一種對(duì)IPKC的ESA攻擊及對(duì)策

1、一種對(duì)的攻擊及對(duì)策(1. 現(xiàn)代通信國(guó)家重點(diǎn)實(shí)驗(yàn)室,四川成都 610041; 2.西南交通大學(xué)計(jì)算機(jī)與通信學(xué)院,四川成都 610031; 3.西南交通大學(xué)信息安全與國(guó)家計(jì)算網(wǎng)格實(shí)驗(yàn)室,四川成都 610031)摘 要：首先介紹了 PPKC和 IPKC 的概念，然后對(duì)比了幾種典型攻擊方法對(duì) PPKC和 IPKC 安全性的不同影響。利用IPKC 的特殊性，提出了一種專門針對(duì)IPKC 的攻擊方法錯(cuò)誤探測(cè)攻擊方法(Errors Sniffing Attacks, ESA)；新型公鑰密碼方案NTRU是一種IPKC，因此必須研究其抵抗ESA攻擊的能力；設(shè)計(jì)了一種利用NTRU解密錯(cuò)誤發(fā)起的ESA攻擊算法，該算法

2、可以推測(cè)出私鑰f部分甚至全部的信息。最后提出了增強(qiáng)NTRU抵抗 ESA攻擊的具體措施。中圖法分類號(hào)： TP393 08 文獻(xiàn)標(biāo)識(shí)碼： A Challenges and Solutions of ESA on NTRU YU Wei chi 1,2, HE Da ke 3(1.National Laboratory for Modern Communications, Chengdu Sichuan 610041, China; 2.School of Computer & Communications Engineering, Southwest Jiaotong University

3、, Chengdu Sichuan 610031, China;3.Information Security & National Grid Laboratory,Southwest JiaotongUniversity,Chengdu SichuanChina)Abstract:The conceptions of PPKC and IPKC areintroduced in this paper. Secure performances of PPKCand IPKC under differentattacksare contrasted.type of attacks, Err

4、ors Sniffing Attacks(ESA) whichwork on IPKC only, are presented. Because NTRU is atypicalIPKC, itsperformanceof ESA resistance610031,A newshouldbe studied. Based on NTRU decryption failures, an ESAalgorithm can explore partial even whole informationof private keyf . In order to keep NTRU away from E

5、SA,some suggestions are given at the end of this paper.Key words:Public Key Crypto Scheme; Imperfect Public Key Cryptography Scheme(IPKCS); Error Sniffing Attacks(ESA)1 概述傳統(tǒng)的公鑰密碼，如RSA，ECC等，只要一段明文能夠被正確加密，解密這段密文就一定可以恢復(fù)出原來的明文。但是基于格上的新型公鑰密碼方案，如AD1 ， GGH2和NTRU3，卻有一個(gè)共同的特點(diǎn)：即使一段明文能夠被正確加密，但是解密這段密文卻不一定能夠正確恢復(fù)出

6、原來的明文。定義 1 設(shè) (sk,pk)是公鑰密碼方案“私鑰公鑰”對(duì)，對(duì)明文 m的加密運(yùn)算為 c=Epk (m) ，對(duì)密文 c 的解密運(yùn)算是 Dsk(c) 。如果對(duì)于任意的明文 m都有 m=Dsk(Epk(m) 成立，則這個(gè)公鑰密碼方案是完備公鑰密碼方案（Perfect PublicKey Cryptosystem,PPKC ）；如果存在一些m，使mDsk(Epk(m) ，則這個(gè)公鑰密碼方案是非完備的公鑰密碼方案（ Imperfect Public Key Cryptosystem,IPKC）。目前已知的三個(gè)基于格上難題構(gòu)造的新型公鑰密碼方案 AD，GGH和 NTRU都是 IPKC。IPKC

7、存在解密錯(cuò)誤的現(xiàn)象并沒有引起這些方案設(shè)計(jì)者足夠的重視，他們一般為：解密錯(cuò)誤現(xiàn)象給密碼方案帶來的問題主要是工作效率的問題，只要解密錯(cuò)誤出現(xiàn)的概率比較小，那么這種小概率的解密失敗僅僅對(duì)密碼使用的效率略微有一些影響，對(duì)整個(gè)系統(tǒng)的安全性沒有任何影響。筆者認(rèn)為這種觀點(diǎn)值得商榷。2 公鑰密碼典型攻擊方式對(duì)PPKC和 IPKC 不同的影響一個(gè)經(jīng)過 PPKC加密的明文總是可以被正確地解密還原，但是一個(gè)經(jīng)過IPKC 加密的明文卻可能無法被正確恢復(fù)。實(shí)際系統(tǒng)中， 為了確保解密者能夠獲得這個(gè)明文，IPKC 加密方案必須采用一些其他附加的手段，如采用“檢錯(cuò)重傳”的協(xié)議，一旦發(fā)現(xiàn)解密錯(cuò)誤，解密者就要求加密者選用新的隨機(jī)參數(shù)對(duì)該明文重新加密傳輸。采用“檢錯(cuò)重傳”協(xié)議雖然可以保證解密者獲得正確的明文，但是也帶來了新的問題：一個(gè)主動(dòng)攻擊者總是可以知道IPKC 何時(shí)發(fā)生了解密錯(cuò)誤。如果攻擊者能夠準(zhǔn)確獲知何時(shí)發(fā)生了解密錯(cuò)誤這一信息，那么攻擊者就可以利用這個(gè)信息對(duì)IPKC 系統(tǒng)進(jìn)行分析，從中獲得系統(tǒng)的秘密信息。因此IP