Конфиденциальные подписи и детерминированное шифрование

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 15:11, 21 декабря 2015.
Cofidential Signatures and Deterministic Signcryption
Авторы Alexandr W.Dent[@: 1],
Marc Fischlin[@: 2],
Mark Manulis[@: 3],
Martijn Stam[@: 4],
Dominique Schr?oder[@: 5]
Опубликован 2011 г.
Перевели Alexander Irbetkin
Год перевода 2015 г.
Скачать оригинал
Аннотация. Шифрование и подпись, где сообщение шифруется и подписывается параллельно, обычно не рекомендуется для конфиденциальных сообщений, так как при подписи может утекать информация о сообщении. Это мотивирует наши вложения в схемы конфиденциальной подписи, которые скрывают всю информацию о входящих сообщениях. В этой работе мы предоставляем формальное решение конфиденциальности для таких схем. Мы даем конструкции и наши понятия, оба в случайной модели oracle и стандартной модели. Как часть этого, мы показываем, что полный домен хэш-подписей достигает слабее уровня конфиденциальности чем Fiat-Shamir подписей.[1] Далее мы проверяем связать конфиденциальных подписей с схемами шифрования. Мы даем формальные модели безопасности для детерминированных шифровальных схем для высоко-энтропийных и низко-энтропийных сообщений, и доказываем безопасность шифрования и подписи для конфиденциальных подписей и высоко-энтропийных сообщений. Наконец, мы показываем, что можно дерандомизировать любую шифровальную схему в нашей модели и получить безопасную детерминированную схему.[2]

Введение

Распространенная ошибка среди новичков в криптографии –это предположение, что схемы цифровой подписи предоставляют конфиденциальность для подписанных сообщений. Ошибочный аргумент в помощь этого утверждения – это то, что все схемы подписей – это варианты “хэш и подпись”, которые прилагают хэш функцию к сообщению до приложения любых ключевых операций и то, что односторонняя хэш-функция спрячет всю информацию о сообщении. Обе части этого предположения ошибочны. Однако, из этого выходит предположение, что конфиденциальность для схем подписи – это интересное поле для исследований.[2]

Вопрос конфиденциальности хэш-функций в схемах подписи был ранее предложен Канетти, однако оригинальное решение только служит для мотивации концепта идеальной односторонней хэш-функции. Мы предоставляем более формальное решение здесь. Вопрос энтропии безопасности утверждался несколькими другими авторами. Додис и Смит изучали энтропийные безопасные примитивы, требующие того, что никакая функция не раскрывает свой сход. Рассел и Ванг утверждали безопасность симметричного шифрования, основанного на высоко-энтропийных сообщениях. Однако, мы первые авторы которые пишут о конфиденциальности подписи и шифрования по этому сценарию.

Мы верим, что эта концепция конфиденциальной подписи интересна и может доказать полезность в построении протоколов, в которых два юридических лица нуждаются в проверке того, что они оба опасаются за сообщение, которое содержит некую конфиденциальную информацию, такую как пароль, и которая содержит высоко-энтропийный компонент.

Определение конфиденциальной подписи. Наша первая контрибуция служит для определения конфиденциальной подписи. Наша стартовая точка – это высоко-энтропийное сообщение. Наши определения основаны на предыдущих высказываниях для детерминированного шифрования с публичным ключом и трех моделей для схем конфиденциальной подписи:

  • Слабая конфиденциальность означает то, что никакая информация не просочилась к пассивному противнику, кроме возможности для информации, связанной с техническими деталями схемы подписи.[3]
  • Меццо конфиденциальность означает, что никакая информация не просочилась к пассивному противнику. Заметим, что это находится в контрасте с детерминированным публичным ключом шифрования, где информация не может быть скрыта при таких обстоятельствах.
  • Сильная конфиденциальность означает, что никакая информация не просочилась к активному противнику.

