摘要：密码算法的白盒实现是保护密钥安全的一种重要技术.当前,对称密码的白盒实现已有不少成果,但是公钥密码的此类成果极少.除去商业保护的原因,公钥密码运算通常需要较大规模的数学计算,导致其白盒设计难度更大.本文针对椭圆曲线倍点运算设计了一种新型白盒实现方法,具有安全、高效、低存储等优点.该方法的基本策略是,首先将倍数表示成特殊的形式,然后通过构造查找表保护其中每个分量,通过网络化查表消除单表的掩码并实现最终结果正确计算的目的,使得倍数信息在整个计算过程中不被泄露.我们选择恰当的余数系统分解模乘、模加等大数运算,以此降低查找表的规模,同时也提高了查表效率.基于该方法,我们设计了标准I/O接口的SM2/9解密算法白盒实现方案,方案可以有效隐藏解密私钥,有助于加强SM2/9解密算法在不可信平台上的安全防护.进一步地,我们将该设计策略推广到模幂运算,构造了RSA算法的白盒实现方案.本文所提出的设计思路也可应用于其它公钥密码算法的白盒实现.

摘要：SM2和SM9算法是我国自主设计、具有独特优势的安全高效的密码算法,有效支撑了我国信息安全体系建设,推动了商用密码的发展.本文在系统调研安全多方计算基本思想的基础上,归纳了三种基于同态加密的乘法运算,并进一步扩展,对SM2签名算法和SM9的密钥生成进行分布式门限化设计.本文设计的方案可达到门限值最优,采用广播信道传输消息,通信效率较高;多个参与方协同完成SM2的签名操作和SM9的用户密钥生成,减少了单点私钥丢失或泄露导致密码系统可用性和安全性受损的风险,为SM2/9算法的分布式应用提供了参考.

摘要：传统密码算法在设计时并未考虑算法运行平台的安全风险. Chow等在2002年提出了白盒攻击模型,假定攻击者具有完全控制算法运行过程的能力,可以获取算法的运行状态、更改算法运行的中间值等.此模型更符合密码设备在失控环境下的应用情况,因为一个合法的用户也可能变为一个潜在的攻击者.在这种环境下,传统攻击模型中设计的密码算法将不再安全.如何保护密码算法在白盒环境下的安全性,在数字版权保护、移动终端安全等领域具有强烈的现实需求. Chow等使用混淆与查找表等方式设计了AES、DES白盒方案,肖雅莹等在2009年使用类似方法设计了SM4算法的白盒方案(肖-来方案),白鲲鹏等进一步通过复杂化内部解码编码过程以及引入更多随机数的方式设计了一个新的SM4白盒方案(白-武方案).本文分析了这两个SM4白盒方案.首先指出林婷婷等对肖-来方案分析的复杂度计算存在偏差(林-来分析).具体来讲,该分析中唯一确定了编码矩阵及仿射常数,而实质上根据该分析方法,编码矩阵与仿射常数存在61200·2^(32)种可能取值.进一步地,我们改进了林-来的分析方法,通过调整仿射常数的恢复顺序,大幅降低了计算复杂度.如恢复查找表外部编码的仿射常数时,我们通过搜索等价密钥再确定仿射常数的方式只需不超过210次查表运算就可确定该仿射常数,而林-来分析中获取该仿射常数的计算复杂度为2^(46).同时,我们提出了首个针对白-武方案的第三方分析,指出其密钥和外部编码的取值空间大小为61200·2^(128).我们的分析表明,肖-来、白-武方案的安全性主要依赖外部编码中仿射常数的安全性.两个方案的线性变换部分对安全性的影响有限,且复杂化内部编码解码过程并不能有效提高线性变换的安全性.另外,通过对仿射矩阵或仿射常数进行拆分来增大白盒多样性的策略只会增大白盒方案的实现难度,而对方案的安全性并无明显加强.这一系列发现将对白盒密码的分析与设计提供借鉴作用.

摘要：布尔函数可以作为流密码和分组密码中的非线性部件,对密码系统的安全性有着重要的影响.旋转对称布尔函数是一类在输入进行循环移位下输出值保持不变的布尔函数.此类函数包含了很多具有良好密码学性质的布尔函数.如何构造具有最优代数免疫度的奇变元旋转对称布尔函数是布尔函数研究中的一个被广泛关注的问题.针对此问题沈黎鹏和陈克非给出了一种构造方案,所构造的函数非线性度在变元个数n> 23时是同类构造中最高的,但是在n≤23时是不确定的.本文给出一种新的构造方案,所构造的函数具有较高的非线性度,在变元个数n≤23时非线性度是同类构造中最高的,并且在某些情况下其代数次数能达到最高值n-1.此外,在变元个数为11, 13, 15时,利用Simon Fischer的程序验证了新构造的布尔函数具有几乎最优的抵抗快速代数攻击的能力.本文的构造可以为对称密码算法(尤其是利用小变元布尔函数作为非线性部件的轻量级密码算法)的设计提供更多可选择的密码函数.

