[发明专利]使用以非一次一密加密进行加密的签名密钥的加密认证和 /或共享加密密钥的建立、包括 (但不限于 )对可延展攻击具有改进安全性的技术

说明书

本申请要求在2005年7月19日提交的美国临时专利申请No.60/700,769的优先权益，将其一并在此作为参考。对于美国指定，该优先权利要求包括35 U.S.C.119(e)之下的优先权。本申请还要求由Craig B.Gentry、Philip Mackenzie和Zulfikar Amin Ramzan在2006年7月14日提交的名为“CRYPTOGRAPHIC AUTHENTICATION，AND/ORESTABLISHMENT OF SHARED CRYPTOGRAPHIC KEYS，USING A SIGNING KEYENCRYPTED WITH A NON-ONE-TIME-PAD ENCRYPTION，INCLUDING(BUTNOT LIMITED TO)TECHNIQUES WITH IMPROVED SECURITY AGAINSTMALLEABILITY ATTACKS”的美国非临时专利申请No.11/486,510的优先权益，将其一并在此作为参考。对于美国指定，本申请是上述非临时专利申请的延续。，

技术领域

本发明涉及加密，更具体地，涉及由两方通过(可能很短)的秘密来建立共享加密密钥，其中两方具有与该秘密有关的信息。

背景技术

考虑两方，Alice和Bob。Alice和Bob可以通过能够执行处理逻辑的硬连线和/或软件可编程电路来实现。假设Alice和Bob期望通过不安全的网络进行安全地通信，而他们仅想验证包括短秘密口令(例如，4数位PIN码)的彼此的身份，其中Alice知道口令本身，而Bob知道至少一些“口令验证信息”。具体地，他们当中没人知道与另一方相对应的公钥，并且没有一人具有被证明的公钥(即，其证书可由另一方验证的公钥)。在该场景中，Alice不仅需要关注可能尝试通过监听她的通信来偷窃口令的偷听者，而且需要关注正和她进行通信的一方，因为在事先，她甚至不能确定她正在和Bob通信。Bob的情况也类似。

如果Alice和Bob共享了高强度的加密密钥(即长秘密)，则可以使用本领域所公知的标准解决方案来建立安全信道(如Bellare和Rogaway的协议[4])，以解决该问题。然而，由于Alice和Bob仅具有与短秘密口令有关的信息，所以他们也可能关注离线字典攻击。在攻击者获得可以用于执行对口令猜测的离线验证的一些口令验证信息时，出现离线字典攻击。例如，假设Alice和Bob共享口令π，以及攻击者出于某种原因获得了口令的散列h(π)，其中h是诸如SHA-1[39]之类的某种公共加密散列函数。然后，攻击者可以离线，并遍历可能的口令的字典{π₁，π₂，…}，针对h(π)对每一个进行测试。例如，为了测试π_i是否是正确的口令，攻击者计算h(π_i)并检查是否h(π_i)＝h(π)。通常，攻击者所获得的口令验证信息不可能如同口令的散列一样简单，并且攻击者不可能总是能够针对口令验证信息测试所有可能的口令，但是如果他能够测试大量的口令，则这仍然可以被认为是离线字典攻击。Wu[47]描述了离线字典攻击会是如何有效。

因此，期望建立一种用于Alice和Bob之间的通信的协议，从而他们可以将与短秘密(口令)有关的信息自展为可以用于提供安全信道的长秘密(加密密钥)。

这种协议在本领域被称为口令认证密钥交换(PAKE)协议。非正式地，如果攻击协议的唯一可行方式是运行微不足道的在线字典攻击(用于简单迭代地猜测口令并尝试模仿其中一方)，则PAKE协议是安全的(这种类型的攻击通常可以通过公知的方法检测到并进行阻止，如以下所述)。Bellovin和Merritt[6]以及Gong等[21]提出了设计安全PAKE协议的问题，并自此进行了扩展性的研究。

如果PAKE协议指定Alice或Bob之一作为客户端，则另一方作为服务器，以及如果保证了服务器的威胁(compromise)在不执行任何离线字典攻击的情况下并没有揭示可以用于模仿客户端的任何信息，则认为该协议具有针对服务器受到威胁的适应力。这种协议也被称为扩充的PAKE协议。Bellovin和Merritt[7]提出了这个设计扩充的PAKE协议的问题，也进行了扩展性的研究。如前所述，将对现有技术中已经提出的用以解决该问题的许多技术进行讨论。