本报告内容来自我和合作者最近完成的两篇论文从二次剩余到k 次剩余的密码体制曹珍富上海交通大学计算机系上海交通大学可信任数字技术实验室•Zhenfu Cao; Xiaolei Dong; Licheng Wang; Jun Shao; Xiaodong Lin."More Efficient Cryptosystems From k-th Power Residue Symbols”.•Zhenfu Cao; Xiaolei Dong; Licheng Wang; Jun Shao; Xiaodong Lin."A Unified Goldwasser-Micali Type Cryptosytem”.•开始于两三年前，一种全新的密码理论体系将得到研究。

•开始于十几年前，多方密码学解决了云计算安全和隐私的基础问题：•想法很简单：做一个应用需求的理论实践者。

提纲•星光闪耀•历史回顾•最新进展•总结•CNET\NEWS 2013年3月13日报道Cryptography scientistswin 2012 Turing Award•获得ACM 图灵奖的主要工作–Probabilistic Encryption 概率加密–Interactive Proof Systems 交互证明系统•CNET\NEWS 2013年3月13日报道Cryptography scientistswin 2012 Turing Award•ACM 图灵奖颁奖词部分摘录–开创了可证明安全性的领域–建立了将密码学从艺术变为科学的数学结构•1982 STOC：第一个公钥概率加密体制–密钥生成：N=pq, y∈R J N\QR Npk=(n,y), sk=(p,q)–加密：m=(m0m1…m k-1)2, x∈R Z Nc i= y m_i x2mod N–解密：m i=0 if (c i/p)=1, m i=1 if (c i/p)=-1–安全性：IND-CPA, 标准模型基于QR假设：不知p,q，判断J中二次剩余困难NGame G0: 原方案Game G1: y∈R QR N, 密文已不含m任何信息•1982 STOC：第一个公钥概率加密体制–密钥生成：N=pq, y∈R J N\QR Npk=(n,y), sk=(p,q)–加密：m=(m0m1…m k-1)2, x∈R Z Nc i= y m_i x2mod N–解密：m i=0 if (c i/p)=1, m i=1 if (c i/p)=-1–特性：加密、解密高效（尽管逐比特）支持加法同态（仅对消息空间大小为2有意义）密文长度：k·log N密文扩展因子：log N•1984 CRYPTO：Blum & Goldwasser –密钥生成：•N=pq，p=q=7 (mod 8)，公钥N，私钥p，q –加密：借助一个强随机比特串发生器G •c1=m⊕G(r), c2=r2^(h+1)mod N,•其中r∈R QR N，h仅由N和m的长度决定（公开）–解密：•利用p，q，根据CRT，由c2解出r•再计算G(r) 并由c1解出m–特点：•密文长度小：k+log N•不再支持加法同态•第一种改进框架：仅在剩余次数上下功夫！–加密消息m，基于模N的k次剩余符号c=y m x k mod N, (x, N)=1 (1)其中y是模N的k次非剩余。

–解密：解特殊形式的离散对数问题cφ(N)/k =(y m x k)φ(N)/k =[yφ(N)/k ]m mod p (2)–改进着眼点：如何使(2)式易求（知道p）？•k = 2时，即为GM方案，(2)式易求。

•k 决定消息空间的大小•1985 FOCS：J. Cohen & M. Fischer–可验证的鲁棒电子选举方案–基于k 次剩余：•k为素数、且大于投票人数•k整除p-1、但不整除q-1–解密：在[0,k)空间内搜索–但本质上仍然只是加密0或1（代表有效选票），然而利用增大的消息空间[0,k)和加法同态性质可以实现选票计数。

•1988 IEICE, Y. Zheng, T. Matsumoto, H. Imai –基于奇数次剩余–加密：逐块加密，每块不超过剩余次数k–解密：逐块解，每块随机反复试——直到成功–缺点：剩余次数k 不能太大•定义了剩余类指数(Class-index)问题–Class-index比较问题——相当于判定两个随机元素是否具有相同的广义Jacobi符号。

–Class-index计算问题——相当于求给定某个元素的广义Jacobi符号。

•1988~1990：曹珍富–基于三次剩余，定义在Eisenstein环上（88年全国“三码”会议论文集，178-186页）–基于k次剩余，将GM的不可区分性概念推广到k不可区分性，并提出长消息处理机制（自然杂志’89，通信学报’90)（详见本人：《公钥密码学》，1993）•1990 EUROCRYPT：K. Kurosawa, et al.–推广Y. Zheng等人的工作：k >1–对k 次剩余密码系统可行的参数选择条件进行了讨论，给出了6组条件。