Наши определения в целом достаточны для покрытия детерминированных схем, так же нам нужна дополнительная оговорка в случае письма, предотвращая случай, где просочившаяся информация сама по себе уникальная подпись.

Построение конфиденциальной подписи. Далее мы показываем как получить конфиденциальную подпись. Сперва, мы представляем связанную концепцию конфиденциальной хэш-функций, cродни скрытию хэш-функции. Мы доказываем, что случайные оракулы – конфиденциальные хэш-функции, такие ка идеальные однонаправленные хэш-функции в более слабой форме

Мы показываем, что FDH подписи и подписи Фиата-Шамира – конфиденциальны в случайной модели. Мы так же показываем, что строгая безопасность конфиденциальной подписи может быть получена в стандартной модели с использованием хаотичного экстрактора.

Приложения для шифрования. Защищенная передача сообщения обычно выполняется с парадигмой шифруй потом подписывай, где отправитель шифрует сообщение с помощью публичного ключа получателя, а потом подписывает текст с его собственным ключом подписи. Схемы шифрования, представленные в [24], направлены на получение эффективности, комбинацией двух операций. Одно обстоятельство прошлого определения безопасности, это то что принцип шифрование и подпись, где один шифрует, а другой подписывает параллельно, не предоставляет безопасного шифрования в целом, так как подпись может раскрыть информацию о сообщении.

Мы представляем соображения по безопасности шифровальных схем с высоко-энтропийным сообщением, по линиям детерминированных публичных ключей шифрования и конфиденциальных подписей. В случае шифровальных схем, мы можем так же дать низко-энтропийное сообщение и показать, что это определение строго сильнее чем определение для высоко-энтропийного сообщения. Мы показываем, что параллельная схема шифрования и подписи высоко-энтропийно конфиденциальна, если низлежащая шифровальная схема IND-CCA2 и схема подписи конфиденциальна. Наконец, мы доказываем, что мы может дерандомизировать любую шифровальную схему для вывода безопасной детерминированной схемы.

Несмотря на тот факт, что некоторые из наших результатов требуют детерминированную шифровальную схему, мы верим, что детерминированные схемы могут быть более защищенными чем многие текущие. Причина в том, что большая часть текущих схем шифрования базируются на дискретной логарифмической цифровой подписи, которая высоко чувствительна к неидеальному рандомизированию.

В некоторых ситуациях мы вынуждены были из-за ограничений по размеру опустить доказательство теоремы, которое можно найти в полной версии статьи.

Конфиденциальные схемы подписи

Мы формализуем размышления о конфиденциальной подписи в 3 путях и даем конструкции. Эти предположения могут быть приложены к вероятностным и детерминированным схемам.

Определение конфиденциальной схемы подписи

Конфиденциальная схема подписи - это набор эффективных алгоритмов . ). Все алгоритмы в этой статье вероятностные полиномиальные. Алгоритм генерации параметров производит набор параметров, общих для всех пользователей ); в последствии алгоритм генерации ключей производит публичную/частную пару ключей . Алгоритм подписи принимает сообщение и частный ключ, и возвращает сигнатуру . Верификационный алгоритм принимает сообщение, сигнатуру и публичный ключ, и возвращает или действительный ключ или неправильный символ. Это пишется .[4]

(1)

If then output

Else return

(2)

If then output

Else return

(3)

If then output

Else return

(1)-(3). Понятия о конфиденциальности для слабо конфиденциальной сигнатурной схемы; средне конфиденциальной и сильно конфиденциальной схемы. Алгоритм подписи прилагается к вектору сообщения m.[3]

Мы представляем 3 понятия конфиденциальности для цифровой подписи. Эти понятия разделены, в зависимости от возможностей противника, который реагирует натурально на сценарии реальной жизни, где может быть возможно выводить некоторую информацию о сообщении из сигнатуры, что может быть бесполезно. [5] Например, значение хэш-сообщения, но утечку которого нельзя избежать.

