基于格的口令散列方案

在可预见的未来,口令仍将是最主要的身份认证方法.口令认证密钥交换协议(password au-thenticated key exchange,PAKE)是口令认证的重要组成部分,它允许通信双方在不安全的通话信道上建立一个安全的会话密钥.为了缓解服务器被入侵后对存储在服务器上口令的影响,将口令散列之后再存储被广泛推荐,例如使用传统的口令散列函数,如PBKDF2,Bcrypt,和Scrypt.然而,这些口令散列函数依赖复杂的数学问题,安全性证明建立在随机预言机模型(random oracle model,ROM)之上,且需要较大内存支持.为解决上述问题,基于离散对数假设的口令散列方案陆续被提出,如 Benhamouda-Pointceva 方案(IACR ePrint2013/833)、Kiefer-Manulis 方案(ESORICS'14)、Pointcheval-Wang 方案(ASIACCS'17)与平滑投影散列函数(smooth projective hash function,SPHF)集成,但这些方案无法实现后量子安全且仍依赖于ROM模型.因此,本文着重研究如何在标准模型下设计后量子安全的口令散列方案,并给出可证明安全性分析.尽管所提方案尚不能应用于实际,但为构造实际的后量子安全的口令认证及密钥交换协议奠定了基础.