密码算法与协议简化设计

山东大学博士学位论文密码算法与协议简化设计姓名：魏普文申请学位级别：博士专业：信息安全指导教师：王小云;ZHENGYu-liang20090910山东大学博士学位论文密码算法与协议简化设计魏普文山东大学数学学院密码技术与信息安全教育部重点实验室摘要从古至今，密码设计者与密码分析者之间的竞争从未停止过。特别是自二战以来电子计算机的产生从根本上增强了双方的实力，使竞争进一步升级。考虑到计算能力的限制，人们更加关心破解一个密码方案需要多长时间，或者说，一个密码方案究竟有多安全。在现代密码学中，一种被称为安全性证明的方法通过使用严格的数学工具来度量密码方案的安全性，提高人们对该方案安全性的信心。虽然安全性证明为密码设计者在与分析者之间的竞争中赢得了优势，但是，效率与安全性证明之间此消彼长的关系又成为密码设计的一个不利因素。为了提供严格的安全证明，通常将冗余信息添加到密码方案的设计中，致使密码方案的运行效率降低。因此，密码设计的一个基本问题是如何在不降低安全性的前提下，简化方案设计，提高运行效率。为了解决该问题，密码学家在过去的几十年里相继提出各种设计简化技术。在本论文中，我们主要探讨公钥加密，数字签名与零知识这三个领域的简化设计技术。公钥加密公钥密码学最早ｆｌｔＤｉｆｔｉｅ和Ｈｅｌｌｍａｎ［４２］提出。随后，Ｒｉｖｅｓｔ，Ｓｈａｍｉｒ和Ａｄｌｅｍａｎ［８２】与Ｍｅｒｋｌｅ和Ｈｅｌｌｍａｎｌ６９］分别给出了具体的公钥加密方案。但是广泛使用的加密安全概念一选择密文安全则是Ｎａｏｒ和Ｙｕｎｇ［７５】提出的。此后，Ｒａｃｋｏｆｆ乘ｌＳｉｍｏｎ［ｓ０］提出了更强的安全概念一自适应选择密文攻击下的不可区分性（ＥＮＤ．ＣＣＡ２）。现在，自适应选择密文安全已经成为证明公钥加密方案安全性的标准概念。早期的自适应选择密文安全的加密方案，例如，文献【州，因为基于非交互零知识证明，所以相应的构造方案并不实用。为了构造有效且自适应选择密文安全的加密方案，随机谕示模型下的加密技术大量涌现【１５】【４８】【ｌ４１。然而，随机谕示模型却是密码学界备受争议的问题之一。其中以Ｃａｎｅｔｔｉ，Ｇｏｌｄｒｅ．ｉｃｈ与Ｈａｌｅｖｉ［２５】的反对观点最为著名。他们指出存在这样的方案：在随机谕示模型下，这些方案可以被证明是安全的，而在随机谕示实例化后却是不安全的。近来，Ｌｅｕｒｅｎｔ与Ｎｇｕｙｅｎｌ６７】证明了现有满域Ｈａｓｈ函数（随机谕示）实例化后潜在的不安全性。为了解决因随机谕示的引入而带来的问题，一个直接的方法是设计安全性证明上不依赖于随机谕示的自适应选择密文安全的公钥加密方案。在该方向的研究中，Ｃｒａｍｅｒ和Ｓｈｏｕｐ［３５］提出了第一个标准模型下自适应选择密文安全且实用的加密方案。此后，该方案被频繁引用，更多有关技术相继提出。其中，Ｃｒａｍｅｒ和Ｓｈｏｕｐ［８９】【３６】提出的混杂加密（ＫＥＭ／ＤＥＭ）引起了密码学界的广泛关注。其中，Ｋｕｒｏｓａｗａ和Ｄｅｓｍｅｄｔｔ６６１通过使用非自适应选择密文安全的ＫＥＭ构造出更为有效的混杂加密方案。近年来，Ｋｉｌｔｚ，Ｐｉｅｔｒｚａｋ，Ｓｔａｍ和Ｙｕｎｇ【鲫改进了Ｋｕｒｏｓａｗａ．Ｄｅｓｍｅｄｔ技术，提出了一种新的非随机谕示模型下自适应选择密文安全的混杂加密方案。其主要技术是通过使用４．ｗｉｓｅｉｎｄｅｐｅｎｄｅｎｔｈａｓｈ函数有效的将１．ｕｎｉｖｅｒｓａｌｈａｓｈ证明系统转化为２．ｕｎｉｖｅｒｓａｌｈａｓｈ证明系统。另一项重要的研究进展是Ｈｏｆｈｅｉｎｚ和瞄ｈｚ【删做出的。在标准模型下，Ｈｏｆｈｅｉｎｚ乖ＩＫｉｌｔｚ设计的基于因子分解的公钥加密方案对于加密仅需要约两次幂运算，而解密需要约一次幂运算。但关于非随机谕示模型下基于离散对数问题的加密方案，ＤＨＩＥＳ［２】当属最为有效的方案之一，尽管其安全性证明依赖的是非标准假设。然而，标准模型或标准假设下的加密方案都有一个共同的弱点：其计算量往往是随机谕示模型下同类方案的几倍，从而严重影响方案在实际中的应用。相反，随机谕示模型下方案的优点正在于其简单的设计与低廉的计算消耗。为了保持这种简单性的同时使安全性证明不依赖于随机谕示，密码研究人员已经开始探讨新的计算困难假设。最近，Ｐａｎｄｅｙ，Ｐａｓｓ和Ｖａｉｋｕｎｔａｎａｔｈａｎ［７７］通过抽象随机谕示的具体性质，提出了多种复杂性理论新假设。基于这些假设，他们成功的解决了一系列公开问题，其中包括构造非交互式并发不可延展的串委托协议。这些研究成果为设计无随机谕示模型下有效而可证安全的密码方案指出了一个有趣的方向。我们注意到，尽管这些新假设强于传统密码学困难性假设，但是仍然不失合理性。类似于ＤＤＨ假设的发展，此类假设将会得到密码学界更加广泛的认同与深入的探讨。通过抽象随机谕示的具体性质，我们进～步研究ＴＰａｎｄｃｙ等人的假设并提出了其变形假设一自适应ＤＤＨ假设。在该假设基础上，我们证明了修改后的Ｚｈｅｎｇ．Ｓｅｂｅｒｒｙ力Ｉ密方案在无随机谕示模型下是自适应选择密文安全的。Ｚｈｅｎｇ和Ｓｅｂｅｒｒｙ［９９１提出三种使公钥加密抵抗选择密文攻击的方案。三种方案的本质是相同的：对密文附加一个与明文相关的标签。基于ＧａｐＤｉｆｌｉｅ．Ｈｅｌｌｍａｎ假设（ＧＤＨ），ＢａｅｋＪ｝［ＩＺｈｅｎｇ［７］在随机谕示模型下证明了第一个方案Ｚｈｅｎｇ—Ｓｅｂｅｒｒｙｌｗｈ的安全性。而另外两个方案的安全性证明一直作为公开问题存留至今。我们工作的重点是适当修改Ｚｈｅｎｇ．Ｓｅｂｅｒｒｙ的第二个方案Ｚｈｅｎｇ．ＳｅｂｅｒｒｙｌＩＪｌ，从而可以利用自适应ＤＤＨ假设证明其自适应选择密文安全。Ｚｈｅｎｇ．Ｓｅｂｅｒｒｙ砌方案至今仍然具有研究价值，这是因为：第一，Ｚｈｅｎｇ．Ｓｅｂｅｒｒｙ曲通过使用ｕｎｉｖｅｒｓａｌｈａｓｈ函数使其能够抵抗自适应选择密文攻击，同时避免了使用非标准输出的单向ｈａｓｈ函数，从而成功的克服了【６７】所指出的潜在危险。第二，明文长度是任意的，而密文冗余是常数。所以，当明文长度增加时，密文明文长度的比值将趋于１。与飚ｌｔｚ等人的方案【６４】（其安全性依赖于ＤＤＨ和ＡＥ．ＯＴ安全对称加密）相比，修改后的Ｚｈｅｎｇ．ＳｅｂｅｒｒｙｌＩＪｌ方案在设计上更为简单且只依赖于自适应ＤＤＨ。更重要的是，修改后的Ｚｈｅｎｇ．Ｓｅｂｅｒｒｙｕｈ计算量低于ｌ（ｉｌｔｚ等人的方案。与ＤＨＩＥＳ（其安全性依赖于ＯｒａｃｌｅＤｉｆｌｉｅ．Ｈｅｌｌｍａｎ（ＯＤＨ），对称密码和消息认证码）相比，修改后的Ｚｈｅｎｇ—Ｓｅｂｅｒｒｙｕｈ安全性依赖于自适应ＤＤＨ且同样保留ＴＺｈｅｎｇ．Ｓｅｂｅｒｒｙ｜ｌＪｌ计算上的有效性。但是，公平的说，ＤＨＩＥＳ与修改后的Ｚｈｅｎｇ—ＳｅｂｅｒｒｙＨｈ在安全假设方面各有千秋。ＤＨＩＥＳ安全性依赖于三个假设一对称密码，ＭＡＣ和ＯＤＨ，实现符合这三种假设的候选函数相对容易。而我们的方案所依赖的自适应ＤＤＨ假设则稍强于ＯＤＨ假设。环签名公钥签名的概念最早由Ｄｉｆｆｉｅ和Ｈｅｌｌｍａｎ［４２］提出，而早期具体的实现方案则是Ｒｉｖｅｓｔ，Ｓｈａｍｉｒ和Ａｄｌｅｍａｎｔ８２１提出的。关于数字签名安全性的相关概念，文献【５６】做出了全面深入的讨论。众所周知，签名的目的是提供对消息来源的认证，同时保证消息在传送过程中未被修改。然而在某些应用中，我们需要隐藏签名者的身份。正是由于这种实际需求，数字签名中出现了群签名与环签名的概念。环签名最早由Ｒｉｖｅｓｔ，Ｓｈａｍｉｒ和Ｔａｕｍａｎ［８３ｌ提出，目的是为签名者提供匿名性。但是与群签名不同，环山东大学博士学位论文签名中没有群管理员，不需预设群成员，不需进行群成员的设置、删除等操作。关于环签名的许多工作随后相继被提出，例如【４】、【５８１、【２０】、【４３】等。大部分环签名方案是在随机谕示模型下证明安全的。部分方案给出了标准模型下的证明，但是，这些方案也存在一些不尽如人意的地方：Ｘｕ，Ｚｈａｎｇ禾ＪＦｅｎｇ［９４Ｊ给出一种标准模型下的环签名方案，然而其证明存在缺陷；Ｃｈｏｗ，Ｌｉｕ，Ｗ－ｅｉ和Ｙｕｅｎ的方案［３２】基于新的假设；Ｂｅｎｄｅｒ，Ｋａｔｚ和ＭｏｒｓｅＵｉ的方案【１７】基于陷门置换，但是他们的方案因为使用了针对ＮＰ的一般性ＺＡＰｓ，故其方案并不实用。