В слабо-конфиденциальной модели, атакующий не должен иметь возможность детерминировать любую информацию о сообщении, которое может получиться напрямую из сигнатуры.[6]

Для x из {w,m,s}, приемущество атакующего в игре xSig определено как:

Сигнатурная схема слабо конфиденциальная если все атакующие имеют преимущества в wSig игре.

Для детерминированных схем нам понадобится следующее дополнительное ограничение, исключая тривиальные атаки:

(1)

Return

(2)

If

Return

Else

Return

(3)

If

Parse as

Return

(1) - (3) Схема подписи, которая слабо конфиденциальна, но не средне.


Последнее условие предотвращает победу атакующего против детерминированной схемы, устанавливая , это предотвращает победу атакующего в игре просто определяя, что сообщение m обладает свойством уникальности подписи [7]

Понятия конфиденциальности строго возрастают в силе. Если SS является слабо конфиденциальной подписью, то рисунок 2 изображает схему, которая слабо конфиденциальна, но не mezzo конфиденциальна.[8]

(1)

Return

(2)

If

Set

Return

Else

Set

Return

(3)

If

Parse as

and

, and

If

Return T iff

, and

for any m from {0,1}*,

and

Else return T

(1)-(3) Схема подписи, которая средне конфиденциальна, но не сильно.

Конфиденциальные хэш-функции и схемы подписи

Конфиденциальные хэш-функции

Мы напомним определение хэш функции сокрытия, но будем звать их конфиденциальными. Для наших целей, хэш-функция пара PPT алгоритмов для генерации ключей и хэширования. Мы будем идентифицировать описание вывода, алгоритмом генерации ключей H.Kg с функцией H. Преимущество определения коллизий атакующего A против хэш-функции H определено как:

Хэш-функция слабо конфиденциальна если каждый PPT атакующий имеет незначительные преимущества в данной игре, c учетом следующих ограничений.

  • Шаблон: Существует конечная функция l(k) и функция эквивалентности , таким образом, для любого входа a в соответствующей игре и всех возможных мы имеем, что .
  • Высокая энтропия: Функция незначительна. Значение называется минимальной энтропией противника.

Заметим, что хэш-функция, сопротивляемая к коллизии не может достичь высокой конфиденциальности, так как противник А1 может установить для некоторых сообщений х и А2 может легко получить это значение из хэш-вектора h. Так же заметим, что для открытых хэш-функций, оба определения эквивалентны и таким образом открытая, детерминированная хэш-функция может быть утверждена конфиденциальной.[5]


В случайно модели, где противник получает доступ оракула хэш-функции H, а не получает описание в качестве входных данных, мы даем А1 доступ к случайному оракулу в сильном случае, но не даем А1 доступ к H в слабом случае. Легко заметить, что случайный оракул достигает слабой конфиденциальности, в то время как атака сверху на детерминированную функцию все еще прилагается в сильном случае. Однако, в соответствии с дополнительным ограничением, где А1 не запрашивает H о любых x в выходе x, случайный оракул так же сильно конфиденциальный.[8]


Конфиденциальность случайных оракулов

Для любых противников А = (А1,А2), где А1 выходной вектор длины и с минимальной энтропией и где А2 делает запросов к случайному оракулу, мы имеем

Для from , где А предполагается как hash-free (в сильном случае)</math>[7]


Что касается конструкций в стандартной модели, отметим, что идеальные одно направленные функции предоставляют частичное решение. Функции были сделаны для скрытия всей информации о прообразах, сродни нашим определениям конфиденциальности. Однако, все известные конструкции функций хороши только для фиксированного входа[9]. Кроме того, известные функции обычно требуют условия энтропии любого xi, данного другим хj. В свете этого, любая идеально одно направленная функция – слабо конфиденциально хэш-функцию. Мы модем построить такую хэш-функцию, основанную, например, на свободные перестановки или одно направленные перестановки.[6]