摘要：密码函数包含布尔函数与向量布尔函数两大类,其密码学性质关系到整个密码系统的安全性.旋转对称布尔函数是一类输出值在输入的循环移位下保持不变的布尔函数,具有结构简单、资源利用率高、运算速度快等优点,在分组密码S盒和Hash函数的设计中有着广泛应用.本文基于正整数拆分理论,构造了一类奇变元的旋转对称布尔函数.新构造的n元布尔函数不但代数免疫度达到了最优,而且在n≥25时的非线性度是目前同类构造中最高的.此外,还证明了此类函数具有最优的代数次数,如果n≠2^m+1,m≥3.研究结果表明,构造的布尔函数具有优良的密码学性质,这对构造理论的创新和实际布尔函数的选择有着重要的意义.

摘要：内积功能加密(IPFE)是一类重要的功能加密方案,其使用功能密钥对密文进行解密时可以恢复出明文消息的内积值,在生物特征认证、近邻搜索和统计分析等场景有很多应用.内积功能加密的常规安全性要求为选择明文/密文攻击下的不可区分性(IND-CPA/CCA).然而在实际应用中,内积功能加密还面临许多新的安全威胁,例如通过密钥泄漏攻击,敌手可以获得密钥的部分泄漏信息.在这样的场景中,我们亟需构造满足抗泄漏CPA/CCA安全性的内积功能加密方案.然而,目前已有的内积功能加密方案要么仅实现抗泄漏CPA安全性,要么仅实现半适应性的抗泄漏CCA安全性,其中“半适应性”指敌手必须在安全实验一开始就提交要挑战的实例.本文设计了第一个达到适应性抗泄漏CCA安全性的内积功能加密方案.方案所实现的抗泄漏CCA安全性是完全适应性的,允许敌手以任意的适应性的方式实施密钥泄漏攻击、CCA攻击和提交挑战实例.本文的内积功能加密方案在非对称配对群上构造,其抗泄漏CCA安全性基于标准的MDDH假设,包含了标准的DDH假设和k-Linear假设.从技术层面来说,方案构造受到了Agrawal等人(Crypto 2016)提出的IND-CPA安全的内积功能加密方案以及Kiltz等人(Eurocrypt 2015)提出的非交互零知识证明系统的启发.为了实现适应性的抗泄漏CCA安全性,本文将他们的技术进行有机结合和改造以适用于密钥泄漏场景,并对本文方案中实例的维数进行精细调整,最终通过使用统计性的复杂性杠杆技术来得到适应性安全性.

摘要：门限密码完美体现了"不要把所有的鸡蛋放在一个篮子里"的思想,将传统公钥密码的集中化权限进行分散,保证了多用户可共同分享密码操作权限,并以一种多方安全计算的方式进行密码操作,使得不少于门限值个用户可协同完成密码操作,而少于门限值个用户无法进行合谋.门限密码的多方操作模式,避免了传统公钥密码由于私钥唯一而导致的单点故障问题,对于提升了密码系统的健壮性和安全性等有着重要作用.本文分别介绍了门限密码的基本概念和安全性定义,系统地论述了目前门限密码的研究现状和主要进展,并针对门限密码的功能特性和安全性模型,就关键的研究工作和技术进行了总结,主要包括组件化设计门限密码的通用构造方法和自适应攻击模型下安全门限密码的设计思路,以及基于格构造门限密码的方法,最后讨论了门限密码未来需要研究和解决的部分问题.

摘要：理论上量子算法可高效破解基于整数分解类和离散对数类等经典数论假设的密码体制;近年来量子计算机的研制进展迅速,使经典公钥密码面临现实威胁.因此,设计后量子密码系统是当前密码学研究以及标准制定中的重要课题.其中以后量子密钥交换协议的需求最为迫切,因此成为近年来的热点研究方向.本文主要关注基于格上的计算困难问题,LWE,环LWE和模LWE设计的后量子密钥交换协议,尤其是最基础的无认证密钥交换协议,包括BCNS15,NewHope/NewHope-Simple,Prodo,***等.本文将介绍这些协议中的关键技术,参数选取,以及通信量,计算效率和安全性等指标.

摘要：对于车联网中每个车载终端间短时间传输大量签名信息的验证效率问题,提出一种高效的基于身份的聚合签名方案。结合在线/离线技术,减少计算开销,不会增加额外的签名生成延迟,加入批量验证思想,提高验证效率。在效率分析中,采用的方案签名长度变小,降低了通信过程中的开销。将基于身份的加密技术用于生成用户的私钥,不需要证书,减少传输开销。结论表明,该方案安全性高,适用于大规模的无线网络。