不过，Ｉｔ７１对环签名的安全模型做出了细致且全面的讨论。近年来，Ｓｈａｃｈａｍ和Ｗａｔｅｒｓ［８７】与Ｂｏｙｅｎ［２ｌ】分别提出了无随机谕示的有效环签名方案。特别是文献【８７】中，Ｓｈａｃｈａｍ－Ｗａｔｅｒｓ方案是第一个基于标准假设的无随机谕示下的有效环签名。具体来说，在公共随机串模型下，基于计算Ｄｉｆｆｉｅ．Ｈｅｌｌｍａｎ假设和子群判定假设，Ｓｈａｃｈａｍ矛ＨＷａｔｅｒｓ构造出线性大小的环签名。对于具有Ｚ个成员的环，签名大小为２Ｚ＋２个群元素，而验证则需要２Ｚ＋ａＭ配对运算。并且，方案的安全性是在Ｂｅｎｄｅｒ，Ｋａｔｚ币ＨＭｏｒｓｅｌｌｉ［１７】所提出的最强环签名安全模型下证明的。当考虑具体的应用环境时，我们指出，基于【４３】的基本思想，Ｓｈａｃｈａｍ．Ｗａｔｅｒｓ环签名方案【８７】可以更为有效的使用。在文献【４３】中，Ｄｏｄｉｓ，Ｋｉａｙｉａｓ，Ｎｉ．ｃｏｌｏｓｉ和Ｓｈｏｕｐ通过使用单向域累加器引入环签名的群公钥的概念（环中任何成员都可以计算该群公钥）。这种构造方法使一个群公钥对应多个环成员的密钥。正是由于该群公钥，他们指出在某些特殊情况下，例如，环成员在较长时间内保持不变，环签名的大小可以为常数。我们注意至ｌＪＳｈａｃｈａｍ．Ｗａｔｅｒｓ方案同样可以生成“群公钥”，且该群公钥能够成为提供可链接性的标签，所以我们进一步将Ｄｏｄｉｓ等人的构造方法应用于Ｓｈａｃｈａｍ．Ｗａｔｅｒｓ方案。可以考虑以下应用环境，签名者Ａ需要长时间作为某个环的成员，并且，Ａ需要经常发送她的环签名给接受者Ｂ，同时让Ｂ确信他每次所收到的签名全部由环中某个固定的成员签署。对于以上应用环境，我们改造后的Ｓｈａｃｈａｍ．Ｗａｔｅｒｓ方案比传统的无随机谕示环签名方案更为有效。因为在该方案中签名者可以决定是否提供可链接性，所以我们将这种特殊的Ｓｈａｃｈａｍ．Ｗａｔｅｒ方案称为自主可链接的环签名。并发统计零知识论据Ｇｏｌｄｗａｓｓｅｒ，Ｍｉｃａｌｉ和Ｒａｃｋｏｆｆｔ５５】提出的零知识证明山东大学博士学位论文是一种交互式证明方法。在该证明中，一方可以向另一方证明～个命题为真，同时不泄露任何其他信息。提供证明的一方被称为证明者，而验证证明的一方被称为验证者。不像传统数学证明中证明者提供固定的一系列共同认可的证据，零知识证明更加强调证明者与验证者之间的交互。并发零知识的概念最早由Ｄｗｏｒｋ，Ｎａｏｒ和Ｓａｈａｉ［４５】提出。并发零知识要求即使协议的多个证明复本在异步环境（例如，因特网）下运行，协议仍然保持零知识性。Ｃａｎｅｔｔｉ，Ｋｉｌｉａｎ，Ｐｅｔｒａｎｋ和Ｒｏｓｅｎｌ２６Ｊ证明了在标准模型（不使用公钥基础设施ＰⅪ）下，ＢＰＰ之外的语言不存在常数轮的黑箱并发零知识证明协议，同时对此类协议他们给出了一个轮数下界ｏ（１０９ｎ／ｌｏｇｌｏｇ咒）。Ｒｉｃｈａｒｄｓｏｎ与Ｋｉｌｉａｎｌ８１】第一次对于所有ＮＰ语言给出了并发零知识证明协议，并且指出多项式轮数对于并发零知识协议是足够的。随后，Ｐｒａｂｈａｋａｒａｎ，Ｒｏｓｅｎ和Ｓａｈａｉｔ７８】改进了之前的分析并证明ｏＤ（１０９ｎ）轮已经足够。正如Ｍｉｃｃｉａｎｃｉｏ和Ｐｅｔｒａｎｋ［７１】所指出的，尽管标准模型下的并发零知识协议不如ＰＫＩ模型下的协议有效，但是标准模型可以应用在无ＰＫＩ的环境，或设置公钥基础设施与公共随机串。例如，标准模型的协议可以用来向证书授权方注册公钥和引导系统。在ＤＤＨ假设下，Ｍｉｃｃｉａｎｃｉｏ和Ｐｅｔｒａｎｋ［７ｌ】提供了一种可以将任何公开抛币的诚实验证者零知识证明系统（ＨＶｚＫ）有效的转化为并发零知识证明系统的方法。但是，他们的转化并不保持统计零知识性。最近，Ｇｏｙａｌ，Ｍｏｒｉａｒｔｙ，Ｏｓｔｒｏｖｓｋｙ和ＳａｈａｉＥ５７】第一次利用任意单向函数构造出针对所有ＮＰ语言的并发统计零知识论据。具体来说，他们给出了从任意诚实验证者统计零知识论据到并发统计零知识论据的一般转化方法，再将该转化应用于Ｎｇｕｙｅｎ，Ｏｎｇ和Ｖａｄｈａｎ的统计零知识论据协议，从而得到由任意单向函数构造的针对所有ＮＰ语言的并发统计零知识论据。Ｇｏｙａｌ等人使用了修改后的ＰＲＳ前导【７８】，且该前导需要０（／２）个委托（其中Ｚ表示前导的轮数）。协议中，验证者采用了计算零知识证明和抛币协议产生的随机数。关于安全证明，Ｇｏｙａｌ等人所克服的最困难的问题在于合理性证明。因为验证者所使用的委托是统计绑定的（计算隐藏），证明者可能会趁机欺骗验证者，因此，合理性证明并非显然。但是，通过使用计算零知识证明和混杂论据的讨论方法，Ｇｏｙａｌ等人成功克服了这一难题。通过进一步分析Ｇｏｙａｌ等人的并发统计零知识论据协议【５７１，我们指出，利用证据不可区分协议，协议【５７】可以进一步简化为更加实际的方案。具体来山东大学博士学位论文说，Ｇｏｙａｌ等人协议中的部分计算零知识证明可以用ＥＯＲ协议（证据不可区分知识证明ＷＩＰＯＫ）替代，而ＷｌＰＯＫ协议足以用来证明并发统计零知识论据协议的合理性。并且，我们利用Ｒｉｃｈａｒｄｓｏｎ和Ｋｉｌｉａｎ的前导［８１】替代ＰＲＳ前导，从而将委托个数降为Ｄ（Ｄ。这些以“并行”方式运行的ＷｌＰＯＫ不但起到前导的作用而且移除－ＴＧｏｙａｌ等人协议中的部分计算零知识证明。此外，因为ＷＩＰＯＫ协议并非零知识的，所以简化后协议的合理性证明要比原协议的合理性证明更加微妙。关键词：公钥密码学，加密，签名，零知识ＡＢＳＴＲＡＣＴＳｉｍｐｌｉｆｉｅｄＤｅｓｉｇｎｆｏｒＣｒｙｐｔｏｇｒａｐｈｉｃＡｌｇｏｒｉｔｈｍｓａｎｄＰｒｏｔｏｃｏｌｓＷＥＩＰｕ－ｗｅｎ（ＫｅｙＬａｂｏｒａｔｏｒｙｏｆＣｒｙｐｔｏｌｏｇｉｃＴｅｃｈｎｏｌｏｇｙ＆ＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ，ＭｉｎｉｓｔｒｙｏｆＥｄｕｃａｔｉｏｎＳｃｈｏｏｌｏｆＭａｔｈｅｍａｔｉｃｓ，ＳｈａｎｄｏｎｇＵｎｉｖｅｒｓｉｔｙ，Ｊｉｎａｎ２５０１００，ＥＲ．Ｃｈｉｎａ）ＡＢＳＴＲＡＣＴＴｈｅｃｏｍｐｅｔｉｔｉｏｎｂｅｔｗｅｅｎｃｒｙｐｔｏｇｒａｐｈｉｃｓｃｈｅｍｅｄｅｓｉｇｎｅｒｓａｎｄｃｒｙｐｔａｎａｌｙｓｔｓｈａｓｎｅｖｅｒｓｔｏｐｐｅｄｓｉｎｃｅｔｈｅａｎｃｉｅｎｔｔｉｍｅｓ．Ｅｓｐｅｃｉａｌｌｙ，ｔｈｅａｄｖｅｎｔｏｆｅｌｅｃｔｒｏｎｉｃｃｏｍｐｕｔｅｒｓｓｉｎｃｅＷｏｒｌｄＷａｒＩＩｈａｓｆｕｎｄａｍｅｎｔａｌｌｙｉｎｃｒｅａｓｅｄｔｈｅｐｏｗｅｒｏｆｔｈｅｔｗｏｂｅｌｌｉｇｅｒｅｎｔｓａｎｄｅｓｃａｌａｔｅｄｔｈｅｃｏｍｐｅｔｉｔｉｏｎ．Ｖ～ｑｌｅｎｃｏｎｓｉｄｅｒｉｎｇｔｈｅｃｏｍｐｕｔａｔｉｏｎａｌｐｏｗｅｒ，ｐｅｏｐｌｅｃａｒｅｍｏｒｅａｂｏｕｔｈｏｗｌｏｎｇｉｔｔａｋｅｓｔｏｂｒｅａｋａｃｒｙｐｔｏｇｒａｐｈｉｃｓｃｈｅｍｅｏｒｈｏｗｓｅｃｕｒｅａｃｒｙｐｔｏｇｒａｐｈｉｃｓｃｈｅｍｅｉｓ．Ｉｎｍｏｄｅｍｃｒｙｐｔｏｇｒａｐｈｙ，ｏｎｅａｐｐｒｏａｃｈ，ｃａｌｌｅｄｓｅｃｕｒｉｔｙｐｒｏｏｆ，ｉｓａｐｐｌｉｅｄｔｏｍｅａｓｕｒｅｔｈｅｓｅｃｕｒｉｔｙｏｆａｓｃｈｅｍｅｕｓｉｎｇｒｉｇｏｒｏｕｓｍａｔｈｅｍａｔｉｃａｌｔｏｏｌｓ，ａｎｄｉｔａｉｍｓｔｏｐｒｏｖｉｄｅｐｅｏｐｌｅｃｏｎｆｉｄｅｎｃｅｆｏｒｔｈｅｒｅｓｕｌｔｉｎｇｓｃｈｅｍｅ．Ｓｅｃｕｒｉｔｙｐｒｏｏｆｇｉｖｅｓｄｅｓｉｇｎｅｒｓｔｈｅａｄｖａｎｔａｇｅｉｎｔｈｅｗａｒｏｆｍｏｄｅｍｃｒｙｐｔｏｇｒａｐｈｙａｇａｉｎｓｔｃｒｙｐｔａｎａｌｙｓｔｓ．Ｂｕｔｔｈｅｂａｄｎｅｗｓｆｏｒｔｈｅｄｅｓｉｇｎｅｒｉｓｔｈｅｔｒａｄｅｏｆｆｂｅｔｗｅｅｎｔｈｅｅｆｆｉｃｉｅｎｃｙａｎｄｔｈｅｓｅｃｕｒｉｔｙｐｒｏｏｆ．Ｇｅｎｅｒａｌｌｙ，ｉｎｏｒｄｅｒｔｏｐｒｏｖｉｄｅｓｅｃｕｒｉｔｙｐｒｏｏｆ，ａｄｄｉｔｉｏｎａｌｒｅｄｕｎｄａｎｃｙｈａｓｔｏｂｅａｄｄｅｄｉｎｔｏｃｒｙｐｔｏｇｒａｐｈｉｃｓｃｈｅｍｅｓｗｈｉｃｈｒｅｓｕｌｔｓｉｎｅｆｆｉｃｉｅｎｃｙｌｏｓｓ．