Полно-доменные хэш-подписи

Полно-доменные хэш-подписи для детерминированной хэш-функции Н – это сигнатурная схема, в которой алгоритм подписи считает сигнатуру как для некоторых секретной функции f, и верификационный алгоритм проверяет, что для некой публичной функции g.[5]

(1)

Return

(2)

Parse as

Return

(3)

Parse as

Return T if

Otherwise return T

Слабая конфиденциальность FDH

FDH-cигнатура для хэш-функции H слабо конфиденциальна если H слабо конфиденциальна. [6] Более точно, для любого противника A=(A1,A2) против слабо конфиденциальности FDH, где A1 выход сообщения и А2 делают в основном сигнатурные запросы, где существует противник B=(B1,B2) против слабой конфиденциальности хэш-функции такой как:[10]

Где B1 время работы идентично с А1, а B2 идентично с А2 плюс

Доказательство в целом показывает то, что сигнатурные схемы остаются конфиденциальными для выбранной противником пары ключей (f,g), то есть конфиденциальность полагаются только на конфиденциальность хэш-функции. Более того, из предположения 1, мы имеем, что FDH-сигнатурные схемы слабо конфиденциальные в случайной модели oracle.[11]

Предположим, что FDH – не слабо конфиденциальна и существует противник А=(А1,А2), удачно нарушая это свойство. Далее мы строим ротвника В=(В1,В2) против слабой конфиденциальности хэш-функции. Противник В1 на входе выполняет А1 на выходе и выдает ответ алгоритма .

Алгоритм В2 получает на вход описание H конфиденциальной хэш-функции и вектор h значений хэша. В2 запускает и считает подписи . Это вызывает А2 на и отвечает на каждый последующий запрос подписи для сообщения m, считая . Когда А2 выводит t' алгоритм B2 копирует этот вывод и останавливается.</math>[7]


Легко увидеть, что преимущество B2, атакуя конфиденциальность хэш-функции идентично с преимуществом А2, атакующего FDH схему подписи.

Сильно конфиденциальные подписи в ROM

Напоминание из предыдущей секции: Из FDH подписей утекают значения хэша сообщения. Для предотвращения этой ситуации, мы сделали процесс хэширования вероятностным и считает для случайного r. Тогда А1 не может предугадать значения хэша сообщения, основываясь на r и А2 не может угадать значения ключа, в связи с энтропией в сообщении m (даже если r известно). Этот экземпляр показан на рисунке 5.

Случайный экземпляр oracle

Если H – хэш-функция, смоделированная как случайный oracle, тогда подпись схемы SS строгго конфидециальная. Это так, для любого атакующего А против строгой конфиденциальности схемы подписи SS, где А1 выводит вектор длины и с предположением, что схема подписи. Мы определяем новую схему подписи SS’.</math>[12]

(1)

Return

(2)

Parse as

Return

(3)

Parse as

Parse as

Return

Построение строго конфиденциальной схемы подписи в ROM. Минимальная энтропия и где А2 спрашивает в основном oracle запросы. Мы имеем

Cхемы подписи Фиата-Шамира

Наш второй экземпляр основан на парадигме Фиата-Шамира, которая превращает каждую идентификационную схему в схему подписи. Идентификационная схема описывается тройкой , где G – алгоритм генерации ключа и отправитель S хочет доказать свою принадлежность получателю R. Более формально – это эффективный алгоритм который выводит пару ключей . – интерактивные алгоритмы и требуется, чтобы (где вероятность взята по броскам монеты S,R и G). Каноническая ID схема – тройная ID схема (альфа, бета, гамма) в которой альфа устанавливается отправителем, бета получателем и состоит из случайных случайных монет R, и .[11]

Для доказательства конфиденциальности этой схемы нам нужно предположить, то что обязательство альфа схемы Фиата-Шамира имеет не тривиальную энтропию. Это может всегда быть достигнуто публичной случайностью.[13]