–局限：解密时的搜索空间大小为k，实际应用中k 不能太大。

•1994 STOC：J. Benaloh& D. Tuinstra–免收据的密码电子投票协议（旨在克服“贿选”问题——投票者V无法向候选人C证明V投了C的票）–基于k 次剩余：k 整除p-1，但k2不整除p-1，且k 不整除q-1–消息空间：[0,k)–解密效率低下：搜索空间[0,k)–存在解密二义性：AfricaCrypt’11, L. Fousse et al.•1998 CCS：D. Naccache & J. Stern–基于∏p i次剩余, p i为小素数–支持长消息：消息空间大小——∏p i–能高效解密：搜索空间大小——∑p i–评价：迈出了一大步！消息空间大小随搜索空间大小呈指数增长！•第二种改进框架：改动剩余次数和模数(使指数问题线性化)！–加密消息m，基于模N的k次剩余符号c=y m x k mod N (1’)–解密：解特殊形式的离散对数问题cφ(N’)/k =(y m x k)φ(N’)/k =[yφ(N’)/k ]m mod N’ (2’)或c t =(y m x k)t =[y t ]m mod N’(2’)–改进着眼点：构造特殊子群，使(2’)式易求m（知道N的分解）。

•1998 EUROCRYPT：T. Okamoto & S. Uchiyama –N=p2q，N’=p2, k=N–解密原理: c p-1= [y p-1]m= g m mod p2–着眼点：•子群Γ={g∈(Z/p2Z)*: <g>p=1}中模p2的离散对数易求–方案特点：•加解密高效、消息空间巨大、支持加法同态•密文长度：log N•密文扩展因子：3•1999 EUROCRYPT：Paillier–N=N’=p2q2, k=√N=pq–解密原理：cφ(N)/k=[yφ(N)/ k]m=g m mod N（优化：φ(N)/k可被λ(k)=lcm(p-1,q-1)代替）–着眼点•子群S={g<N: <g>k=1}中模N的离散对数易求–方案特点：•加解密高效、消息空间巨大、支持加法同态•密文长度：log N•密文扩展因子：2最新进展•2013 EUROCRYPT：M. Joye& B. Libert –N=pq, k=2t ，y为满足(y/N)=1的二次非剩余–指数级增长的消息空间–快速解密–支持加法同态–密文长度：log N–密文扩展因子：≥ 4–融合了两种改进框架！离散对数易解的特殊子群为由(y/p)生成的k阶子群。

k最新进展•我们最近的改进：Cryptology ePrint Archive: Report 2013/569–N=pq, k 只要求仅含小素数因子–指数级增长的消息空间–支持加法同态–密文长度：log N–密文扩展因子：方案1 ≈ 4，方案2 ≈ 2–快速解密：比JL13 快2~10倍–也融合了两种改进框架，离散对数易解的特殊子群也是由(y/p)k 生成的k 阶子群，但y 的选取更自由：只要(1) ord p (y)= ord q (y)= k 或(2) y 为p 的原根即可！•保持加法同态途径：–消息空间提升到指数上，{ g m: g 符合特定的条件}•高效解密途径：–利用高次剩余符号滤掉随机项–构造离散对数易解子群•降低带宽、减少密文扩展的途径：–在确保安全级别条件下，尽量不增大模数–在相同消息空间里编码更多消息•提升比值k/φ(N)•以线性增长搜索空间换取指数增长消息空间•当k为偶数时，强剩余假设与标准剩余假设之间的GAP有多大？–强剩余问题：给定x∈(Z/NZ)*, 判定x是否为模N 的k次剩余。

•解决强剩余问题 在e O((lnln N)(lnlnln N)^2)内分解N(Adleman& McDonnell, FOCS’1982)–标准剩余问题：当k为偶数时，给定x∈J N,k(即广义Jacobi符号为1的集合），判断x是否为模N 的k次剩余。

•Cocks基于二次剩余符号的IBE可否推广到高次剩余符号？•非常奇怪：Cocks 的IBE还没做到，但是有些特殊用途的IBE和ABE却能做到。

谢谢！。