Ｔｈｅｒｅｆｏｒｅ，ａｂａｓｉｃｐｒｏｂｌｅｍｉｎｔｈｅｄｅｓｉｇｎｏｆｃｒｙｐｔｏｇｒａｐｈｙｉｓｈｏｗｔｏｓｉｍｐｌｉｆｙａｃｒｙｐｔｏｇｒａｐｈｉｃｓｃｈｅｍｅｔｏｉｍｐｒｏｖｅｉｔｓｅｆｆｉｃｉｅｎｃｙｗｉｔｈｏｕｔｕｎｄｅｒｍｉｎｉｎｇｉｔｓｄｅｓｉｒｅｄｓｅｃｕｒｉｔｙ．Ｔｏｓｏｌｖｅｔｈｉｓｐｒｏｂｌｅｍ，ｄｉｆｆｅｒｅｎｔｔｙｐｅｓｏｆｔｅｃｈｎｉｑｕｅｓｆｏｒｓｉｍｐｌｉｆｉｅｄｄｅｓｉｇｎｈａｖｅｂｅｅｎｐｒｏｖｉｄｅｄｄｕｒｉｎｇｔｈｅｐａｓｔｄｅｃａｄｅｓ．Ｉｎｔｈｉｓｔｈｅｓｉｓ，ｗｅｆｏｃｕｓＯｉｌｔｈｅｓｉｍｐｌｉｆｉ—ｃａｔｉｏｎｏｆｔｈｒｅｅｓｃｈｅｍｅｓｉｎｐｕｂｌｉｃｋｅｙｅｎｃｒｙｐｔｉｏｎ，ｄｉｇｉｔａｌｓｉｇｎａｔｕｒｅａｎｄｚｅｒｏ－ｋｎｏｗｌｅｄｇｅ．Ｐｕｂｌｉｃｋｅｙｅｎｃｒｙｐｔｉｏｎ．ＰｕｂｌｉｃｋｅｙｃｒｙｐｔｏｇｒａｐｈｙｗａｓｆｉｒｓｔｉｎｔｒｏｄｕｃｅｄｂｙＤｉｆｆｉｅａｎｄＨｅｌｌｍａｎ【４２１．ＴｈｅｆｉｒｓｔｃｏｎｃｒｅｔｅｐｕｂｌｉｃｋｅｙｅｎｃｒｙｐｔｉｏｎｓｃｈｅｍｅｓｗｅｒｅｌａｔｅｒｐｒｏｐｏｓｅｄｂｙＲｉｖｅｓｔ，ＳｈａｍｉｒａｎｄＡｄｌｅｍａｎｔ８２１ａｎｄｂｙＭｅｒｌｄｅａｎｄＨｅｌｌｍａｎｔ６９］．ＢｕｔｔｈｅｍｏｓｔＡＢＳＴＲＡＣＴｗｉｄｅｌｙｕｓｅｄｓｅｃｕｒｉｔｙｎｏｔｉｏｎｆｏｒｅｎｃｒｙｐｔｉｏｎ，ｋｎｏｗｎａｓｃｈｏｓｅｎｃｉｐｈｅｒｔｅｘｔｓｅｃｕｒｉｔｙ，ＷａｓｉｎｔｒｏｄｕｃｅｄｂｙＮａｏｒａｎｄＹｕｎｇｔ７５１．Ａｆｔｅｒｗａｒｄｓ．ＲａｃｋｏｆｆａｎｄＳｉｍｏｎｔ８０］ｐｒｏｖｉｄｅｄａｓｔｒｏｎｇｅｒｎｏｔｉｏｎｃａｌｌｅｄｉｎｄｉｓｔｉｎｇｕｉｓｈａｂｉｌｉｔｙｕｎｄｅｒａｄａｐｔｉｖｅｃｈｏｓｅｎｃｉｐｈｅｒｔｅｘｔａｔｔａｃｋ（ＩＮＤ－ＣＣＡ２）．Ｓｏｆａｒａｄａｐｔｉｖｅｃｈｏｓｅｎｃｉｐｈｅｒｔｅｘｔｓｅｃｕｒｉｔｙｈａｓｂｅｃｏｍｅａｓｔａｎｄａｒｄｎｏｔｉｏｎｆｏｒｔｈｅｓｅｃｕｒｉｔｙｏｆｐｕｂｈｃｋｅｙｅｎｃｒｙｐｔｉｏｎ．Ｔｈｅｅａｒｌｙｃｏｎｓｔｒｕｃｔｉｏｎｓｏｆａｄａｐｔｉｖｅｃｈｏｓｅｎｃｉｐｈｅｒｔｅｘｔｓｅｃｕｒｅｅｎｃｒｙｐｔｉｏｎ，ｓｕｃｈａｓ㈨，ｗｅｒｅｂａｓｅｄｏｎｎｏｎ・ｉｎｔｅｒａｃｔｉｖｅｚｅｒｏ．ｋｎｏｗｌｅｄｇｅｐｒｏｏｆｓ．ｗｈｉｃｈａｒｅｎｏｔｑｕｉｔｅｐｒａｃ．ｔｉｃａｌｉｎｒｅａｌｗｏｒｌｄａｐｐｌｉｃａｔｉｏｎｓ．Ｔｏｃｏｎｓｔｒｕｃｔａｌｌｅｆｆｉｃｉｅｎｔａｎｄａｄａｐｔｉｖｅｃｈｏｓｅｎｃｉｐｈｅｒｔｅｘｔｓｅｃｕｒｅｅｎｃｒｙｐｔｉｏｎｓｃｈｅｍｅ，ｍａｎｙｅｎｃｒｙｐｔｉｏｎｔｅｃｈｎｉｑｕｅｓｈａｖｅｂｅｅｎｐｒｏｐｏｓｅｄｉｎｔｈｅＳＯ－ｃａｌｌｅｄｒａｎｄｏｍｏｒａｃｌｅｍｏｄｅｌｔｌ５】【４８】【１４１．Ｔｈｅｒａｎｄｏｍｏｒａｃｌｅｍｏｄｅｌ．ｈｏｗｅｖｅｒ，ｉｓｏｎｅｏｆｔｈｅｍｏｓｔｃｏｎｔｒｏｖｅｒｓｉａｌｉｓｓｕｅｓｉｎｃｒｙｐｔｏｇｒａｐｈｙ．ＡｎｏｔａｂｌｅａｒｇｕｍｅｎｔａｇａｉｎｓｔｔｈｅｒａｎｄｏｍｏｒａｃｌｅｍｏｄｅｌＷａｓｍａｄｅｂｙＣａｎｅＲｉ．ＧｏｌｄｒｅｉｃｈａｎｄＨａｌｅｖｉ【２５】ｗｈｏｄｅｍｏｎｓｔｒａｔｅｄｔｈａｔｔｈｅｒｅｅｘｉｓｔｅｄｃｒｙｐｔｏｇｒａｐｈｉｃｓｃｈｅｍｅｓｔｈａｔｗｅｒｅｓｅｃｕｒｅｉｎｔｈｅｒａｎｄｏｍｏｒａｃｌｅｍｏｄｅｌｂｕｔｉｎｓｅｃｕｒｅｆｏｒａｎｙｉｎｓｔａｎｔｉａｔｉｏｎｏｆｍｅｒａｎｄｏｍｏｒａｃｌｅ．Ｒｅｃｅｎｔｌｙ，ＬｅｕｒｅｎｔａｎｄＮｇｕｙｅｎｔ６７】ｓｈｏｗｅｄｔｈａｔｉｎｓｔａｎｔｉａｔｉｏｎｓｏｆｆｕｌｌｄｏｍａｉｎｈａｓｈｆｕｎｃｔｉｏｎｓ（ｒａｎｄｏｍｏｒａｃｌｅｓ）ｐｒｏｐｏｓｅｄｉｎｔｈｅｌｉｔｅｒａｔｕｒｅａｒｅｉｎｓｅｃｕｒｅ．Ｔｏａｄｄｒｅｓｓｔｈｅｃｏｎｃｅｒｎｏｖｅｒｒａｎｄｏｍｏｒａｃｌｅｓ，ａｎｏｂｖｉｏｕｓａｐｐｒｏａｃｈｉｓｔｏｄｅｓｉｇｎａｎａｄａｐｔｉｖｅｃｈｏｓｅｎｃｉｐｈｅｒｔｅｘｔｓｅｃｕｒｅｐｕｂｌｉｃｋｅｙｅｎｃｒｙｐｔｉｏｎｓｃｈｅｍｅｔｈａｔｄｏｅｓｎｏｔｒｅｌｙｏｎａｒａｎｄｏｍｏｒａｃｌｅ．ＴｈｅｏｆｔｅｎｃｉｔｅｄａｄａｐｔｉｖｅｃｈｏｓｅｎｃｉｐｈｅｒｔｅｘｔｓｅｃｕｒｅｅｎｃｒｙｐｔｉｏｎｓｃｈｅｍｅｐｒｏｐｏｓｅｄｂｙＣｒａｍｅｒａｎｄＳｈｏｕｐｔ３５】ｒｅｐｒｅｓｅｎｔｓｔｈｅｆｉｒｓｔｃｏｎｃｒｅｔｅｒｅｓｕｌｔｉｎｔｈｉｓｌｉｎｅｏｆｒｅｓｅａｒｃｈ．Ａｍｕｌｔｉｐｌｅｎｕｍｂｅｒｏｆｔｅｃｈｎｉｑｕｅｓｈａｖｅｓｉｎｃｅｂｅｅｎｐｒｏｐｏｓｅｄａｎｄｓｔｕｄ—ｉｅｄｂｙｍａｎｙｃｒｙｐｔｏｇｒａｐｈｅｒｓ．Ｅｓｐｅｃｉａｌｌｙ，ｔｈｅｈｙｂｒｉｄｅｎｃｒｙｐｔｉｏｎ（ＫＥＭ／ＤＥＭ），ｗｈｉｃｈｗａｓｆｉｒｓｔｇｅｎｅｒａｌｉｚｅｄｂｙＣｒａｍｅｒａｎｄＳｈｏｕｐｔ８９１１３６１．ａｔｔｒａｃｔｓａｌｏｔｏｆａＲｅｎｔｉｏｎｆｒｏｍｔｈｅｃｒｙｐｔｏｇｒａｐｈｙｃｏｍｍｕｎｉｔｙ．ＫｕｒｏｓａｗａａｎｄＤｅｓｍｅｄｔｔ６６］ｐｒｅｓｅｎｔｅｄａｍｏｒｅｅｆｆｉｃｉｅｎｔｈｙ．ｂｒｉｄｅｎｃｒｙｐｔｉｏｎｓｃｈｅｍｅｂｙｕｓｉｎｇａＫＥＭｗｈｉｃｈｉｓｎｏｔｎｅｃｅｓｓａｒｉｌｙａｄａｐｔｉｖｅｃｈｏｓｅｎｃｉ．ｐｈｅｒｔｅｘｔｓｅｃｕｒｅ．Ｍｏｒｅｒｅｃｅｎｆｌｙ＇Ｋｉｌｔｚ，Ｐｉｅｔｒｚａｋ，ＳｔａｍａｎｄＹｕｎｇ【删ｉｍｐｒｏｖｅｄｏｎｔｈｅＫｕｒｏｓａｗａ－Ｄｅｓｍｅｄｔｔｅｃｈｎｉｑｕｅａｎｄｐｒｏｐｏｓｅｄａｎｅｗａｐｐｒｏａｃｈｔｏｄｅｓｉｇｎａｄａｐｔｉｖｅｃｈｏ—ｓｅｎｃｉｐｈｅｒｔｅｘｔｓｅｃｕｒｅｈｙｂｒｉｄｅｎｃｒｙｐｔｉｏｎｓｃｈｅｍｅｓｗｉｔｈｏｕｔａｒａｎｄｏｍｏｒａｃｌｅ．Ｔｈｅｉｒｍａｉｎｔｅｃｈｎｉｑｕｅｅｍｐｌｏｙｓａｎｅｆｆｉｃｉｅｎｔｔｒａｎｓｆｏｒｍａｔｉｏｎｆｒｏｍａ１－ｕｎｉｖｅｒｓａｌｈａｓｈｐｒｏｏｆｓｙｓｔｅｍｔｏａ２－ｕｎｉｖｅｒｓａｌｈａｓｈｐｒｏｏｆｓｙｓｔｅｍ，ｕｓｉｎｇａ４－ｗｉｓｅｉｎｄｅｐｅｎｄｅｎｔｈａｓｈｆｕｎｃｔｉｏｎ．ＡｎｏｔｈｅｒＡＢＳ。Ｉ。ＲＡＣＴｉｍｐｏｒｔａｎｔｐｒｏｇｒｅｓｓｗａｓｍａｄｅｂｙＨｏｆｈｅｉｎｚａｎｄＫｉｌｔｚ１６０］．Ｔｈｅｙｐｒｏｐｏｓｅｄａｎｅｗｐｕｂｌｉｃｋｅｙｅｎｃｒｙｐｔｉｏｎｓｃｈｅｍｅｂａｓｅｄｏｎｆａｃｔｏｒｉｎｇ．Ｔｈｅｉｒｓｃｈｅｍｅｒｅｑｕｉｒｅｓｏｎｌｙｒｏｕｇｈｌｙｔｗｏｅｘｐｏｎｅｎｔｉａｔｉｏｎｓｉｎｅｎｃｒｙｐｆｉｏｎａｎｄｒｏｕｇｈｌｙｏｎｅｅｘｐｏｎｅｎｔｉａｔｉｏｎｉｎｄｅｃｒｙｐｔｉｏｎ．Ｆｏｒｔｈｅｅｎｃｒｙｐｔｉｏｎｓｃｈｅｍｅｓｂａｓｅｄｏｎｄｉｓｃｒｅｔｅｌｏｇａｒｉｔｈｍ，ＤＨＩＥＳ［２】ｉｓｏｎｅｏｆｔｈｅｍｏｓｔｅｆｌｉｃｉｅｎｔｓｃｈｅｍｅｓｗｉｔｈｏｕｔｒａｎｄｏｍｏｒａｃｌｅ，ａｌｔｈｏｕｇｈｉｔｉｓｎｏｔｐｒｏｖｅｎｕｎｄｅｒｔｈｅｓｔａｎｄａｒｄａｓｓｕｍｐ．ｔｉｏｎ．ＮｏｔｉｃｅｔｈａｔｍｏｓｔｏｆｔｈｅｓｅｅｎｃｒｙｐｔｉｏｎｓｃｈｅｍｅｓｉｎｔｈｅｓｔａｎｄａｒｄｍｏｄｅｌｏｒｓｔａＩｌｄａｒｄａｓｓｕｍｐｔｉｏｎｓ，ｈｏｗｅｖｅＬｓｈａｒｅａｃｏｍｍｏｎｄｒａｗｂａｃｋｔｈａｔｉｍｐｅｄｅｓｔｈｅｉｒｐｏｓｓｉｂｌｅａｄｏｐｔｉｏｎｉｎｐｒａｃｔｉｃｅ，ｔｈａｔｉｓ，ｔｈｅｙｇｅｎｅｒａｌｌｙｒｅｑｕｉｒｅａｔｌｅａｓｔａｆｅｗｔｉｍｅｓｍｏｒｅｃｏｍｐｕｔａｔｉｏｎｔｈａｎｔｈｅｉｒｒａｎｄｏｍｏｒａｃｌｅｂａｓｅｄｃｏｕｎｔｅｒｐａｒｔｓ．Ａｍａｊｏｒａｄｖａｎｔａｇｅｏｆａｒａｎｄｏｍｏｒａｃｌｅｂａｓｅｄｓｃｈｅｍｅｌｉｅｓｉｎｉｔｓｓｉｍｐｌｉｃｉｔｙ．Ｔｏｐｒｅｓｅｒｖｅｔｈｅｓｉｍｐｌｉｃｉｔｙｗｈｉｌｅｎｏｔｒｅｌｙｉｎｇｏｎａｒａｉｌ．