Экземпляр Фиата-Шамира

Если H – хэш-функция, смоделированная как случайный oracle, тогда экземпляр Фиата-Шамира SS’’ для нетривиальных обязательств – высоко конфиденциален. Для любого атакующего А высокой конфиденциальности схемы подписи SS’’, где A1 выводит вектор сообщения длиной с минимальной энтропией , имеет минимальную энтропию и А2 запрашивает в основном oracle запросы. Мы имеем

Предположение – каноническая идентификационная схема и H – семейство хэш-функций. Мы определяем схему подписи SS’’=(SS.Setup’’, SS.Kg’’, SS.Sign’’, SS.Ver’’) как показано

(1)

Return

(2)

Parse as

Return

(3)

Parse as

Parse as

Return 1 iff

and

Парадигма Фиата-Шамира, которая представляет каждую ID схему как схему подписи.[14]

Сильно конфиденциальные подписи для случайного извлечения

Наш экземпляр в стандартной модели, опирается на случайное извлечение и располагается на рисунке. Основная идея в том, чтобы плавно распределить сообщение через экстрактор и подписать почти равномерное значение h.

Для обеспечения надежности мы должны увеличить свойство извлечения экстрактора, сопротивлением к коллизиям, налагая требования, чтобы экстракторы были с ключом и представляя зависимость от параметров экстрактора.

В порядке использования экстрактора,[14]

нам нужно сильное предположение о распределении сообщения: мы предполагаем, что противник А1 выводит вектор сообщений так, что каждое сообщение в векторе имеет значение минимальной энтропии вышел чем некоторые фиксированные значения , данные другим сообщением. Требования к сопротивлению к коллизиям в экстракторе реализует то, что мю должно быть логарифмическим. Мы говорим, что выход имеет условную минимальную энтропию .

Экземпляр экстрактора

Если экстрактор, тогда экземпляр экстрактора строго конфиденциальна. Более специфично, для любого атакующего А строго конфиденциальную схему SS”’, где А1 выводит вектор длиной с условной минимальной энтропией . Мы имеем:[15]

Заметим, что наша конструкция случайного экстрактора работает с сообщением фиксированной длины битов входа, и длина подписи зависит от этого предположения – схема подписи. Мы определяем новую подпись схемы SS’’’ как следующее значение [16]

(1)

Choose an extractor Ext

Return

(2)

Parse as

Return

(3)

Parse as

Parse as

Set

Return

Конструкция строго конфиденциальной подписи, основанной на случайном экстракторе.[17]

Для проведения больших сообщений, мы можем сперва хэшировать входное сообщение с хэш-функцией, сопротивляемой к коллизиям, до того как пустить их в экстрактор. В этом случае, некая забота должна быть выделена для определения правильной границы для потери энтропии через высчитывание хэш-функции.[16]

Детерминированное шифрование

Является шифрованием с открытым ключем, направленным на быстрое предоставление конфиденциальнсти сообщений и целостность. Было предствлено Ченгом, а модели безопасности были представлены Аном, Додисом и Рабином, а так же Баеком, Стейнфилдом и Ченгом. Схоже с открытым шифрованием достигается конфиденциальность в формальной модели безопасности. Мы так же увидим практическую версию конфиденциальности, которая даже пожет быть достигнута детерминированной схемой шифрования для сообщения с низкой энтропией.

Понятия конфиденциальности для шифровальных схем

Схемы шифрования – это набор PPT алгоритмов . Установка алгоритма генерирует публичные параметры общие для всех алгоритмов. Мы в целом предположим, что все алгоритмы принимают лямба как вход, даже если не явно установлены.[9] Отправительный алгоритм генерации ключей генерирует пару ключей для отправителя алгоритм генерации ключей получателя генерирует пару ключей для получателя Алгоритм шифрования принимает на вход сообщение m, частный ключ отправителя , и публичный ключ принимающего . Обратный алгоритм принимает на вход зашифрованный текст, публичный ключ , частный ключ и выход сообщения или символ ошибки.

