批量密钥交换算法:RSA 与 Diffie - Hellman 的优化与应用
1. 引言
在密钥交换过程中,传统的 BSA 密钥交换存在延迟问题。而基于类似 Fiat 的数学思想,我们可以构建一种批量 Diffie - Hellman(Batch - Diffie - Hellman)密钥协商方案,它不仅能避免这种延迟,而且在效率上可与批量 RSA(Batch - RSA)相媲美。实践表明,与全尺寸指数和模数的非批量 Diffie - Hellman 方案相比,该方法能将中心处理时间提高约一个数量级;与使用缩写指数的 Diffie - Hellman 方案相比,也能取得 1.6 到 3 倍左右的提升。
2. 批量 RSA(Batch - RSA)
2.1 基本原理
假设需要计算 $m_i^{e_i} \mod N$($i = 0, 1, 2, \cdots, b - 1$),其中 $b$ 为批量大小,$e_i$ 相对较小,且 $1/e_i \mod \lambda(N)$ 较大($\lambda(N) = (p - 1) \cdot (q - 1)/2$)。批量 RSA 的主要思路分为三个阶段:
1.
第一阶段
:计算 $c = \prod_{i = 0}^{b - 1} m_i^{e_i} \mod N$,这里使用一种特殊的高效二叉树结构来实现。
2.
第二阶段
:计算 $m = c^{1 / P} \mod N$,这是一个全尺寸的模幂运算,但成本会分摊到 $b$ 次计算中。
3.
第三阶段
:将 $m \mod N$ 分解为 $b$ 个单独的分量 $m_i^{e_i} \mod N$,这是我们计算的期望输出。
2.2 二叉树结构
为简化说明,假设 $b = 2^k$($k$ 为整数)。创建一个完全二叉树,叶子节点标记为 $m_0, m_1, m_2, \cdots, m_{b - 1}$。路径用对应的二进制序列 $C^k$($C = {0, 1}$)表示,空字符串用 $\epsilon$ 表示,右子节点对应 1,左子节点对应 0。树中每条弧用唯一的路径标记,弧的标签 $l(\eta)$ 按以下规则自底向上标记:
- 若 $\eta x$ 是通向与消息 $m_i$ 关联的叶子节点的路径,则 $l(\eta x) = e_i$。
- 对于 $\eta \in C^{k’}$($k’ < k - 1$),$l(\eta x) = l(\eta x0) \cdot l(\eta x1)$。
节点的数据 $d(\eta)$ 取决于消息和指数,初始时叶子节点的内容为对应消息 $m_i$,节点内容自底向上计算:$d(\eta) = d(\eta 0)^{l(\eta 0)} \cdot d(\eta 1)^{l(\eta 1)} \mod N$,根节点的内容即为 $d(\epsilon) = \prod_{i = 0}^{b - 1} m_i^{e_i} \mod N$。
在第二阶段计算出 $m$ 后,使用树自顶向下将 $m$ 分解为其分量。以根节点的左右子节点为例,设左子节点关联的叶子节点为 $0, 1, \cdots, q - 1$,右子节点关联的叶子节点为 $q, q + 1, \cdots, b - 1$。使用中国剩余定理计算 $X$,使得 $X \equiv 0 \mod e_i$($i = 0, \cdots, q - 1$)且 $X \equiv 1 \mod e_i$($i = q, \cdots, b - 1$)。通过一系列计算可得到 $M_0$ 和 $M_1$,该过程递归进行,直到叶子节点得到期望输出。
2.3 与 Montgomery 模约简结合
Montgomery 模约简在公钥实现中非常流行,它主要处理加法和乘法,而批量 RSA 计算的大部分也是加法和乘法。在第三阶段向下遍历树时,有两个除法操作不能用 Montgomery 方法完成,但渐近上可忽略不计,实际中与节点中的大指数运算相比也较小。
以下是结合 Montgomery 模约简的操作步骤:
Begin
1. cd = M(c * d);
2. regular a = b / cd mod N; (result: non - Montgomery number)
3. regular e = f / a mod N; (result: a Montgomery number)
4. a = M(a * (Bz mod N)); (to get back a Montgomery number).
