我正在尝试实现基于Diffie Hellman协议的私有集交集(PSI)协议。
PSI协议是[Kiss et al. 2017]的第2.2节中提到的协议, 这里已经有了一个Java实现:
https://github.com/encryptogroup/MobilePSI/blob/master/PSIServer/src/PSIDH.java
我想用C ++实现它,所以我想到了使用OpenSSL
以下是它的工作原理:
让G成为困难地狱的生成者;
alice有一个DH秘密a和一个元素x,
bob有一个DH秘密b和一个元素y;
h是一个函数,它接受任何(bitstring)元素并将其映射到DH标量。
G*a*h(x)(称之为 alice的一方)(G*a*h(x))*b(称之为最终爱丽丝的一面)G*b*h(y)(称之为 bob的一方)(G*b*h(y))*a Alice然后比较两个最终值以了解是否x == y。
(最小工作示例)
使用G*a关于Diffie-Hellman的“Alice的公钥”这一事实。
#include <stdlib.h>
#include <stdio.h>
#include <string>
#include <iostream>
#include <openssl/obj_mac.h>
#include <openssl/ec.h>
// list of possible curve names here:
// https://git.openssl.org/gitweb/?p=openssl.git;a=blob;f=crypto/objects/obj_mac.h;h=b5ea7cdab4f84b90280f0a3aae1478a8d715c7a7;hb=46ebd9e3bb623d3c15ef2203038956f3f7213620#l385
// also here:
// https://github.com/openssl/openssl/blob/67e247fad12308e34817e60c9242113c285fb00c/include/openssl/obj_mac.h#L261
#define CURVE_NAME NID_X9_62_prime256v1
class PSIEntity {
public:
BN_CTX* bn_ctx;
const EC_GROUP* ec_group;
EC_KEY* key;
PSIEntity(BN_CTX* c, const EC_GROUP* g){
bn_ctx = c;
ec_group = g;
key = EC_KEY_new();
EC_KEY_set_group(key, ec_group);
EC_KEY_generate_key(key);
}
EC_POINT* encode_and_mask(const unsigned char* x_data){
BIGNUM* x = BN_bin2bn(x_data, 28, NULL);
const EC_POINT* pubkey = EC_KEY_get0_public_key(key);
EC_POINT* result = EC_POINT_dup(pubkey, ec_group);
EC_POINT_mul(ec_group, result, x, NULL, NULL, bn_ctx);
return result;
}
EC_POINT* mask(EC_POINT* p){
EC_POINT* result = EC_POINT_dup(p, ec_group);
const BIGNUM *priv_key = EC_KEY_get0_private_key(key);
EC_POINT_mul(ec_group, result, priv_key, NULL, NULL, bn_ctx);
return result;
}
};
int main(){
EC_GROUP *ec_group = EC_GROUP_new_by_curve_name(CURVE_NAME);
BN_CTX *bn_ctx = BN_CTX_new();
PSIEntity alice(bn_ctx, ec_group);
PSIEntity bob(bn_ctx, ec_group);
// taken from "a_bin" in
// https://wiki.openssl.org/index.php/Elliptic_Curve_Cryptography#Defining_Curves
unsigned char x_data[28] =
{0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,
0xFF,0xFF,0xFF,0xFF,0xFF,0xFE,0xFF,0xFF,0xFF,0xFF,
0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFF,0xFE};
EC_POINT* alice_side = alice.encode_and_mask(x_data);
EC_POINT* alice_side_final = bob.mask(alice_side);
EC_POINT* bob_side = bob.encode_and_mask(x_data);
EC_POINT* bob_side_final = alice.mask(bob_side);
int final_points_are_different = EC_POINT_cmp(ec_group,
alice_side_final, bob_side_final,
bn_ctx);
if(final_points_are_different==-1){
std::cout << "comparison of final points failed" << std::endl;
}else if(final_points_are_different==1){
std::cout << "final points are different" << std::endl;
}else if(final_points_are_different==0){
std::cout << "final points are equal" << std::endl;
}
int temp_points_are_different = EC_POINT_cmp(ec_group,
alice_side, bob_side,
bn_ctx);
if(temp_points_are_different==-1){
std::cout << "comparison of temp points failed" << std::endl;
}else if(temp_points_are_different==1){
std::cout << "temp points are different" << std::endl;
}else if(temp_points_are_different==0){
std::cout << "temp points are equal" << std::endl;
}
return 0;
}
结果是:
final points are different
temp points are equal
我希望相反:
最后的分数应该相等,因为它在两边都是相同的x
至于“临界点相等”,这是非常令人不安的:
这意味着我们有G*a*x == G*b*x?
如果您将G*a与G*b(公钥)进行比较,答案是它们不同,所以似乎会发生x与EC_POINT_mul相乘只是“弄乱了”。
知道发生了什么事吗?
答案 0 :(得分:1)
以下代码可以完成这项工作。问题是将错误的参数传递给EC_POINT_mul()。有关EC_POINT_mul()的文档,请参见here。
EC_POINT* encode_and_mask(const unsigned char* x_data){
...
EC_POINT_mul(ec_group, result, NULL, result, x, bn_ctx);
return result;
}
EC_POINT* mask(EC_POINT* p){
...
EC_POINT_mul(ec_group, result, NULL, result, priv_key, bn_ctx);
return result;
}