Интересно рассмотреть базовою атаку на детерминированную схему шифрования и подписи. В таких атаках, атакующий выбирает два сообщения (m0, m1) и получает зашифрованную подпись C* сообщения mb. Атакующий проверяет принадлежит ли C* m0, посылая запрос в oracle.[14]

Как и в случае шифрования с открытым ключом, мы можем предотвратить простые атаки, используя высоко-энтропийное сообщение и таким образом предотвратить возможность атакующего определить, какое сообщение запрашивать из oracle. Тем не менее, в отличие от случая публичного шифрования, мы можем так же предотвратить атаку, запрещая атакующему запрашивать oracle на m0 и m1. Мы можем так же провести разницу между высоко-энтропийным случаем и низко-энтропийным ( в котором атакующему запрещено запрашивать oracle).[10]

Мы даем определения для высоко-энтропийной и низко-энтропийной конфиденциальности на рисунке 8. В обоих случаях, например для x из {h,l} преимущество атакующего определено как

Схема шифрования и подписи – высоко-энтропийная, если каждый PPT атакующий A имеет незначительное приемущество в hSCR игре со следующими ограниченими:[17]

*Строгое сохранение шаблона
*Высокая энтропия
  • Без подписи
  • Не тривиально

Схема шифрования и подписи – низкой энтропии конфиденциальности если каждый атакующий PPT А имеет незначительное преимущество в игре ISCR с ограничениями, что А2 никогда не запрашивает oracle шифрования и А2 никогда не запрашивает oracle дешифрования на

Каждая детерминированная схема шифрования и подписи SC с низкой энтропией конфиденциальности так же конфиденциальна с высокой энтропией. Практически, для любого противника А против высоко-энтропийной конфиденциальности, делающего как максимум запросов и где А1 выводит сообщение c минимальной энтропией , существует противник А' такой, что [16]

Где время работы А’ равняется времени A плюс .[8]


(1)

If then output 1

Else return 0

(2)

Output b'

Понятия конфиденциальности для высоко-энтропийных схем шифрования и низко-энтропийных схем шифрования и подписи.

Доказательство практически показывает, что сообщение, сделанное высоко-энтропийным атакующим А1 имеет минимальную энтропию , вероятность, что А2 запрашивает oracle на одно из этих сообщений закреплено как . Если это не выполняется, тогда атакующий с низкой энтропией может легко запустить высоко-энтропийного атакующего как черный ящик. Доказательство служит только для детерминированных схем. Мы не осведомлены, правильно ли это для вероятностных схем.[16]

Так же мы имеем то, что определение низко-энтропийной конфиденциальности строго сильнее чем определение высокой энтропии. Если SC схема с высокой энтропией конфиденциальности, тогда схема шифрования и подписи SC’, – схема с высокой энтропией конфиденциальности, но не с низкой.[15]

Схема шифрования и подписи с высоко-энтропийной безопасностью

(1)

if

Return

Else

Return

Схема шифрования и подписи

Первоначально, можно подумать, что высоко-энтропийная конфиденциальность может быть достигнута легко через комбинацию детерминированного шифрования и конфиденциальной подписи.

Однако, многие из классических композиционных теорем, таких как шифрование-подпись, проваливаются в достижении высоко-энтропийной безопасности, даже когда проиллюстрирована с безопасными компонентами.[10]

Тем не менее, мы можем показать, что шифрование-подпись безопасна, когда установлена с IND-CCA2 схемой шифрования с открытым ключом и строго конфиденциальной схемой подписи.

TemplateTheoremIcon.svg Теорема Теорема 1
Если схема подписи детерминирована и строго конфиденциальна, а также схема шифрования IND-CCA2 безопасна, тогда схема шифрования и подписи конфиденциальна в высоко-энтропийной модели. Практически, если существует атакующий А, против высоко-энтропийной безопасности схемы шифрования и подписи, тогда существуют атакующие против IND-CCA2 безопасности схемы шифрования и строгой конфиденциальности схемы подписи, такой как

, где время выполнения равняется одному из А плюс

.
Доказательство
Безопасность этой схемы может быть доказана схоже с теоремами состава шифрования/подписи, доказанных Аном.