End
虽然除法操作会带来一定成本,但通过小因子(2)来弥补使用 Montgomery 约简方法优势的损失,并且每个除法还需加上步骤 4 的成本。不过,软件复杂度的小幅增加在中心办公室应用中并不显著。
3. 批量 Diffie - Hellman(Batch Diffie - Hellman)
3.1 应用场景
以便携式通信系统为例,许多便携式无线电话通过称为“端口”的固定接入点矩阵访问中心办公室。设便携式设备 $i$ 的秘密和公钥分别为 $(S_i, P_i)$,端口 $j$ 的秘密和公钥分别为 $(S_j, P_j)$,中心设施受所有端口信任。
3.2 基本原理
在基本的 Diffie - Hellman 方案中,整个系统有一个共同的素数模数 $N$ 和一个 $GF(N)$ 的原元素 $\alpha$,满足 $P_i = \alpha^{S_i} \mod N$,$P_j = \alpha^{S_j} \mod N$,设备 $i$ 和端口 $j$ 之间的会话密钥为 $SK_{ij} = \alpha^{S_i S_j} \mod N$。
为使中心权威能够使用批量 Diffie - Hellman,需要引入额外约束:
1.
模数要求
:模数应为合数,其秘密素因子分解(两个大素数)仅中心设施知晓,且 $N$ 的分解困难。
2.
端口密钥
:每个端口 $j$ 的秘密密钥 $S_j$ 不是随机选择的,而是选择一个相对较小的 $e_j$,并计算其模 $\lambda(N)$ 的乘法逆元。同时,需要 $e_j < \log_2(n)$($n$ 为模数的位数)。
3.
指数互素
:$e_j$ 两两互素。
便携式设备的密钥则无新的约束,用户可以选择使用缩写秘密指数(目前 130 位似乎是安全的)、基于身份的系统等,系统具有一定的异构性。
4. 安全性分析
4.1 相关引理
- 引理 1 :设 $\alpha$ 和 $\beta$ 分别是 $\mathbb{Z}_p^ $ 和 $\mathbb{Z}_q^ $ 的生成元,$\gamma \in \mathbb{Z}_N^ $,$\gamma \equiv \alpha \mod p$,$\gamma \equiv \beta \mod q$,则 $\gamma$ 生成 $\mathbb{Z}_N^ $ 的一个最大循环子群 $M$,其大小为 $\lambda = (p - 1)(q - 1)/2$,且该循环子群是 $\mathbb{Z}_p^ $ 和 $\mathbb{Z}_q^ $ 的笛卡尔积,与 $\alpha$ 和 $\beta$ 的选择无关。
-
引理 2
:复合 Diffie - Hellman 密钥协商方案在平均情况下至少与一半消息的 RSA 一样难以破解。假设存在一个预言机 $AL$,对于所有 $N, \beta, \beta^x, \beta^y$,有 $AL(N, \beta, \beta^x, \beta^y) = \beta^{xy} \mod N$。给定 RSA 破解问题(输入:$N, e, c = m^e \mod N$,$c \in M$;输出:$m$),可以通过以下步骤使用预言机解决:
- 找到 $\gamma \in \mathbb{Z}_N^*$,它是 $M$ 的生成元(使用引理 1 的构造)。
- 计算 $\beta = \gamma^e \mod N$。
- 调用预言机 $AL(N, \beta, \gamma, c)$。
-
引理 3
:复合 Diffie - Hellman 密钥协商方案中,若恰好有一个指数的逆元较短($< O(n)$),则在平均情况下(对所有消息)最多与短公钥 RSA 一样难以破解。设 $AL2$ 是一个解决 RSA 问题的预言机(公钥指数 $e$ 较短),给定 CDH 问题(输入:$N, \alpha, \alpha^x, \alpha^y$;输出:$\alpha^{xy} \mod N$,其中 $x^{-1} \equiv e \mod \lambda(N)$ 较短),可以通过以下步骤使用预言机解决:
- 找到 $e_1$ 使得 $(\alpha^x)^{e_1} \equiv \alpha \mod N$(由于 $e$ 较短,穷举搜索是可行的)。
- 调用预言机 $AL2(N, \alpha^y, e)$。