ｄｏｍｏｒａｃｌｅｆｏｒｓｅｃｕｒｉｔｙｐｒｏｏｆｓ，ｎｅｗｃｏｍｐｕｔａｔｉｏｎａｌａｓｓｕｍｐｔｉｏｎｓｈａｖｅｂｅｅｎｅｘａｍｉｎｅｄ．ＯｎｅｓｕｃｈｅｆｆｏｒｔｉｓｍａｄｅｂｙＰａｎｄｅｙ，ＰａｓｓａｎｄＶａｉｋｕｎｔａｎａｔｈａｎｔ７７１ｗｈｏｉｎｔｒＤｄｕｃｅｄａｆ色ｗｃｏｍｐｌｅｘｉｔｙｔｈｅｏｒｅｔｉｃａｌｈａｒｄｎｅｓｓａｓｓｕｍｐｔｉｏｎｓｔｈａｔａｂｓｔｒａｃｔｏｕｔｃｏｎｃｒｅｔｅｐｒｏｐｅｒｔｉｅｓｏｆａｒａｎｄｏｍｏｒａｃｌｅ．Ｂａｓｅｄｏｎｔｈｅｓｅａｓｓｕｍｐｔｉｏｎｓ，ｔｈｅｙａｒｅａｂｌｅｔｏｓｏｌｖｅａｎｕｍｂｅｒｏｆｏｐｅｎｐｒｏｂｌｅｍｓ，ｉｎｃｌｕｄｉｎｇｔｈｅｃｏｎｓｔｒｕｃｔｉｏｎｏｆａｎｏｎ．ｉｎｔｅｒａｃｔｉｖｅｃｏｎｃｕｒｒｅｎｔｌｙｎｏｎ．ｍａｌｌｅａｂｌｅｓｔｒｉｎｇｃｏｍｍｉｔｍｅｎｔ．Ｔｈｅｉｒｒｅｓｕｌｔｓｐｏｉｎｔｔｏａｌｌｉｎｔｅｒｅｓｔｉｎｇａｐｐｒｏａｃｈｔｏｗａｒｄｓｄｅｓｉｇｎｉｎｇｅｆｆｉｃｉｅｎｔａｎｄｐｒｏｖａｂｌｙｓｅｃｕｒｅｃｒｙｐｔｏｇｒａｐｈｉｃｓｃｈｅｍｅｓｗｉｔｈｏｕｔｒａｎｄｏｍｏｒａｃｌｅｓ．Ｗｅｎｏｔｅｔｈａｔａｌｔｈｏｕｇｈｔｈｅｓｅａｓｓｕｍｐｔｉｏｎｓａｒｅｓｔｒｏｎｇｅｒｔｈａｎｔｒａｄｉｔｉｏｎａｌｃｒｙｐｔｏｇｒａｐｈｉｃｈａｒｄｎｅｓｓａｓｓｕｍｐｔｉｏｎｓ，ｔｈｅｙｓｅｅｍｑｕｉｔｅｒｅａｓｏｎａｂｌｅａｎｄｉｔｉｓｃｏｎｃｅｉｖａｂｌｅｔｈａｔ，ｌｉｋｅｍａｎｙｏｔｈｅｒａｓｓｕｍｐｔｉｏｎｓｉｎｔｈｅｆｉｅｌｄｓｕｃｈａｓｔｈｅｄｅｃｉｓｉｏｎａｌＤｉｆｌｉｅ．Ｈｅｌｌｍａｎａｓｓｕｍｐｔｉｏｎ，ｔｈｉｓｔｙｐｅｏｆｎｅｗａｓｓｕｍｐｔｉｏｎｓｍａｙｇａｉｎｗｉｄｅｒａｃｃｅｐｔａｎｃｅａｆｔｅｒｆｕｒｔｈｅｒｓｃｒｅｅｎｉｎｇｂｙｐｅｅｒｓｉｎｔｈｅｆｉｅｌｄ．Ｂｙａｂｓｔｒａｃｔｉｎｇｃｏｎｃｒｅｔｅｐｒｏｐｅｒｔｉｅｓｏｆｔｈｅｒａｎｄｏｍｏｒａｃｌｅｍｏｄｅｌ，ｗｅｅｘａｍｉｎｅａｖａｒｉａｎｔｏｆＰａｎｄｅｙｅｔａ１．’Ｓａｓｓｕｍｐｔｉｏｎ［７７］，ｃａｌｌｅｄｔｈｅａｄａｐｔｉｖｅＤＤＨａｓｓｕｍｐｔｉｏｎ．ＢａｓｅｄｏｎｔｈｅａｄａｐｔｉｖｅＤＤＨａｓｓｕｍｐｔｉｏｎ，ａｍｏｄｉｆｉｅｄｖｅｒｓｉｏｎｏｆＺｈｅｎｇａｎｄＳｅｂｅｒｒｙ，Ｓｅｎｃｒｙｐ．ｔｉｏｎｓｃｈｅｍｅｐｒｏｐｏｓｅｄｉｎ【９９１ｉｓｐｒｏｖｅｄｔｏｂｅａｄａｐｔｉｖｅｃｈｏｓｅｎｃｉｐｈｅｒｔｅｘｔｓｅｃｕｒｅｗｉｔｈｏｕｔａｒａｎｄｏｍｏｒａｃｌｅ．ＺｈｅｎｇａｎｄＳｅｂｅｒｒｙ［９９］ｐｒｏｐｏｓｅｄｔｈｒｅｅｓｉｍｐｌｅｍｅｔｈｏｄｓｆｏｒｉｍｍｕｎｉｚ．ｍｇｐｕｂｌｉｃｋｅｙｃｒｙｐｔｏｓｙｓｔｅｍｓａｇａｉｎｓｔｃｈｏｓｅｎｃｉｐｈｅｒｔｅｘｔａｔｔａｃｋｓ．Ｔｈｅｎａｔｕｒｅｏｆｔｈｅｔｈｒｅｅｍｅｔｈｏｄｓｉｓｔｈｅｓａｍｅ．ＴｈｅｙｉｍｍｕｎｉｚｅｄａｐｕｂｌｉｃｋｅｙｃｒｙｐｔｏｓｙｓｔｅｍｂｙａｐｐｅｎｄｉｎｇｔｏｅａｃｈＡＢＳＴＲＡＣＴｃｉｐｈｅｒｔｅｘｔａｔａｇｔｈａｔｉｓｃｏｒｒｅｌａｔｅｄｔｏｔｈｅｍｅｓｓａｇｅｔｏｂｅｅｎｃｒｙｐｔｅｄ．ＢａｓｅｄｏｎｔｈｅＧａｐＤｉｆｆｉｅ．Ｈｅｌｌｍａｎａｓｓｕｍｐｔｉｏｎ（ＧＤＨ），ＢａｅｋａｎｄＺｈｅｎｇｔ７】ｐｒｏｖｉｄｅｄａｓｅｃｕｒｉｔｙｐｒｏｏｆｆｏｒｔｈｅｆｉｒｓｔｓｃｈｅｍｅ，ｄｅｎｏｔｅｄｂｙＺｈｅｎｇ－Ｓｅｂｅｒｒｙｌｗｈ，ｉｎｔｈｅｒａｎｄｏｍｏｒａｃｌｅｍｏｄｅｌ，ｌｅａｖｉｎｇａｓａｌｌｏｐｅｎｐｒｏｂｌｅｍｐｒｏｏｆｓｆ研ｔｈｅｏｔｈｅｒｔｗｏｓｃｈｅｍｅｓ．Ｔｈｅｆｏｃｕｓｏｆｏｕｒｗｏｒｋｉｓｔｏｍｏｄｉｆｙｔｈｅｓｅｃｏｎｄｓｃｈｅｍｅｉｎ０９１，ｄｅｎｏｔｅｄｂｙＺｈｅｎｇ—Ｓｅｂｅｒｒｙ砌，ＳＯｔｈａｔｔｈｅｒｅｓｕｌｔａｎｔｓｃｈｅｍｅｉｓａｄａｐｔｉｖｅｃｈｏｓｅｎｃｉｐｈｅｒｔｅｘｔｓｅｃｕｒｅ．ＴｈｅｓｃｈｅｍｅＺｈｅｎｇ－Ｓｅｂｅｒｒｙｕｈｉｓｗｏｒｔｈｓｔｕｄｙｉｎｇｆｏｒｔｈｅｆｏｌｌｏｗｉｎｇｒｅａｓｏｎｓ：Ｆｉｒｓｔ，ｔｈｅｓｃｈｅｍｅｉｍｍｕｎｉｚｅｓｐｕｂｌｉｃｋｅｙｅｎｃｒｙｐｔｉｏｎａｇａｉｎｓｔａｄａｐｔｉｖｅｃｈｏｓｅｎｃｉｐｈｅｒｔｅｘｔａｔｔａｃｋｓｗｉｔｈｔｈｅｈｅｌｐｏｆａｕｎｉｖｅｒｓａｌｈａｓｈｆｕｎｃｔｉｏｎ．Ｔｈｉｓａｌ－ｌｏｗｓｔｈｅｓｃｈｅｍｅｔｏｓｔｅｅｒｃｌｅａｒｏｆａｏｎｅ．ｗａｙｈａｓｈｆｕｎｃｔｉｏｎｗｉｔｈｎｏｎｓｔａｎｄａｒｄｏｕｔｐｕｔｓｉｚｅ．ｗｈｅｒｅｂｙｓｕｃｃｅｓｓｆｕｌｌｙａｖｅｒｔｉｎｇｐｏｔｅｎｔｉａｌｒｉｓｋｓｒｅｃｅｎｔｌｙｄｉｓｃｏｖｅｒｅｄｉｎ【６７Ｊ．Ｓｅｃｏｎｄ，ｔｈｅｉｎｐｕｔｌｅｎｇｔｈｏｆａｐｌａｉｎｔｅｘｔｃａｎｂｅａｒｂｉｔｒａｒｙ，ｗｈｉｌｅｔｈｅｏｖｅｒｈｅａｄｏｆｔｈｅｃｏｒｒｅｓｐｏｎｄｉｎｇｃｉｐｈｅｒｔｅｘｔｉｓａｃｏｎｓｔａｎｔ．Ａｓａｒｅｓｕｌｔ，ｔｈｅｒａｔｉｏｂｅｔｗｅｅｎｔｈｅｌｅｎｇｔｈｏｆｔｈｅｃｉｐｈｅｒｔｅｘｔａｎｄｔｈａｔｏｆｔｈｅｐｌａｉｎｔｅｘｔｃａｎｂｅｃｌｏｓｅｔｏ１ａｓｔｈｅｌｅｎｇｔｈｏｆｔｈｅｐｌａｉｎｔｅｘｔｉｎｃｒｅａｓｅｓ．ＣｏｍｐａｒｅｄｗｉｔｈＫｉｌｔｚｅｔａ１．’Ｓｃｏｎｃｒｅｔｅｓｃｈｅｍｅ［６４１ｗｈｉｃｈｒｅｌｉｅｓｏｎｔｈｅＤＤＨａｓ—ｓｕｍｐｔｉｏｎａｎｄＡＥ－ＯＴｓｅｃｕｒｅｓｙｍｍｅｔｒｉｃｅｎｃｒｙｐｔｉｏｎ，ＯｕｒｍｏｄｉｆｉｅｄＺｈｅｎｇ。ＳｅｂｅｒｒｙｌＩＪｌｓｃｈｅｍｅｉｓｃｏｎｃｅｐｔｕａｌｌｙｍｕｃｈｓｉｍｐｌｅｒａｎｄｒｅｔｉｅｓｏｎｌｙｏｎｔｈｅａｄａｐｔｉｖｅＤＤＨａｓｓｕｍｐ。ｄｏｎ．Ｍｏｒｅｉｍｐｏｒｔａｎｔ，ｔｈｉｓｎｅｗｌｙｍｏｄｉｆｉｅｄｓｃｈｅｍｅｒｅｑｕｉｒｅｓｓｉｇｎｉｆｉｃａｎｔｌｙｌｅｓｓｃｏｍｐｕｔａ。ｔｉｏｎｔｉｍｅｔｈａｎＫｉｌｔｚｅｔａ１．’ｓ．ＣｏｍｐａｒｅｄｗｉｔｈＤＨＩＥＳｗｈｉｃｈｒｅｌｉｅｓｏｎｔｈｅＯｒａｃｌｅＤｉｆｆｉｅ－Ｈｅｌｌｍａｎ（ＯＤＨ）ａｓｓｕｍｐｔｉｏｎｔｏｇｅｔｈｅｒｗｉｔｈｔｈｅｓｅｃｕｒｉｔｙｏｆｓｙｍｍｅｔｒｉｃｅｎｃｒｙｐｔｉｏｎａｎｄａｍｅｓｓａｇｅａｕｔｈｅｎｔｉｃａｔｉｏｎｃｏｄｅ，ＯｕｒｍｏｄｉｆｉｅｄｓｃｈｅｍｅｒｅｌｉｅｓｏｎｌｙｏｎｔｈｅａｄａｐｔｉｖｅＤＤＨａｓｓｕｍｐｔｉｏｎａｎｄｐｒｅｓｅｒｖｅｓｔｈｅｃｏｍｐｕｔａｔｉｏｎａｌｅｆｆｉｃｉｅｎｃｙｏｆＺｈｅｎｇ—ＳｅｂｅｒｒｙⅡＪ１１．ＨｏｗｅｖｅＬｉｔｉｓｆａｉｒｔｏｓａｙｔｈａｔＯｕｒｍｏｄｉｆｉｅｄＺｈｅｎｇ—ＳｅｂｅｒｒｙｓｃｈｅｍｅａｎｄＤＨＩＥＳａｒｅｃｏｍｐａｒａｂｌｅ，ｅａｃｈｈａｖｉｎｇｉｔｓｏｗｎｐｒｏｓａｎｄｃｏｎｓｉｎｐｒａｃｔｉｃｅ．ＷｉｔｈＤＨＩＥＳ，ａｌｌｔｈｒｅｅａｓｓｕｍｐｔｉｏｎｓｏｎｓｙｍｍｅｔｒｉｃｅｎｃｒｙｐｔｉｏｎ，ＭＡＣａｎｄＯＤＨａｒｅｒｅｓｐｏｎｓｉｂｌｅｆｏｒｔｈｅｓｅｃｕｒｉｔｙｏｆＤＨＩＥＳａｎｄｉｔｉｓｒｅｌａｔｉｖｅｌｙｅａｓｙｔｏｓｅｌｅｃｔｐｒｏｐｅｒｃａｎｄｉｄａｔｅｓｔｏｒｅａｌｉｚｅｅａｃｈｆｕｎｃｔｉｏｎｏｆｔｈｅａｓｓｕｍｐｔｉｏｎ．ＷｉｔｈＯｕｒｍｏｄｉｆｉｅｄＺｈｅｎｇ—Ｓｅｂｅｒｒｙｓｃｈｅｍｅ，ｔｈｅａｄａｐｔｉｖｅＤＤＨａｓｓｕｍｐｔｉｏｎｗｈｉｃｈｉｓｓｏｌｅｌｙｒｅｓｐｏｎｓｉｂｌｅｆｏｒｔｌｌｅｓｅｃｕｒｉｔｙｏｆｔｈｅｓｃｈｅｍｅｉｓｓｌｉｇｈｔｌｙｓｔｒｏｎｇｅｒｔｈａｎｔｈｅＯＤＨａｓｓｕｍｐｔｉｏｎｒｅｑｕｉｒｅｄｂｙＤＨＩＥＳ．ＡＢＳＴＲＡＣＴＲｉｎｇｓｉｇｎａｔｕｒｅｓ．ＴｈｅｎｏｔｉｏｎｏｆｐｕｂｌｉｃｋｅｙｄｉｇｉｔａｌｓｉｇｎａｔｕｒｅｗａｓｉｎｔｒｏｄｕｃｅｄｂｙＤｉｆｆｉｅａｎｄＨｅｌｌｍａｎｔ４２ｊａｎｄｔｈｅｅａｒｌｙｃｏｎｃｒｅｔｅｉｍｐｌｅｍｅｎｔａｔｉｏｎｓｗｅｒｅｐｒｏｐｏｓｅｄｂｙＲｉｖｅｓｔ．