Дерандомизация

Голдрайх представляет метод перевода любой вероятностной схемы подписи в детерминистскую. Идея заключается во включении секретного ключа k псевдослучайной функции в секретный ключ подписи и использовании в этом процессе при подписании сообщения случайной монеты . [18] Отметим, что результирующая схема содержит ту же подпись, если использовать её дважды в том же сообщении.[15]

Мы покажем, что идея Голдрайха применима также к схемам шифрования подписи с наличием преимущества, заключающегося в том, что схемы шифрования подписи включают в себя секретный ключ подписи, в который мы можем включить ключ k псевдослучайной функции. Тем не менее, тогда как вероятностная схема шифрования подписи обычно скрывает тот факт, что одно и то же сообщение было зашифровано дважды, дерандомизирующая версия ясно выдаёт эту информацию.

Для схемы шифрования подписи дерандомизирующая версия , базирующаяся на псевдослучайной функции , работает в соответствии со стратегией Голдрайха:

(1)

Return

(2)

Parse as

Return C

Дерандомизирующее шифрование подписи

Пусть – не фальсифицируемая и высокоэнтропийная (ср. низкоэнтропийная) конфиденциальная схема шифрования подписи. Тогда схема – детерминистская, не фальсифицируемая схема шифрования подписи, которая является высокоэнтропийно (отв. низкоэнтропийно) конфиденциальной. То есть для x из {l,h} и любому противопоставлению конфиденциальности A = (А1, А2) и существует противопоставление D и B = (В1, В2) таких, как

Контакты авторов материала

  1. Royal Holloway, University of London, U.K.
  2. Darmstadt University of Technology, Germany
  3. Darmstadt University of Technology, Germany
  4. LACAL, EPFL, Switzerland
  5. Darmstadt University of Technology, Germany

Благодарности

Авторы хотят поблагодарить рабочую группу ECRYPT II MAYA по дизайну и анализу элементов и протоколов за интересные предварительные обсуждения данного вопроса. Работа, описанная в этом отчете, была частично поддержана Комиссией Европейского экономического сообщества по программе ICT в соответствии с контрактом ICT-2007-216676 ECRYPT II. [9]Информация в этом документе предоставлена «как есть», и не даётся или подразумевается никакой гарантии того, что данная информация пригодна для какой-либо конкретной цели. Пользователь использует информацию на свои риск и ответственность. Доминик и Марк были поддержаны грантом Эмми Нёзер Fi 940/2-1 Германского исследовательского фонда (DFG), и CASED (www.cased.de).[1]