- 引理 4 :复合 Diffie - Hellman 密钥协商方案中,若两个指数都有短逆元,则在 $6 / \pi^2$ 的情况下容易被破解。若两个秘密指数 $(x, y)$ 有短逆元 $(e_i, e_j)$,攻击者可以通过穷举搜索找到它们。若两个短逆元互素,攻击者可以使用扩展欧几里得算法找到 $a$ 和 $b$ 使得 $ae_i + be_j = 1$,进而计算出会话密钥 $\alpha^{xy} = (\alpha^{x})^{ay} \cdot (\alpha^{y})^{bz} \mod N$。
4.2 安全性结论
基于上述引理,若假设短公钥 RSA 在子群 $M$ 上平均难以破解,那么复合 Diffie - Hellman 方案也同样如此。同时,引理 2 的归约不依赖于 $e$ 的长度,短公钥 RSA 可以通过相同构造归约为恰好有一个短逆元的 CDH 问题。
5. 系统考虑
5.1 批量处理问题
在便携式通信系统中,为了提高网络处理效率,需要将多个 Diffie - Hellman 计算并行处理。但要确保请求能批量处理并非易事。一种简单的方法是为每个端口分配一个不同的 $e_j$,但这种固定分配方式要么需要巨大的预计算量,要么难以获得最大批量处理效率。
因此,我们建议采用动态分配 $e_j$ 的方法,即根据每个请求动态分配。例如,对于给定的指数长度,有一个最佳批量大小 $b$。当处理完上一批请求后,密码服务器从请求队列中抓取 $b$ 个请求(如果存在),并为每个请求分配一个指数 $e_j$。网络立即向每个请求者发送预计算的相应公钥 $\alpha^{1 / e_j}$ 以及其他所需信息。在请求者进行 Diffie - Hellman 计算的同时,网络将批量处理这 $b$ 个计算。
5.2 改进效果分析
若假设使用 $n$ 位模数和 $n$ 位指数 $1/e_j$,该方法可将效率提高 $n / \log_2(n)$ 倍。目前一些 Diffie - Hellman 系统使用缩写指数,通过分析“捕捉袋鼠”算法(Pollard 的“Lambda Method of Catching Kangaroos”)与最佳因式分解算法(数域筛法)的复杂度关系,我们可以得到缩写指数长度 $I$(以位为单位)与模数 $N$ 的函数关系。
以下是不同 $n$ 值下的增益因子和缩写指数长度的比较表格:
| $n$ | 缩写指数长度 ($o(1) = 0$) | 增益因子 ($o(1) = 0$) | 缩写指数长度 ($o(1) = 1$) | 增益因子 ($o(1) = 1$) |
| ---- | ---- | ---- | ---- | ---- |
| 2048 | 171 | 2.6 | 231 | 1.9 |
|… |… |… |… |… |
从表格中可以看出,与全尺寸指数和 512 位模数的 Diffie - Hellman 方案相比,该方法可提高 6 倍;对于 2048 位模数,增益因子可增加到 17。
流程图
graph TD;
A[开始] --> B[第一阶段: 计算 c = ∏m_i^e_i mod N];
B --> C[第二阶段: 计算 m = c^(1 / P) mod N];
C --> D[第三阶段: 分解 m 为 m_i^e_i mod N];
D --> E[结束];
综上所述,批量 Diffie - Hellman 密钥协商方案在解决密钥交换延迟问题、提高处理效率和安全性方面具有显著优势,通过动态分配指数的方式可以更好地适应实际应用场景,为便携式通信系统等提供更高效的密钥协商解决方案。
批量密钥交换算法:RSA 与 Diffie - Hellman 的优化与应用
6. 批量 RSA 延迟问题及批量 Diffie - Hellman 的优势
批量 RSA 虽然在计算效率上有一定提升,但会引入不可接受的延迟。这主要是因为其预计算阶段需要为每个可能同时处理的指数组合预计算“树”。对于一个有很多端口的系统,需要的树的数量与从端口中选取 $b$ 个端口的组合数成正比,其中 $b$ 是最佳批量大小。任何将 $e_j$ 固定分配给网络设备的方式,要么会有巨大的预计算量,要么在获得最大批量处理效率时效率低下,同时还要保证所需的响应时间。
而批量 Diffie - Hellman 采用动态分配 $e_j$ 的方法,避免了批量 RSA 的这些问题。在处理请求时,密码服务器可以根据请求队列中的情况动态分配指数,从而更灵活地进行批量处理,减少延迟。
7. 批量 Diffie - Hellman 在实际系统中的应用流程
为了更清晰地展示批量 Diffie - Hellman 在实际便携式通信系统中的应用,我们可以将其流程总结如下:
1.