ＳｈａｍｉｒａｎｄＡｄｌｅｍａｎｔ８２１．Ｆｏｒｔｈｅｓｅｃｕｒｉｔｙｎｏｔｉｏｎｓｏｆｄｉｇｉｔａｌｓｉｇｎａｔｕｒｅ，ａｃｏｍｐｒｅｈｅｎｓｉｖｅｗｏｒｋｗａｓｐｒｅｓｅｎｔｅｄｂｙｔ５６１．Ａｓｗｅｋｎｏｗ，ｔｈｅａｉｍｏｆｓｉｇｎａｔｕｒｅｓｉｓｔｏａｕｔｈｅｎｔｉｃａｔｅｔｈｅｓｏｕｒｃｅｏｆａｍｅｓｓａｇｅａｎｄｐｏｓｓｉｂｌｙｔｏｅｎｓｕｒｅｔｈａｔａｍｅｓｓａｇｅｈａｓｎｏｔｂｅｅｎａｌｔｅｒｅｄｄｕｎｎｇｔｒａｎｓｍｉｓｓｉｏｎ．Ｉｎｓｏｍｅａｐｐｌｉｃａｔｉｏｎｓ，ｗｅｎｅｅｄｔｏｈｉｄｅｔｈｅｉｄｅｎｔｉｔｙｏｆａｓｉｇｎｅｒ，ｗｈｉｃｈｒｅｓｕｋｓｉｎｔｈｅｉｎｖｅｎｔｉｏｎｏｆｇｒｏｕｐｓｉｇｎａｔｕｒｅｓａｎｄｒｉｎｇｓｉｇｎａｔｕｒｅｓ．Ｒｉｎｇｓｉｇｎａｔｕｒｅ，ｉｎｔｒｏｄｕｃｅｄｂｙＲｉｖｅｓｔ，ＳｈａｍｉｒａｎｄＴａｕｍａｎｌ８３］，ｉｓｕｓｅｄｔｏｐｒｏｖｉｄｅａｎｏｎｙｍｉｔｙｆｏｒｔｈｅｓｉｇｎｅｒ．Ｉｔｉｓｃｌｏｓｅｌｙｒｅｌａｔｅｄｔｏｔｈｅｎｏｔｉｏｎｏｆｇｒｏｕｐｓｉｇｎａｔｕｒｅ，ｗｈｉｃｈａｌｓｏｐｒｏｖｉｄｅｓａｎｏｎｙｍｉｔｙｆｏｒｔｈｅｓｉｇｎｅｒ．Ｂｕｔｕｎｌｉｋｅｇｒｏｕｐｓｉｇｎａｔｕｒｅｓ，ｔｈｅｒｅｉｓｎｏｃｅｎｔｒａｌｇｒｏｕｐｍａｎａｇｅｒ，ｐｒｅａｒｒａｎｇｅｄｇｒｏｕｐｏｆｕｓｅｒｓｏｒｐｒｏｃｅｄｕｒｅｓｆｏｒｓｅｔｔｉｎｇ，ｃｈａｎｇｉｎｇｏｆｄｅｌｅｔｉｎｇｇｒｏｕｐｓｉｎｒｉｎｇｓｉｇｎａｔｕｒｅｓｃｈｅｍｅ．Ｍａｎｙｗｏｒｋｓａｂｏｕｔｒｉｎｇｓｉｇｎａｔｕｒｅｓａｒｅｓｕｂｓｅｑｕｅｎｔｌｙｐｒｏｐｏｓｅｄ，ｓｕｃｈａｓ【４】，【５８１，【２０】，【４３１，ｅｔｃ。Ｍｏｓｔｏｆｔｈｅｗｏｒｋｓａｒｅｐｒｏｖｅｎｓｅｃｕｒｅｉｎｔｈｅｒａｎｄｏｍｏｒａ—ｃｌｅｍｏｄｅｌ．Ｓｏｍｅｗｏｒｋｓａｒｅｐｒｏｐｏｓｅｄｉｎｔｈｅｓｔａｎｄａｒｄｍｏｄｅｌ，ｂｕｔｔｈｏｓｅｗｏｒｋｓａｒｅｎｏｔＳＯｓａｔｉｓｆａｃｔｏｒｙ：Ｘｕ，ＺｈａｎｇａｎｄＦｅｎｇ［９４１ｐｒｏｖｉｄｅｄａｒｉｎｇｓｉｇｎａｔｕｒｅｓｃｈｅｍｅｉｎｔｈｅｓｔａｎｄａｒｄｍｏｄｅｌ，ｂｕｔｔｈｅｉｒｐｒｏｏｆｉｓｆｌａｗｅｄ；Ｃｈｏｗ，Ｌｉｕ，ＷｅｉａｎｄＹｕｅｎ’Ｓｓｃｈｅｍｅ１３２１ｉｓｂａｓｅｄｏｎａｎｅｗａｓｓｕｍｐｔｉｏｎ；Ｂｅｎｄｅｒ，ＫａｔｚａｎｄＭｏｒｓｅｌｌｉ’Ｓｓｃｈｅｍｅｔ１７１ｉｓｂａｓｅｄｏｎｔｒａｐｄｏｏｒｐｅｒｍｕｔａｔｉｏｎｓ，ｂｕｔｔｈｅｉｒｓｃｈｅｍｅｕｓｅｓｇｅｎｅｒｉｃＺＡＰｓｆｏｒＮＰ，ｗｈｉｃｈｉｓｉｍｐｒａｃｔｉｃａｌ．Ｈｏｗｅｖｅｒ，［１７】ｇａｖｅａｄｅｔａｉｌｅｄｄｉｓｃｕｓｓｉｏｎｏｆｓｅｃｕｒｉｔｙｍｏｄｅｌｓｆｏｒｒｉｎｇｓｉｇｎａｔｕｒｅｓ．Ｒｅｃｅｎｔｙｅａｒｓ，ｔｗｏｅｆｆｉｃｉｅｎｔｒｉｎｇｓｉｇｎａｔｕｒｅｓｃｈｅｍｅｓｗｉｔｈｏｕｔｒａｎｄｏｍｏｒａｃｌｅｓｈａｖｅｂｅｅｎｐｒｏｐｏｓｅｄｂｙＳｈａｃｈａｍａｎｄＷａｔｅｒｓｔ８７】ａｎｄＢｏｙｅｎ［２１１．Ｅｓｐｅｃｉａｌｌｙ［８７１，ｉｔｉｓｔｈｅｆｉｒｓｔｅｆｆｉｃｉｅｎｔｒｉｎｇｓｉｇｎａｔｕｒｅｓｃｈｅｍｅｗｉｔｈｏｕｔｒａｎｄｏｍｏｒａｃｌｅｓｂａｓｅｄｏｎｓｔａｎｄａｒｄａｓｓｕｍｐｔｉｏｎｓ・ＩＩｌ【８７１．ＳｈａｃｈａｍａｎｄＷａｔｅｒｓｃｏｎｓｔｒｕｃｔａｌｉｎｅａｒｓｉｚｅｒｉｎｇｓｉｇｎａｔｕｒｅｉｎｃｏｍｍｏｎｒａｎｄｏｍｓｔｒｉｎｇｍｏｄｅｌｂａｓｅｄｏｎｃｏｍｐｕｔａｔｉｏｎａｌＤｉｆｆｉｅ－Ｈｅｌｌｍａｎａｎｄｄｅｃｉｓｉｏｎａｌｓｕｂｇｒｏｕｐａｓｓｕｍｐ。ｔｉｏｎｓ．Ｆｏｒｌｍｅｍｂｅｒｓｏｆａｒｉｎｇ，ｔｈｅｉｒｓｃｈｅｍｅｈａｓｔｈｅｓｉｚｅｏｆ２１＋２ｇｒｏｕｐｅｌｅｍｅｎｔｓ，ａｎｄｒｅｑｕｉｒｅｓ２１＋３ｐａｉｒｉｎｇｓｔｏｖｅｒｉｆｙ．ＴｈｅｙｓｈｏｗｔｈａｔｔｈｅｉｒｓｃｈｅｍｅｉｓｐｒｏｖａｂｌｙｓｅｃｕｒｅｉｎｔｈｅｓｔｒｏｎｇｅｓｔｓｅｃｕｒｉｔｙｍｏｄｅｌｐｒｏｐｏｓｅｄｂｙＢｅｎｄｅｒ，Ｋａｔｚ．ａｎｄＭｏｒｓｅｌｌｉ【ｌ７１．Ｗｉｔｈｒｅｓｐｅｃｔｔｏａｃｏｎｃｒｅｔｅａｐｐｌｉｃａｔｉｏｎｅｎｖｉｒｏｎｍｅｎｔ，ｗｅｓｈｏｗｔｈａｔｔｈｅｒｉｎｇｓｉｇｎａｔｕｒｅｓｃｈｅｍｅｔＳ７ｌＣａｌｌｂｅｕｓｅｄｉｎａｍｏｒｅｅｆｆｉｃｉｅｎｔｗａｙ，ｂａｓｅｄｏｎｔｈｅｉｄｅａｏｆｔ＇＊３１．ＡＢＳＴＲＡＣＴＩｎ［４３１，Ｄｏｄｉｓ，Ｋｉａｙｉａｓ，ＮｉｃｏｌｏｓｉａｎｄＳｈｏｕｐｉｎｔｒｏｄｕｃｅｄａｇｒｏｕｐｐｕｂｌｉｃｋｅｙｆｏｒｔｈｅｒｉｎｇｓｉｇｎａｔｕｒｅｔｈｒｏｕｇｈｔｈｅａｃｃｕｍｕｌａｔｏｒｓｗｉｔｈｏｎｅｗａｙｄｏｍａｉｎ，ｗｈｉｃｈｃａｎｂｅｃｏｍｐｕｔｅｄｂｙａｎｙｍｅｍｂｅｒｉｎｔｈｅｒｉｎｇ．Ｓｕｃｈｋｉｎｄｏｆｓｔｒｕｃｔｕｒｅｏｆｒｉｎｇｓｉｇｎａｔｕｒｅｓａｌｌｏｗｓｏｎｅｇｒｏｕｐｐｕｂｌｉｃｋｅｙｔｏｃｏｒｒｅｓｐｏｎｄｔｏｍａｎｙｒｉｎｇｍｅｍｂｅｒｓ’ｓｅｃｒｅｔｋｅｙｓ．ＴｈａｎｋｓｔＯｔｈｅｇｒｏｕｐｐｕｂｌｉｃｋｅｙｆｏｒｔｈｅｒｉｎｇ，ｍｅｙｐｏｉｎｔｅｄｏｕｔｔｈａｔｔｈｅｓｉｚｅｏｆｔｈｅｒｉｎｇｓｉｇｎａｔｕｒｅｃａｎｂｅｃｏｎｓｔａｎｔｉｎｓｏｍｅｃａｓｅｓ，ｅ．ｇ．，ｔｈｅｒｉｎｇｓｔａｙｓｔｈｅｓａｍｅｆｏｒａｌｏｎｇｐｅｒｉｏｄｏｆｔｉｍｅ．ＷｅｓｈｏｗｔｈａｔｗｅｃａｎａｐｐｌｙＤｏｄｉｓｅｔａ１．’ＳｓｔｒｕｃｔｕｒｅｔＯＳｈａｃｈａｍａｎｄＷａｔｅｒｓｓｃｈｅｍｅ，ａｓｉｔｃａｎｐｒｏｄｕｃｅ“ｇｒｏｕｐｐｕｂＳｃｋｅｙ”ｆｏｒｔｈｅｒｉｎｇ．ａｎｄｓｕｃｈ“ｇｒｏｕｐｐｕｂｌｉｃｋｅｙ’’Ｃａｎｐｌａｙｔｈｅｒｏｌｅｏｆｔａｇｆｏｒｌｉｎｋｉｎｇ．ＣｏｎｓｉｄｅｒｔｈｅｃａｓｅｔｈａｔｓｉｇｎｅｒＡｓｔａｙｓｉｎａｒｉｎｇｆｏｒａｌｏｎｇｔｉｍｅ，ａｎｄｓｈｅｕｓｕａｌｌｙｎｅｅｄｓｔＯｓｅｎｄｈｅｒｒｉｎｇｓｉｇｎａｔｕｒｅｔｏｒｅｃｅｉｖｅｒＢ，ｗｈｉｌｅＡｗａｎｔｓｔｏａｓｓｕｒｅＢｔｈａｔｔｈｅｓｅｓｉｇｎａｔｕｒｅｓａｒｅｐｒｏｄｕｃｅｄｂｙｔｈｅｓａｍｅｍｅｍｂｅｒｉｎｔｈｅｒｉｎｇ．ＯｕｒｍｏｄｉｆｉｅｄｓｃｈｅｍｅｉｓｍｏｒｅｅｆｆｉｃｉｅｎｔｔｈａｎｃｏｎｖｅｎｔｉｏｎａｌｒｉｎｇｓｉｇｎａｔｕｒｅｗｉｔｈｏｕｔｒａｎｄｏｍｏｒａｃｌｅｓｗｈｅｎａｐｐｌｉｅｄｔＯｔｈｅａｂｏｖｅｃａｓｅ．ＡｓｔｈｅｓｉｇｎｅｒＣａｎｄｅｃｉｄｅｗｈｅｔｈｅｒｔｏｐｒｏｖｉｄｅｌｉｎｋａｂｉｌｉｔｙｂｙｈｅｒｓｅｌｆ，ｗｅｃａｌｌｔｈｅｓｐｅｃｉａｌＳｈａｃｈａｍａｎｄＷａｔｅｒｓｓｃｈｅｍｅｓｅｌｆｌｉｎｋａｂｌｅｒｉｎｇｓｉｇｎａｔｕｒｅ．ＣｏｎｃｕｒｒｅｎｔＳｔａｔｉｓｔｉｃａｌＺｅｒｏ－ＫｎｏｗｌｅｄｇｅＡｒｇｕｍｅｎｔｓ．Ｚｅｒｏ—ｋｎｏｗｌｅｄｇｅｐｒｏｏｆ，ｉｎｔｒｏｄｕｃｅｄｂｙＧｏｌｄｗａｓｓｅｒ，ＭｉｃａｌｉａｎｄＲａｃｋｏｆｆｔ５５１，ｉｓａｎｉｎｔｅｒａｃｔｉｖｅｍｅｔｈｏｄｆｏｒｏｎｅｐａｒｔｙｔｏｐｒｏｖｅｔＯａｎｏｔｈｅｒｐａｒｔｙｔｈａｔａｓｔａｔｅｍｅｎｔｉｓｔｒｕｅ，ｗｉｔｈｏｕｔｒｅｖｅａｌｉｎｇａｎｙｔｈｉｎｇｏｔｈｅｒｔｈａｎｔｈｅｖａｌｉｄｉｔｙｏｆｔｈｅｓｔａｔｅｍｅｎｔ．Ｔｈｅｐａｒｔｙｗｈｏｐｒｏｖｉｄｅｓｔｈｅｐｒｏｏｆｉｓｃａｌｌｅｄｔｈｅｐｒｏｖｅｒａｎｄｔｈｅｐａｒｔｙｗｈｏｖｅｒｉｆｉｅｓｔｈｅｐｒｏｏｆｉｓｃａｌｌｅｄｔｈｅｖｅｒｉｆｉｅｒ．Ｕｎｌｉｋｅｔｈｅｔｒａｄｉｔｉｏｎａｌｍａｔｈｅｍａｔｉｃａｌｐｒｏｏｆｓｗｈｉｃｈｉｓａｆｉｘｅｄｓｅｑｕｅｎｃｅｃｏｎｓｉｓｔｉｎｇｏｆｅｖｉｄｅｎｃｅｔｈａｔａｒｅｃｏｍｍｏｎｌｙａｇｒｅｅｄ，ｚｅｒｏ—ｋｎｏｗｌｅｄｇｅｐｒｏｏｆｅｍｐｈａｓｉｚｅｓｔｈｅｉｎｔｅｒａｃｔｉｏｎｂｅｔｗｅｅｎｔｈｅｐｒｏｖｅｒａｎｄｔｈｅｖｅｒｉｆｉｅｒ．