C,σ1,σ2),τ)，可通過對C解簽密來獲取對應σ2的MAC密鑰mk。但在MAC的One-to-One屬性情況下，若其成功構造出新鮮的合法簽密報文來攻擊DM-SUF-iCMA安全，則必然生成了新鮮的合法簽名以此可攻擊數(shù)字簽名方案SIG的SUF-CMA安全。從而以攻擊者為子算法，可構造對簽名方案SIG的多項式時間攻擊者SIG。

(3)進入DM-SUF-iCMA安全游戲的查詢階段。對攻擊者適應性選取的接收方公鑰pkR，攻擊者SIG調用KMEncap(pkR)→(K,C)，生成(dk,mk)=KDF2(K)，設置中間狀態(tài)信息ω=(mk,C)，返回dk給攻擊者，并等待其后續(xù)查詢。在接收到攻擊者適應性選擇的標簽信息τ后，攻擊者SIG根據(jù)標簽信息τ、中間信息ω=(mk,C)和接收方公鑰pkR，向挑戰(zhàn)者SIG查詢的簽名信息σ1，并生成信息σ2=MACSign(mk,(σ1,pkS))，返回(C,σ1,σ2)給攻擊者。

(4)進入DM-SUF-iCMA安全游戲的輸出階段。此時，攻擊者輸出針對SCtKstd方案的DM-SUF-iCMA安全的偽裝報文攻擊者SIG直接令將返回給挑戰(zhàn)者SIG。

因此，在數(shù)字簽名方案SIG本身具備SUF-CMA安全的情況下，SCtKstd方案是具備DM-SUF-iCMA安全的。

綜上，SCtKstd方案在標準模型下可證明滿足DM-IND-iCCA安全和DM-SUF-iCMA安全，進而達到完整內部安全。證畢。

3 HSCstd方案

本節(jié)將SCtKstd方案應用在“SC-tag-KEM+DEM”的通用構造當中，提出了一種可達完整內部安全的混合簽密的通用構造方案(HSCstd)，并進行安全性分析。

定義9[9](簽密方案，SC)完整的SC方案由以下5個算法構成：

(1)SCSetup(1λ)→prm：該算法以安全參數(shù)λ為輸入，輸出公共參數(shù)prm。

(2)SCKeyGenS(prm)→(pkS,skS)：該算法以公共參數(shù)prm為輸入，輸出用戶的發(fā)送方公私密鑰(pkS,skS)。

(3)SCKeyGenR(prm)→(pkR,skR)：該算法以公共參數(shù)prm為輸入，輸出用戶的接收方公私密鑰(pkR,skR)。

(4)SCSC(prm,skS,pkR,m)→C：該算法實現(xiàn)簽密功能，輸入公共參數(shù)prm、發(fā)送方私鑰skS、接收方公鑰pkR和明文m，輸出簽密密文C。

(5)SCUSC(prm,skR,pkS,C)→mor⊥：該算法實現(xiàn)解簽密功能，輸入公共參數(shù)prm、接收方私鑰skR、發(fā)送方公鑰pkS和簽密密文C，輸出明文m或錯誤信息⊥。

稱簽密方案SC具有正確性，當且僅當對prm←SCSetup(1λ)和任意的(pkS,skS)←SCKeyGenS(prm)，(pkR,skR)←SCKeyGenR(prm)，明文m和簽密密文C←SCSC(prm,skS,pkR,m)，SCUSC(skR,pkS,prm,C)=m以(1-negl(λ))的概率成立。

3.1 通用構造方案

定義密鑰封裝機制KEM=(KEMSetup,KEMKey-Gen,KEMEncap,KEMDecap)，數(shù)字簽名方案SIG=(SIGSetup,SIGKeyGen,SIGSign,SIGVer)，信息認證碼MAC=(MACSign,MACVer)，對稱加密算法SYM=(SYMENC,SYMDEC)，密鑰推導函數(shù)KDF2:K→D×M，其中，D為臨時密鑰空間，M為MAC密鑰空間。標準模型下，可達完整內部安全的混合簽密的通用構造方案HSCstd如圖2所示。

圖2 可達完整內部安全的混合簽密的通用構造方案(HSCstd)Figure 2 The generic construction scheme (HSCstd) of hybrid signatures with full insider security

3.2 安全性分析

HSCstd方案是基于文獻[14]提出的混合簽密通用構造方案，該方案的安全性基于定理1和以下引理。

引理1[9]若混合簽密方案SC基于帶標簽的簽密密鑰封裝機制SC-tag-KEM和數(shù)據(jù)封裝機制DEM進行構造，并且SC-tag-KEM達到IND-CCA2安全，DEM達到IND-PA安全，則混合簽密方案SC達到IND-CCA2安全。

引理2[9]若混合簽密方案SC基于帶標簽的簽密密鑰封裝機制SC-tag-KEM和數(shù)據(jù)封裝機制DEM進行構造，且SC-tag-KEM達到SUF-CMA安全,則混合簽密方案SC達到SUF-CMA安全。

因此，只需選取達到IND-CCA2安全和SUF-CMA安全的SC-tag-KEM以及滿足IND-PA安全的DEM作為混合簽密方案HSCstd的底層協(xié)議構件，根據(jù)定理1、引理1和引理2，即可證明HSCstd方案達到了完整內部安全。

4 結論

本文在不重用隨機數(shù)的情況下提出了一種帶標簽的簽密密鑰封裝機制的通用構造方案(SCtKstd)，該方案通過使用SIG構件綁定了標簽和密鑰的外部信息，在標準模型下達到完整內部安全。然后，結合SCtKstd方案與“SC-tag-KEM+ DEM”通用構造[9]，提出了可達完整內部安全的混合簽密通用構造方案(HSCstd)，并進行了安全性分析。結果表明：HSCstd方案具備了多方內部安全模型下的IND-CCA2安全和SUF-CMA安全，進而達到了完整內部安全。同時，由于模塊化構造時所使用的構件具有多種成熟的實現(xiàn)方案，使得HSCstd方案具備較好的通用性和實用性。

然而，相對于經典計算攻擊者，量子攻擊者不僅具有更強的計算能力，還具有更強的問詢能力。SCtKstd方案在安全性證明時所使用的安全模型為Chiba[17]的動態(tài)多方內部安全模型，該模型并未考慮量子攻擊者的量子疊加態(tài)問詢能力，因此，SCtKstd方案也未被證明能有效抵抗量子攻擊。所以，在后量子安全模型下來分析混合簽密方案的安全性是下一步研究工作的重點。