Литература

  1. 1,0 1,1 18. N. A. Howgrave-Graham and N. P. Smart. Lattice attacks on digital signature schemes. Designs, Codes and Cryptography, 23(3):283{290, 2001.
  2. 2,0 2,1 J. H. An, Y. Dodis, and T. Rabin. On the security of joint signature and encryption. In L. Knudsen, editor, Advances in Cryptology – Eurocrypt 2002, volume 2332 of Lecture Notes in Computer Science, pages 83–107. Springer-Verlag, 2002.
  3. 3,0 3,1 9. J.-S. Coron. On the exact security of full domain hash. In M. Bellare, editor,
  4. J16. Marc Fischlin. Anonymous signatures made easy. In Public-Key Cryptography (PKC) 2007, volume 4450 of Lecture Notes in Computer Science, pages 31{42. Springer-Verlag, 2007.
  5. 5,0 5,1 5,2 15. M. Fischlin. Pseudorandom function tribe ensembles based on one-way permuta-tions: Improvements and applications. In J. Stern, editor, Advances in Cryptology - Eurocrypt 1999, volume 1592 of Lecture Notes in Computer Science, pages 429{444. Springer-Verlag, 1999.
  6. 6,0 6,1 6,2 13. D. Dolev, C. Dwork, and M. Naor. Non-malleable cryptography. SIAM Journal on Computing, 30(2):391{437, 2000...
  7. 7,0 7,1 7,2 J. Baek, R. Steinfeld, and Y. Zheng. Formal proofs for the security of signcryption. Journal of Cryptology, 20(2):203–235, 2007
  8. 8,0 8,1 8,2 10. A. W. Dent, M. Fischlin, M. Manulis, M. Stam, and D. Schr•oder. Con dential signatures and deterministic signcryption. Available from http://eprint.iacr.org/2009/588, 2009.,
  9. 9,0 9,1 9,2 12. Y. Dodis and A. Smith. Entropic security and the encryption of high entropy messages. In J. Kilian, editor, Theory of Cryptography { TCC 2005, volume 3378 of Lecture Notes in Computer Science, pages 556{577. Springer-Verlag, 2005..
  10. 10,0 10,1 10,2 7. R. Canetti. Towards realizing random oracles: Hash functions that hide all partial information. In B. Kaliski, editor, Advances in Cryptology – Crypto ’97, volume 1294 of Lecture Notes in Computer Science, pages 455–469. Springer-Verlag, 1997
  11. 11,0 11,1 R. Canetti, D. Micciancio, and O. Reingold. Perfectly one-way probabilistic hash functions. In Proc. 30th Symposium on the Theory of Computing – STOC 1998, pages 131–140. ACM, 1998.
  12. M. Bellare, A. Boldyreva, and A. O’Neill. Deterministic and efficiently searchable encryption. In A. Menezes, editor, Advances in Cryptology – Crypto 2007, volume 4622 of Lecture Notes in Computer Science, pages 535–552. Springer-Verlag, 2007
  13. M. Bellare, M. Fischlin, A. O’Neill, and T. Ristenpart. Deterministic encryption: Definitional equivalences and constructions without random oracles. In D. Wagner, editor, Advances in Cryptology – Crypto 2008, volume 5157 of Lecture Notes in Computer Science, pages 360–378. Springer-Verlag, 2008.
  14. 14,0 14,1 14,2 14. A. Fiat and A. Shamir. How to prove yourself: Practical solutions to identi cation and signature problems. In A. Odlyzko, editor, Advances in Cryptology { Crypto '86, volume 263 of Lecture Notes in Computer Science, pages 186{194. Springer-Verlag, 1986
  15. 15,0 15,1 15,2 6. A. Boldyreva, S. Fehr, and A. O’Neill. On notions of security for deterministic encryption, and efficient constructions without random oracles. In D. Wagner, editor, Advances in Cryptology – Crypto 2008, volume 5157 of Lecture Notes in Computer Science, pages 335–359. Springer-Verlag, 2008.
  16. 16,0 16,1 16,2 16,3 5. M. Bellare and P. Rogaway. The exact security of digital signatures — how to sign with RSA and Rabin. In U. Maurer, editor, Advances in Cryptology – Eurocrypt ’96, volume 1070 of Lecture Notes in Computer Science, pages 399–416. SpringerVerlag, 1996.
  17. 17,0 17,1 17. O. Goldreich. Two remarks concerning the Goldwasser-Micali-Rivest signature scheme. In A. M. Odlyzko, editor, Proceedings on Advances in Cryptology { Crypto '86, volume 263 of Lecture Notes in Computer Science, pages 104{110. Springer-Verlag, 1987.
  18. 11. Y. Dodis, R. Gennaro, J. Hastad, H. Krawczyk, and T. Rabin. Randomness extrac-tion and key derivation using the CBC, Cascade and HMAC modes. In M. Franklin, editor, Advances in Cryptology { Crypto 2004, volume 3152 of Lecture Notes in Computer Science, pages 494{510. Springer-Verlag, 2004.