ＴｈｅｎｏｔｉｏｎｏｆｔｈｅｃｏｎｃｕｒｒｅｎｔＺＫｆｉｒｓｔｉｎｔｒｏｄｕｃｅｄｂｙＤｗｏｒｋ，ＮａｏｒａｎｄＳａｈａｉ１４５］ｒｅｑｕｉｒｅｓｔｈａｔｔｈｅｐｒｏｔｏｃｏｌｒｅｍａｉｎｓＺＫｅｖｅｎｍａｎｙｃｏｐｉｅｓｏｆｔｈｅｐｒｏｏｆａｒｅｒｕｎｉｎａｎａｓｙｎ－ｃｈｒｏｎｏｕｓｅｎｖｉｒｏｎｍｅｎｔ，ｓｕｃｈａｓｔｈｅＩｎｔｅｒａｃｔ．Ｃａｎｅｔｔｉ，Ｋｉｌｉａｎ，Ｐｅｔｒａｎｋ，ａｎｄＲｏｓｅｎ［２６１ｓｈｏｗｅｄｔｈａｔｎｏｌａｎｇｕａｇｅｓｂｅｓｉｄｅＢＰＰｈａｖｅｃｏｎｓｔａｎｔ－ｒｏｕｎｄｂｌａｃｋ－ｂｏｘｃｏｎｃｕｒｒｅｎｔＺＫｐｒｏｏｆｓｉｎｔｈｅｓｔａｎｄａｒｄｍｏｄｅｌ（ｗｈｅｒｅｎｏｐｕｂｌｉｃｋｅｙｉｎｆｒａｓｔｒｕｃｔｕｒｅｉｓａｖａｉｌａｂｌｅ），ａｎｄｔｈｅｙａｌｓｏｇａｖｅａｏ（１０９ｎ／ｌｏｇｌｏｇ，１１ｌｏｗｅｒｂｏｕｎｄｏｎｔｈｅｎｕｍｂｅｒｏｆｒｏｕｎｄｓｆｏｒｓｕｃｈｐｒｏｔｏ—ｃｏｌｓ．ＲｉｃｈａｒｄｓｏｎａｎｄＫｉｌｉａｎｔ８ｌ】ｆｉｒｓｔｐｒｅｓｅｎｔｅｄａｆａｍｉｌｙｏｆｃｏｎｃｕｒｒｅｎｔＺＫｐｒｏｔｏｃｏｌｓＡＢＳＴＲＡＣＴｆｂｒａｌｌｌａｎｇｕａｇｅｓｉｎＮＰ．ＴｈｅｉｒａｎａｌｙｓｉｓｗａｓｉｍｐｒｏｖｅｄｂｙＫｉｌｉａｎａｎｄＰｅｔｒａｎｋ［６２１．ｗｈｏｓｈｏｗｅｄｔｈａｔａｐｏｌｙｌｏｇａｒｉｔｈｍｉｃｎｕｍｂｅｒｏｆｒｏｕｎｄｓｉｓｓｕｆｆｉｃｉｅｎｔｆｏｒｔｈｅｃｏｎｃｕｒｒｅｎｔＺＫｐｒｏｔｏｃ０１．Ｓｕｂｓｅｑｕｅｎｔｌｙ，Ｐｒａｂｈａｋａｒａｎｅｔａ１．１７８］ｉｍｐｒｏｖｅｄｔｈｅｉｒａｎａｌｙｓｉｓｔｏｐｒｏｖｅｔｈａｔｔｏ（１０９ｎ）ｒｏｕｎｄｓａｒｅｅｎｏｕｇｈ．ＡｓＭｉｃｃｉａｎｃｉｏａｎｄＰｅｔｒａｎｋｔ７１１ｐｏｉｎｔｅｄｏｕｔ．ａｌｔｈｏｕｇｈｔｈｅｃｏｎｃｕｒｒｅｎｔｚｅｒｏ．ｋｎｏｗｌｅｄｇｅｐｒｏｔｏｃｏｌｉｎｔｈｅｓｔａｎｄａｒｄｍｏｄｅｌｉｓｌｅｓｓｅｆｆｉｃｉｅｎｔｔｈａｎｔｈａｔｉｎｔｈｅＰＫＩｍｏｄｅｌ，ｔｈｅｓｔａｎｄａｒｄｍｏｄｅｌｃａｎｂｅｕｓｅｄｗｈｅｒｅａＰＫＩｉｓｎｏｔｐｏｓｓｉｂｌｅ，ｏｒｔｏｓｅｔｕｐａｐｕｂｌｉｃｋｅｙｉｎｆｒａｓｔｒｕｃｔｕｒｅｏｒｅｓｔａｂｌｉｓｈｃｏｍｍｏｎｒａｎｄｏｍｓｔｒｉｎｇｓ．Ｆｏｒｉｎｓｔａｎｃｅ，ｔｈｅｓｔａｎｄａｒｄｐｒｏｔｏ—ｃｏｌＣａｎｂｅｕｓｅｄｔｏｒｅｇｉｓｔｅｒｐｕｂｌｉｃｋｅｙｓｗｉｔｈａｃｅｒｔｉｆｉｃａｔｉｏｎａｕｔｈｏｒｉｔｙａｎｄｂｏｏｔｓｔｒａｐｔｈｅｓｙｓｔｅｍ．ＭｉｃｃｉａｎｃｉｏａｎｄＰｅｔｒａｎｋ［７ｌ】ｐｒｏｖｉｄｅｄａｎｅｆｆｉｃｉｅｎｔｍｅｔｈｏｄｆｏｒｃｏｎｖｅｒｔｉｎｇａｎｙｐｕｂｌｉｃ—－ｃｏｉｎＨＶＺＫｐｒｏｏｆｓｙｓｔｅｍｔｏａｃｏｎｃｕｒｒｅｎｔＺＫｐｒｏｏｆｓｙｓｔｅｍｂａｓｅｄｏｎｔｈｅｄｅｃｉ・－ｓｉｏｎａｌＤｉｆｆｉｅ—Ｈｅｌｌｍａｎ（ＤＤＨ）ａｓｓｕｍｐｔｉｏｎ．Ｈｏｗｅｖｅｒ，ｔｈｅｉｒｔｒａｎｓｆｏｒｍａｔｉｏｎｄｏｅｓｎｏｔｐｒｅ—ｓｅｒｖｅｔｈｅｓｔａｔｉｓｔｉｃａｌＺＫ．ＴｈｅｆｉｒｓｔｃｏｎｃｕｒｒｅｎｔｓｔａｔｉｓｔｉｃａｌＺＫａｒｇｕｍｅｎｔｆｏｒａｌｌｌａｎｇｕａｇｅｓｉｎＮＰｆｒｏｍａｎｙｏｎｅ—ｗａｙｆｕｎｃｔｉｏｎｗａｓｐｒｅｓｅｎｔｅｄｂｙＧｏｙａｌ，Ｍｏｒｉａｒｔｙ，ＯｓｔｒｏｖｓｋｙａｎｄＳａｈａｌｔ５７】ｗｈｏｇａｖｅｔｈａｔａｇｅｎｅｒａｌｔｒａｎｓｆｏｒｍａｔｉｏｎｆｒｏｍａｎｙｈｏｎｅｓｔｖｅｒｉｆｉｅｒｓｔａｔｉｓｔｉｃａｌＺＫａｒｇｕｍｅｎｔｔｏａｃｏｎｃｕｒｒｅｎｔｓｔａｔｉｓｔｉｃａｌＺＫａｒｇｕｍｅｎｔ．Ｔｈｅｙａｐｐｌｉｅｄｔｈｅｉｒｔｒａｎｓｆｏｒｍａｔｉｏｎｔｏｔｈｅｓｔａｔｉｓｔｉｃａｌｚｅｒｏ—ｋｎｏｗｌｅｄｇｅａｒｇｕｍｅｎｔｐｒｅｓｅｎｔｅｄｂｙＮｇｕｙｅｎ．ＯｎｇａｎｄＶａｄｈａｎｔ７６】ｔｏｇｅｔｔｈｅｆｉｒｓｔｃｏｎｃｕｒｒｅｎｔｓｔａｔｉｓｔｉｃａｌＺＫａｒｇｕｍｅｎｔｆｏｒａｌｌｌａｎｇｕａｇｅｓｉｎＮＰｆｒｏｍａｎｙｏｎｅ－ｗａｙｆｕｎｃｔｉｏｎ．ＴｈｅｙｕｓｅｄｔｈｅｍｏｄｉｆｉｅｄＰＲＳｐｒｅａｍｂｌｅ［７８１，ｗｈｉｃｈｒｅｑｕｉｒｅｓＤ（产）ｃｏｍｍｉｔｍｅｎｔｓ（Ｚｄｅｎｏｔｅｓｔｈｅｎｕｍｂｅｒｏｆｒｏｕｎｄｓｏｆｔｈｅｐｒｅａｍｂｌｅ）．ＴｈｅｖｅｒｉｆｉｅｒｕｓｅｓｔｈｅｒａｎｄｏｍｎｅｓｓｏｆｔｈｅｃｏｉｎｆｌｉｐｐｉｎｇｐｒｏｔｏｃｏｌａｎｄｔｈｅｃｏｍｐｕｔａｔｉｏｎａｌＺＫｐｒｏｏｆｓ．ＴｈｅｍｏｓｔｄｉｆｆｉｃｕｌｔｐｒｏｂｌｅｍｔｈｅｙｏｖｅｒｃａｍｅｗａｓｔｈｅｓｏｕｎｄｎｅｓｓｐｒｏｏＬＳｉｎｃｅｔｈｅｃｏｍｍｉｔｍｅｎｔｕｓｅｄｂｙｔｈｅｖｅｒｉｆｉｅｒｉｓｓｔａｔｉｓｔｉｃａｌｌｙｂｉｎｄｉｎｇ（ｃｏｍｐｕｔａｔｉｏｎａｌｌｙｈｉｄｉｎｇ），ｔｈｅｐｒｏｖｅｒｍａｙｐｏｔｅｎｔｉａｌｌｙｃｈｅａｔｔｈｅｖｅｒｉｆｉｅｒ．Ｈｅｎｃｅ，ｔｈｅｓｏｕｎｄｎｅｓｓｉｓｎｏｔｏｂｖｉｏｕｓ．Ｈｏｗｅｖｅｒ，ｔｈｅｃｏｒｎ－ｐｕｔａｔｉｏｎａｌＺＫｐｒｏｏｆｗａｓｕｓｅｄｔｏｓｕｃｃｅｓｓｆｕｌｌｙｏｖｅｒｃｏｍｅｔｈｉｓｐｒｏｂｌｅｍｂｙｔｈｅｈｙｂｒｉｄａｒｇｕｍｅｎｔ．ＢｙａｎａｌｙｚｉｎｇｔｈｅＳｅｃｕｒｉｔｙｐｒｏｐｅｒｔｙｏｆＧｏｙａｌｅｔａ１．’Ｓｃｏｎｃｕｒｒｅｎｔｓｔａｔｉｓｔｉｃａｌｚｅｒｏ—ｋｎｏｗｌｅｄｇｅａｒｇｕｍｅｎｔｓ［５７１．ｗｅｐｏｉｎｔｏｕｔｔｈａｔｔｈｅｉｒｐｒｏｔｏｃｏｌｃａｎｂｅｆｕｒｔｈｅｒｓｉｍｐｌｉｆｉｅｄｔｏａｍｏｒｅｐｒａｃｔｉｃａｌｐｒｏｔｏｃｏｌｕｓｉｎｇｔｈｅｗｉｔｎｅｓｓｉｎｄｉｓｔｉｎｇｕｉｓｈａｂｌｅｐｒｏｔｏｃ０１．Ｍｏｒｅｐｒｅｃｉｓｅｌｙ，ｓｏｍｅｏｆｔｈｅｃｏｍｐｕｔａｔｉｏｎａｌＺＫｐｒｏｏｆｓｉｎＧｏｙａｌｅｔａ１．’ＳｐｒｏｔｏｃｏｌａｒｅｒｅｐｌａｃｅｄｗｉｔｈｔｈｅＡＢＳＴＲＡＣＴＥＯＲ—ｐｒｏｔｏｃｏｌ，ｗｈｉｃｈｉｓｗｉｔｎｅｓｓｉｎｄｉｓｔｉｎｇｕｉｓｈａｂｌｅｐｒｏｏｆｏｆｋｎｏｗｌｅｄｇｅ（ＷＩＰＯＫ）．ＷｅｔｈｅｎｐｒｏｖｅｔｈａｔｔｈｉｓＷＩＰＯＫｐｒｏｔｏｃｏｌｉｓｓｕｆｆｉｃｉｅｎｔｆｏｒｔｈｅｐｒｏｏｆｏｆｓｏｕｎｄｎｅｓｓ．Ｆｕｒ－ｔｈｅｒｍｏｒｅ，ｗｅｕｓｅｔｈｅｓｔｒｕｃｔｕｒｅｏｆＲｉｃｈａｒｄｓｏｎａｎｄＫｉｌｉａｎ’Ｓｐｒｅａｍｂｌｅｔｓｌ】ｗｈｉｃｈｒｅｑｕｉｒｅｓｏｎｌｙｏ（０ｃｏｍｍｉｔｍｅｎｔｓｉｎｓｔｅａｄｏｆｔｈｅＰＲＳｐｒｅａｍｂｌｅ．Ｉｎａｄｄｉｔｉｏｎ，ｔｈｅＷＩＰＯＫｐｒｏｔｏ－ｃｏｌｓａｒｅｅｘｅｃｕｔｅｄｉｎ‘＇ｐａｒａｌｌｅｌ”，ＳＯｔｈａｔｔｈｅｙｎｏｔｏｎｌｙｐｌａｙｔｈｅｒｏｌｅｏｆｐｒｅａｍｂｌｅｂｕｔａｌｓｏｒｅｍｏｖｅｓｏｍｅｃｏｍｐｕｔａｔｉｏｎａｌＺＫｐｒｏｏｆｓｉｎＧｏｙａｌｅｔａ１．’Ｓｐｒｏｔｏｃ０１．ＴｈｅｓｏｕｎｄｎｅｓｓｐｒｏｏｆｐｒｏｂｌｅｍｉｓｓｕｃｃｅｓｓｆｕｌｌｙｏｖｅｒｃｏｍｅｂｙｔｈｅｈｙｂｒｉｄａｒｇｕｍｅｎｔｗｉｔｈｔｈｅｓｏｕｎｄｎｅｓｓｐｒｏｏｆｏｆｔｈｉｓｐｒｏｔｏｃｏｌｂｅｉｎｇａｔｉｔｔｌｅｍｏｒｅｓｕｂｔｌｅｔｈａｎｔｈａｔｏｆＧｏｙａｌｅｔａ１．【５７１，ｓｉｎｃｅｔｈｅＷＩＰＯＫｐｒｏｔｏｃｏｌｉｓｎｏｔｚｅｒｏ－ｋｎｏｗｌｅｄｇｅ．Ｋｅｙｗｏｒｄｓ：Ｐｕｂｌｉｃｋｅｙｃｒｙｐｔｏｇｒａｐｈｙ，Ｅｎｃｒｙｐｔｉｏｎ，Ｓｉｇｎａｔｕｒｅ，Ｚｅｒｏ－ｋｎｏｗｌｅｄｇｅＸｌＶＡＢＳＴＲＡＣＴ插图索引图２．１公钥加密方案…………７图２．２公钥签名方案………．１０图２．３环签名和群签名的结构……………．．１１图２．４４．轮零知识协议……………………１４图２．５鸟巢形交叉…………．１４ＸＶ山东大学博士学位论文表４．