请求接收
:便携式设备向网络发送服务请求。
2.
指数分配
:密码服务器从请求队列中抓取最佳批量大小 $b$ 的请求,为每个请求分配一个指数 $e_j$。
3.
信息发送
:网络向每个请求者发送预计算的相应公钥 $\alpha^{1 / e_j}$ 以及其他所需信息,如关联的证书。
4.
并行计算
:请求者进行 Diffie - Hellman 计算,同时网络批量处理这 $b$ 个计算。
5.
结果返回
:网络将计算结果返回给请求者,完成密钥协商。
以下是该流程的 mermaid 格式流程图:
graph LR;
A[便携式设备] -->|发送请求| B[密码服务器];
B -->|分配指数 e_j| C[网络];
C -->|发送公钥及信息| A;
A -->|进行计算| C;
C -->|批量处理| C;
C -->|返回结果| A;
8. 不同方案的性能对比
为了更直观地比较批量 Diffie - Hellman 与其他 Diffie - Hellman 方案的性能,我们将不同方案在不同模数下的增益因子和缩写指数长度整理成如下表格:
| 模数位数 ($n$) | 全尺寸指数 Diffie - Hellman 增益因子 | 缩写指数 Diffie - Hellman ($o(1) = 0$) 缩写指数长度 | 缩写指数 Diffie - Hellman ($o(1) = 0$) 增益因子 | 缩写指数 Diffie - Hellman ($o(1) = 1$) 缩写指数长度 | 缩写指数 Diffie - Hellman ($o(1) = 1$) 增益因子 |
| ---- | ---- | ---- | ---- | ---- | ---- |
| 512 | 6 | 171 | 2.6 | 231 | 1.9 |
| 1024 |… |… |… |… |… |
| 2048 | 17 | 171 | 2.6 | 231 | 1.9 |
从表格中可以看出,批量 Diffie - Hellman 在不同模数下都能显著提高处理效率,尤其是对于较大的模数,增益因子更为明显。与使用缩写指数的 Diffie - Hellman 方案相比,也能取得一定的优势。
9. 安全性与效率的平衡
在实际应用中,安全性和效率是两个重要的考量因素。批量 Diffie - Hellman 方案通过引入额外的约束条件,如合数模数、短逆元指数等,在保证一定安全性的前提下提高了处理效率。
然而,我们也需要注意到,当两个指数都有短逆元时,复合 Diffie - Hellman 密钥协商方案在 $6 / \pi^2$ 的情况下容易被破解。因此,在实际应用中,需要根据具体的安全需求和性能要求,合理选择指数的长度和分配方式,以达到安全性和效率的平衡。
10. 总结与展望
批量 Diffie - Hellman 密钥协商方案为解决密钥交换中的延迟问题和提高处理效率提供了一种有效的方法。通过动态分配指数的方式,它避免了批量 RSA 的预计算问题,能够更好地适应实际应用场景。
在安全性方面,通过与 RSA 的对比和相关引理的证明,我们可以看到该方案在一定条件下具有与 RSA 相当的安全性。但在实际应用中,仍需要根据具体情况进行合理的参数选择和安全设计。
未来,随着通信技术的不断发展和对安全性能要求的提高,批量 Diffie - Hellman 方案有望在更多领域得到应用。同时,也可以进一步研究如何优化该方案,提高其在不同场景下的性能和安全性,为信息安全提供更可靠的保障。
建议列表
为了更好地应用批量 Diffie - Hellman 方案,我们提出以下建议:
1. 根据实际系统的规模和请求频率,合理确定最佳批量大小 $b$,以充分发挥批量处理的优势。
2. 在选择指数长度时,要综合考虑安全性和效率,避免因指数过短而降低安全性。
3. 定期评估系统的安全性,根据安全形势的变化及时调整参数和算法。
4. 加强对动态分配指数过程的管理,确保其公平性和随机性。
通过以上措施,可以进一步提高批量 Diffie - Hellman 方案的性能和安全性,使其更好地服务于实际应用。
扫一扫
368
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
