承诺方案与证据不可区分协议的非延展性质的研究

博士后姓名：黄桂芳

 合作导师：胡磊 教授

出站报告摘要

 承诺方案和证据不可区分协议是两种基本的密码协议，它们在密码学中有着广泛的应用。比如，承诺方案和证据不可区分协议经常被作为子协议用来构造零知识证明、多方安全计算、公钥加密方案等。

 随着网络的日益发达和电子交易行业的快速发展，密码协议的应用也日益广泛。在开放的网络应用环境中，不仅要求密码协议具有最基本的安全性质，而且要求密码协议能够保护交易双方的利益不受损害。比如，在A,B两方进行交易的过程中，敌手C侵入了A,B之间的通信信道并发起了中间人攻击。在攻击的过程中，C会竭尽全力地利用他所得到的信息来获取“利益”。此时，就要求密码协议能够抵抗中间人攻击，以便保证交易双方的利益。非延展性质为密码协议在中间人攻击下的安全性提供了保证。

 本报告主要研究了承诺方案和证据不可区分这两类密码协议的非延展性质，得到了如下结果：

 （1）利用两个签名方案构造了公共参考串（CRS）模型下的无界非延展的NMd方案。与Damgård在2003年给出的CRS模型下的无界非延展方案相比：新方案是统计绑定的，且其困难性假设是单向函数的存在性。而原方案是基于单向函数的计算绑定的承诺方案，不能取得统计绑定性质。

 此外，作为研究非延展承诺的副产品，构造了两个是诚实发送者承诺但非承诺方案的实例：第一个是诚实发送者统计绑定的，第二个是完全隐藏的；并且构造了两个是诚实接收者承诺但非承诺方案的实例：第一个实例具有统计绑定性质，第二个实例具有诚实接收者完全隐藏性质；以上构造说明了诚实发送者承诺与诚实接收者承诺都是弱于承诺方案的密码学原语。

 （2）研究了非延展证据不可区分（NMWI）和强非延展证据不可区分（SNMWI）的关系，指出了他们之间的分离性，即：存在着是SNMWI但非NMWI的协议，也存在着是NMWI但非SNMWI的协议。进一步地，我们指出：STOC2009上构造的基于单向函数的SNMWI方案是非NMWI的。在此基础上，给出了一个并发非延展证据不可区分论证系统。这个构造是Lin等人在TCC2008上给出的非延展承诺方案的变形。与ICALP2008上的并发非延展证据不可区分协议相比，新协议是基于单向函数的并且是依赖于黑盒技术的，而原方案是基于无爪置换且是非黑盒的。不过，新方案只能做到多项式轮，而原方案是常数轮的。