CCA安全的公钥加密方案是现代密码学研究的重点.如何设计一个安全的公钥加密方案并在一定的假设下证明其安全性,尤其是CCA安全性,是公钥密码学研究的热点.迄今为止,人们广泛认可的CCA安全的公钥加密方案的安全性都是基于一些经过数学家或者密码学家长期研究并公认计算困难的数学问题.巩等提出了一种新的抗适应性选择密文攻击(Adaptive Chosen-Ciphertext Attack)的公钥加密方案,并给出证明过程,说明该方案在标准模型下对适应性选择密文攻击具有不可区分加密(IND-CCA2).文中还提出一种新的安全性假设,该假设欲表明,即使攻击者能够得到一种特殊的RSA型加密模数的因子分解,求解模合数的六次方根问题仍然是计算困难的.本文通过观察和分析该方案中存在的各种设计缺陷,自然地给出对该方案的两种攻击方式,我们的攻击是高效的,即可以在多项式时间内完成,说明了文中提出的安全性假设并不成立.随即证明了该方案不具有IND-CPA安全性,更不是IND-CCA2安全的,同时指出巩等证明中存在的错误.最后,本文探讨了构建CCA安全的公钥加密方案的一般思路.

• 单位
  信息安全国家重点实验室; 中国科学院大学; 中国科学院信息工程研究所