１表４．２表４．３表５．１表６．１表格索引原始Ｚｈｅｎｇ—Ｓｅｂｅｒｒｙ鼬方案……………３０修改后Ｚｈｅｎｇ—Ｓｅｂｅｒｒｙ砌方案…………３７Ｚｈｅｎｇ．Ｓｅｂｅｒｒｙ。ｈ方案和修改后Ｚｈｅｎｇ—ＳｅｂｅｒｒｙＭｈ方案与其他加密方案的比较………………４２Ｗａｔｅｒｓ签名变体方案………………．．５０并发统计零知识论据（ｐ，Ｖ）…………．６１原创性声明本人郑重声明：所呈交的学位论文，是本人在导师的指导下．独立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研究作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明的法律责任由本人承担。论文作者签名：必叁日期：一缱：！：！！关于学位论文使用授权的声明本人完全了解山东大学有关保留、使用学位论文的规定，同意学校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段保存论文和汇编本学位论文。（保密论文在解密后应遵守此规定）论文作者签名：掰丈导师签名：圣』罗日期：兰盟ｚ扣山东大学博士学位论文第一章研究动机与主要结果１．１研究动机通信技术在过去的二十年中取得了前所未有的进步。特别是因特网的发展彻底改变了现代社会人们的生活，使人与人之间的通话、文件共享、信息搜索变得更加简单。与此同时，隐私问题也比以往任何时候更加受到人们的关注。因为越来越多的敏感信息，诸如电子划款、私人通话和电子邮件，都会通过因特网进行处理，而犯罪分子更倾向于利用网络来访问这些数据。因此，在过去的二十年里，信息安全问题逐渐引起公众的重视。密码学作为一种保护人们利益不受网络犯罪侵害的重要工具在信息安全领域扮演着重要角色。但是，设计有效而安全的密码方案，包括密码算法和密码协议，是一项复杂的工作。大量的研究工作致力于探讨密码方案的效率与其安全性之间此消彼长的关系。研究人员一直在寻找一种有效的方法使得密码方案在不损失安全性的前提下提高运行效率。为了达到该目标，首要的任务是理解究竟哪些因素影响着密码方案的设计。设计密码算法和协议的一般方法主要包括以下四步：１．建立模型．模型的主要目的是抽象出密码方案所要实现的功能和方案的应用环境，包括通信信道、环境中参与密码方案的各方等等。２．安全性要求．安全性要求主要刻画了密码方案要达到的安全性目标。或者说，它描述了该方案安全性的含义。３．实现．寻找合适的密码学原语（ｐｒｉｍｉｔｉｖｅ）或数学函数来实现预期的功能。４．证明．提供严格数学证明来说明方案的安全性。换句话说，证明的目的是说服用户相信密码方案的安全性。直观上，一个方案的效率直接依赖于第三步，实现。但是，其他三步对于一个方案的效率有着更加本质的影响。前两步是整个设计工作的基础，也与“安全性＂的概念密切相关。广义上来讲，有两种方法刻画安全性。一种是信息理论的方法，该方法由香农在他的开创性工作［８８１中首次提出。以加密方案为例，信息理论法对于安全性概念的主要观点是，一个安全的密文不应含有明文的任何信息，因此，此种程度的安全性也被山东大学博士学位论文称为完美安全。然而，在实际中，很难实现所谓的完美安全，这是因为它要求一个和明文长度一样且真正随机的秘钥。另一种方法是计算复杂性方法。这种方法的基本观点是，不论密文是否包含明文的信息，只要敌手不能有效地从密文中提取这些信息，该加密方案就是安全的。因为实际中敌手的计算能力都是有限的（多项式时间），所以设计一个抵抗有限计算能力的敌手的密码方案已经足够。这种思想在Ｄｉｆｔｉｅ和Ｈｅｌｌｍａｎ仓ｌＪ造性的工作【４２】中得到了体现，他们的工作开辟了密码学的新方向一一公钥密码学，同时也说明了密码系统不必是完美安全的。直到现在，计算复杂性方法在密码设计工作中仍具有重要地位，它使得设计实际且安全的密码方案成为现实。但是，计算复杂性法仅仅是一种广义的理解安全性本质的方法。对于具体的密码方案，安全性的定义会因不同的功能和攻击手段而不同。・加密．早期的关于加密方案安全性的定义是由【５４】提出的语义安全和计算不可区分。考虑到敌手可能的攻击方法，Ｎａｏｒ和Ｙｕｎｇ［７５】提出了选择密文攻击的概念。之后，Ｒａｃｋｏｆｆ和ＳｉｍｏｎＩｓ０］提出了一个更强的概念一一自适应选择密文攻击下的不可区分（玳Ｄ．ＣＣＡ２）。现在，ＩＮＤ．ＣＣＡ２己成为一个探讨加密方案安全性的标准概念。・数字签名．不同于加密，数字签名的安全性强调的是不可伪造性。也就是说，在没有签名秘钥的情况下，敌手伪造一个合法的签名在计算上是不可行的。Ｇｏｌｄｗａｓｓｅｒ，Ｍｉｃａｌｉ和Ｒｉｖｅｓｔ［５６１对数字签名的安全性做出了全面而详细的讨论，其中抗自适应选择消息攻击的不可伪造性是现在讨论签名安全性的标准概念。・零知识协议（ｚＫ）．一个安全的零知识协议应该满足三条属性：完备性，合理性和零知识性。一般来说，零知识协议是一种有效的交互证明，且该证明除了说明命题的合法性外没有泄露额外信。ｔ５５ｊ。由于这些有趣的属性，ＺＫ协议是非常有用的密码方案设计工具。此外，即使相同的密码学方案，当应用于不同的环境时，也会有不同的安全性定义。例如，多方环境下的安全模型一般要比两方环境下的同类方案复杂的多。正确理解不同的密码方案在不同环境中具体的安全定义对于设计至关重要，因为这直接影响第三步，实现。当实现一个方案时，我们需要选择合适的密码原２山东大学博士学位论文语或数学函数作为基本的构造元件。设计工作的一大特点就是可以利用“较弱”的函数去构造安全性更强的方案，而直接使用“过于＂安全的函数往往造成计算上的浪费。影响设计工作的另一重要因素是安全性证明。正如我们所知，严格的数学证明可以增加人们对于密码方案的信心，因为经验性的或直观上的方法往往并不可靠。早期的基于复杂性理论的严格安全性证明方法由［７９１【５４】提出。之后，大量相关工作，即所谓的可证明安全，相继涌现。这种证明的基本技术是归约。简单的说，一个从方案Ａ到方案Ｂ的归约意味着如果存在一个有效的敌手Ａ’可以攻破Ａ，那么我们可以构造一个有效的算法矽来攻破Ｂ。换句话说，Ａ的安全性依赖于召的安全性，但是，曰一般是难以攻破的。理论上，密码方案的安全性应基于经过深入研究的困难性假设，这些假设一般认为是难以破解的。例如，广义的假设包括单向函数，无爪函数：具体的数学假设包括因子分解和离散对数问题。尽管存在拥有漂亮归约性证明的密码方案，但是这些方案一般没有效率，甚至不实际。概率加密【５４】就是其中一例。为了设计有效而可证明安全的方案，Ｂｅｌｌａｒｅ和Ｒｏｇａｗａｙｌｌ４］ＩＴ式的提出了随机谕示模型，其中ｈａｓｈ函数被模型化为理想的随机函数。至今为止，随机谕示模型被广泛应用于设计有效的密码方案，因为它极大地简化了密码方案的设计和分析工作。但是该模型同时又是密码学界最受争议的问题之一【２５】，主要由于它在现实世界无法真正实现。因而，在过去的十年里，一个重要的研究方向是寻找不依赖于随机谕示模型的有效密码方案。综上所述，使用适当而合理的证明模型是设计工作的又一重要因素。１．２主要结果与内容结构本论文的主要工作是简化公钥密码学算法和协议的设计工作。这里，简化不仅意味着效率的提高而且意味着更为简练而易懂的安全证明。为此，我们探讨了不同密码方案的安全性要求、具体的应用环境和安全证明模型。具体来说，我们主要研究了以下三种方案。・加密．在第四章，我们进一步研究］＂Ｐａｎｄｅｙ等人的假设并提出了其变形假设一一自适应ＤＤＨ假设。在该假设基础上，我们证明了修改后的Ｚｈｅｎｇ．３Ｓｅｂｅｒｒｙ力Ｉ密方案在无随机谕示模型下是自适应选择密文安全的。Ｚｈｅｎｇ和Ｓｅｂｅｒｒｙ［９９】提出三种使公钥加密抵抗选择密文攻击的方案。三种方案的本质是相同的：对密文附加一个与明文相关的标签。基于ＧａｐＤｉｆｆｉｅ．Ｈｅｌｌｍａｎ假设（ＧＤＨ），Ｂａｅｋ矛ｆｌＺｈｅｎｇ［７】在随机谕示模型下证明了第一个方案Ｚｈｅｎｇ．Ｓｅｂｅｒｒｙｌｗｈ的安全性。而另外两个方案的安全性证明一直作为公开问题存留至今。我们工作的重点是适当修改Ｚｈｅｎｇ．Ｓｅｂｅｒｒｙ的第二个方案Ｚｈｅｎｇ．ＳｅｂｅｒｒｙｌＩＪｌ，从而可以利用自适应ＤＤＨ假设证明其自适应选择密文安全。Ｚｈｅｎｇ．Ｓｅｂｅｒｒｙｕｈ方案至今仍然具有研究价值，这是因为：第一，Ｚｈｅｎｇ．Ｓｅｂｅｒｒｙｕｈ通过使用ｕｎｉｖｅｒｓａｌｈａｓｈ函数使其能够抵抗自适应选择密文攻击，同时避免了使用非标准输出的单向ｈａｓｈ函数，从而成功的克服了【６７】所指出的潜在危险。第二，明文长度是任意的，而密文冗余是常数。所以，当明文长度增加时，密文明文长度的比值将趋于１。・数字签名．在第五章，我们指出，基于【４３】的基本思想，Ｓｈａｃｈａｍ．Ｗａｔｅｒｓ环签名方案【８７】可以更为有效的使用。在文献【４３Ｊ中，Ｄｏｄｉｓ，Ｋｉａｙｉａｓ，Ｎｉｃｏｌｏｓｉ和Ｓｈｏｕｐ通过使用单向域累加器引入环签名的群公钥的概念（环中任何成员都可以计算该群公钥）。这种构造方法使一个群公钥对应多个环成员的密钥。正是由于该群公钥，他们指出在某些特殊情况下，例如，环成员在较长时间内保持不变，环签名的大小可以为常数。我们注意至ｌＪＳｈａｃｈａｍ－Ｗａｔｅｒｓ方案同样可以生成“群公钥”，且该群公钥能够成为提供可链接性的标签，所以我们进一步将Ｄｏｄｉｓ等人的构造方法应用于Ｓｈａｃｈａｍ－Ｗａｔｅｒｓ方案。可以考虑以下应用环境，签名者Ａ需要长时间作为某个环的成员，并且，Ａ需要经常发送她的环签名给接受者Ｂ，同时让Ｂ确信他每次所收到的签名全部由环中某个固定的成员签署。对于以上应用环境，我们改造后的Ｓｈａｃｈａｍ－Ｗａｔｅｒｓ方案比传统的无随机谕示环签名方案更为有效。因为在该方案中签名者可以决定是否提供可链接性，所以我们将这种特殊的Ｓｈａｃｈａｍ－Ｗａｔｅｒ方案称为自主可链接的环签名。・零知识协议．在第六章，通过进一步分析Ｇｏｙａｌ等人的并发统计零知识论据协议【５７】，我们指出，利用证据不可区分协议，协议１５７１可以进一步简化为更加实际的方案。具体来说，Ｇｏｙａｌ等人协议中的部分计算零知识证明可以用∑绷协议（证据不可区分知识证明ＷＩＰＯＫ）替代，而ＷｌＰＯＫ协４议足以用来证明并发统计零知识论据协议的合理性。并且，我们利用Ｒｉｃｈａｒｄｓｏｎ和Ｋｉｌｉａｎ的前导［８１１替代ＰＲＳ前导，从而将委托个数降为Ｄ（Ｄ。这些以“并行＂方式运行的ＷＩＰＯＫ不但起到前导的作用而且移除ＴＧｏｙａｌ等人协议中的部分计算零知识证明。此外，因为ＷＩＰＯＫ协议并非零知识的，所以简化后协议的合理性证明要比原协议的合理性证明更加微妙。其他章节．第二章简要介绍了公钥加密，签名和零知识的背景知识。在第三章，我们介绍了基本的符号表示，定义和论文中使用的复杂性假设。一些必要的零知识预备知识也在本章做出介绍。在第七章，我们简要介绍了自主可链接环签名和修改后Ｚｈｅｎｇ—ＳｅｂｅｒｒｙＪＴ【ｌ密在门限方案和签密方案中的应用。第八章总结了本论文的主要工作并指出了我们将来的工作方向。５山东大学博士学位论文第二章背景知识本章简要介绍公钥密码学的背景知识，包括基本的概念，公钥加密，签名和零知识的发展。因为我们所描述的是标准概念，所以读者可以略过本章的某些部分。２．１公钥加密加密方案使秘密消息可以在不安全信道上进行传输，换句话说，加密方案为这些消息提供了保密性。在现代密码学中，主要有两类加密方案。一类称为对称秘钥加密方案，其中消息发送者和接收者共享相同的秘密密钥。另一类称为非对称加密方案，该类方案可以在无秘钥共享的条件下，实现消息的加密传输。在非对称加密中，加密秘钥与解密秘钥不同。因为加密秘钥或者称为公钥是公开的，而解密秘钥或者称为私钥是保密的，所以此类加密方案又被称为公钥加密。公钥密码的概念最早由Ｄｉｆｌｉｅ和ＨｅＵｍａｎｔ４２】提出。但是，最早的具体公钥加密方案是由Ｒｉｖｅｓｔ，Ｓｈａｍｉｒ和Ａｄｌｅｍａｎ［８２］与Ｍｅｒｋｌｅ和Ｈｅｌｌｍａｎｔ６９］分别提出。一般来说，基本的公钥加密方案定义如下。・密钥生成．输入安全参数ｌ七，密钥生成算法输出私钥ｓ忌和公钥肚。・加密．输入ｐ足和明文ｍ，加密方案输出密文ｃ。・解密．输入ｓ七和ｃ，解密算法输出明文ｍ。图２．１展示了公钥加密方案的主要框架。但是早期的工作【４２】【８２儿６９】并没有给出关于公钥加密安全性令人满意的定义。最早的两种安全定义一一语义安全和密文不可区分性是由Ｇｏｌｄｗａｓｓｅｒ和Ｍｉｃａｌｉｔ５４】提出的。简单的说，语义安全陈述的是从ｍ图２．１公钥加密方案７ｍ山东大学博士学位论文密文中获取任何明文的信息在计算上是困难的。尽管语义安全是关于加密安全性的一个很自然的定义，但要证明一个加密方案的语义安全性并不容易。而另一个安全定义，密文不可区分性，对于实现安全性证明则更为实际。密文不可区分性强调的是给定一对明文和其中一个明文所对应密文，区分该密文所对应的明文在计算上是困难的。另一个我们必须考虑的安全问题是敌手可能施展的攻击手段。以下是几种典型的攻击手段【７５１。・唯密文攻击敌手仅能得到密文。・已知明文攻击敌手知道明文和该明文所对应的密文。・选择明文攻击敌手可以选择明文并得到该明文所对应的密文。・选择密文攻击敌手可以选择密文并得到该密文所对应的明文。注意到在公钥加密中，选择明文攻击并未增加敌手的能力，因为敌手可以利用公钥加密任何他选择的明文。时至今日，有关加密的安全定义被不断改进，并出现了更强的定义，例如，选择密文攻击（ＣＣＡ）下的不可区分和不可延展性，这在后面的章节中将会提到。在公钥加密的研究领域中有两个重要的研究方向。一个是利用更弱的假设更广义的原语（ｐｒｉｍｉｔｉｖｅ）设计ＣＣＡ安全的公钥加密方案。另一个方向是设计更有效的ＣＣＡ安全加密方案。前一个研究方向探讨的是公钥加密方案的复杂性和通用性。进一步讲，研究人员探索的是用来构成加密方案的假设可以有多弱。因为假设越弱，我们对假设的成立就越有信心。例如，单向函数要弱于单向置换，计算Ｄｉｆｌｉｅ．Ｈｅｌｌｍａｎ假设（ＣＤＨ）要弱于判定Ｄｉｆｌｉｅ．Ｈｅｌｌｍａｎ假设（ＤＤＨ）。比起基于较强假设所设计的方案，我们更相信基于较弱假设（例如基于单向函数）所设计方案的安全性。从实用性角度出发，更弱的假设和更广义的原语意味着更广泛的候选函数来实现该方案。Ｙａｏ【９５】证明了任意单向陷门置换函数足以构造安全的加密方案。然而，利用非黑箱技术构造基于单向函数的公钥加密方案也是可能的【剐。Ｎａｏｒ和Ｙｒｕｎｇ【７５】利用语义安全的加密和非交互零知识证明第一次提出了非自适应ＣＣＡ安全公钥加密的广义构造方法。对于具体的实现，他们的方案基于二次剩余困难问题。Ｒａｃｋｏｆｆ并ｆｌＳｉｍｏｎｔ８０］提出了一个更强的概念，即所谓的自适应选择密文８攻击下的不可区分（自适应ＣＣＡ）。随后，Ｄｏｌｅｖ，Ｄｗｏｒｋ和Ｎａｏｒ［４４１改进了Ｎａｏｒ和Ｙｕｎｇ的方案并提出了第一个可证明白适应ＣＣＡ安全的公钥加密方案。但是，因为使用了零知识证明而具有较高的计算消耗，这些方案并不实用。后一个方向是关于设计实用且可证明安全的公钥密码方案。尽管我们已有现成的公钥加密标准，例如，ＰＫＣＳ和ＩＥＥＥＰ１３６３，但是实用中具体的方案缺乏适当模型下严格的安全性证明。Ｃｒａｍｅｒ和Ｓｈｏｕｐｔ３５１在标准模型下基于判定Ｄｉｆｌｉｅ．Ｈｅｌｌｍａｎ假设提出了第一个实用且白适应ＣＣＡ安全的加密方案。之后，Ｓｈｏｕｐ［８９】给出了广义的ＫＥＭ／ＤＥＭ（密钥封装机制／数据封装机制）构架，并将【３５】的工作扩展至ＵＫＥＭ／ＤＥＭ方案。ＫＥＭ／ＤＥＭ方案，也被称为混杂加密方案，同时具有公钥加密和对称加密的优点。具体的说，它利用公钥加密系统封装对称加密系统的密钥，而对称加密系统随后用来封装数据。混杂加密的速度可与对称加密相媲美，特别是当加密大量数据的时候。Ｋｕｒｏｓａｗａ和Ｄｅｓｍｅｄｔｌ６６１之后提出了一种更为有效的混杂加密方法，并且其ＫＥＭ不是自适应选择密文安全的【３１１。Ａｂｅ，Ｇｅｎｎａｒｏ，ｌ【ｕｒｏｓａｗａ和Ｓｈｏｕｐ【３】建立了标签一ＫＥＭ／ＤＥＭ构架（Ｔａｇ．ＫＥＭ／ＤＥＭ），从而深入解释了某些虽不符合【８９】ｔ６６１所提构架却非常有效的