Tính an toàn ind-Cpa của phương pháp mã hóa có thể chối từ dựa trên giao thức ba bước shamir

Nguyễn Đức Tâm 
Tóm tắt: Nội dung bài báo phân tích và chứng minh 
tính đúng đắn, chối từ thuyết phục và an toàn IND-CPA 
của một phương pháp mã hóa có thể chối từ với quá trình 
truyền tin mật dựa trên giao thức ba bước Shamir sử dụng 
thuật toán mã hóa lũy thừa modulo Pohlig-Hellman. 
Phương pháp mã hóa có thể chối từ này đã được đề xuất 
trong bài báo [11], nhưng chưa được chứng minh các tính 
chất cơ bản của một giao thức mã hóa có thể chối từ.1 
Từ khóa: Mã hóa có thể chối từ, mã hóa xác suất, mã 
hóa giả xác suất, mã hóa giao hoán, giao thức ba bước 
Shamir, thuật toán Pohlig-Hellman, IND-CPA.2 
I. PHẦN MỞ ĐẦU 
Các kỹ thuật mã hóa thông thường hiện nay nhằm 
bảo vệ tính bí mật, an toàn, xác thực của thông tin khi lưu 
trữ và truyền thông, chống lại các tấn công nhằm thu tin 
thám mã. Mã hóa có thể chối từ (MHCTCT) là một kỹ 
thuật mật mã với một cách tiếp cận kỹ thuật khác biệt với 
mã hóa thông thường. Trong mã hóa thông thường, mỗi 
bản mã là một cam kết duy nhất của một bản rõ và khóa 
mã. MHCTCT cho phép giải mã một bản mã cho ra hai 
bản rõ có ý nghĩa khác nhau, định nghĩa MHCTCT được 
Canetti và cộng sự công bố lần đầu tại bài báo [1]. 
MHCTCT được ứng dụng chống lại dạng tấn công cưỡng 
ép trong trong kịch bản mà kẻ thứ ba chặn thu bản mã 
truyền trên kênh truyền công cộng và cưỡng ép bên gửi 
hoặc bên nhận hoặc cả hai bên phải trình ra thuật toán mã 
hóa, bản rõ và các khóa mã đã sử dụng [1], ứng dụng 
trong lưu trữ ẩn giấu các hệ thống tệp dữ liệu nhạy cảm 
[2-4], ứng dụng trong các môi trường giao dịch đa bên 
không cam kết nội dung như các giao thức bỏ phiếu điện 
tử, đấu giá điện tử [5]. 
MHCTCT đã được nghiên cứu và đề xuất cụ thể một 
số giao thức sử dụng khóa công khai [6], hoặc sử dụng 
khóa bí mật [7]. Gần đây, một giải pháp MHCTCT được 
đề xuất sử dụng thuật toán mã hóa giao hoán và khóa bí 
mật dùng chung trong [8]. Bài toán đảm bảo an toàn của 
các giao thức MHCTCT chống tấn công cưỡng ép được 
thảo luận trong các bài báo [9,10]. Ngoài ra, để đảm bảo 
an toàn chống lại 
Tác giả liên lạc: Nguyễn Đức Tâm, 
Email: nguyenductamkma@gmail.com 
Đến tòa soạn: 2/2020, chỉnh sửa: 4/2020, chấp nhận đăng: 4/2020. 
các tấn công cưỡng ép chủ động, cần bổ sung vào trong 
các giao thức MHCTCT thủ tục xác thực bên gửi và bên 
nhận [10]. 
Trong bài báo [11] đã đề xuất phương pháp mã hóa 
có thể chối từ sử dụng thuật toán lũy thừa modulo Pohlig-
Hellman có tính chất giao hoán, trong đó thuật toán mới 
được mô tả tổng quát về phương pháp còn các tính chất 
chưa được chứng minh. 
Bài báo này sẽ đi mô tả chi tiết quá trình thực hiện 
giao thức mã hóa, giải mã và thực hiện chối từ khi bị tấn 
công cưỡng ép, đồng thời phân tích và chứng minh tính 
đúng đắn, tính chối từ thuyết phục và an toàn IND-CPA 
của phương pháp được đề xuất trong [11]. Trong nội dung 
bài báo, Phần II mô tả mô hình truyền tin và ngữ cảnh tấn 
công. Phần III giới thiệu một số thuật toán sử dụng trong 
phương pháp đề xuất. Phần IV mô tả lại chi tiết giao thức 
thực hiện phương pháp mã hóa có thể chối từ trong bài 
báo [11]. Phần V là một số định nghĩa quan trọng về độ 
an toàn không phân biệt tính toán. Phần VI chứng minh 
tính đúng đắn, chối từ và an toàn IND-CPA của phương 
pháp. Phần VII kết luận. 
II. MÔ HÌNH TRUYỀN TIN VÀ NGỮ CẢNH TẤN 
CÔNG 
Mô hình truyền tin và ngữ cảnh tấn công khi hai bên A 
và B truyền tin mật bằng giao thức ba bước Shamir như 
sau: 
- Giả sử A và B truyền thông điệp bí mật T và ngụy 
trang một thông điệp giả mạo M cùng kích thước trên 
cùng bản mã C (trong giao thức ba bước Shamir, quá 
trình truyền tin thực hiện mã hóa gồm ba bước, tạo ra các 
bản mã 1 2 3, , ).C C C Đối phương tấn công có trong tay các 
bản mã truyền trên kênh truyền, tiến hành cưỡng ép các 
bên truyền tin phải trình ra thông điệp rõ, các khóa mã sử 
dụng và thuật toán mã hóa/giải mã. Một kịch bản thường 
gặp khác là đối phương tiến hành giả mạo là một trong 
các bên liên lạc để tấn công giả mạo tích cực. 
- Khi bị tấn công cưỡng ép, A (hoặc B, hoặc cả hai 
bên) để bảo vệ thông điệp bí mật T , các bên sẽ trình ra 
thông điệp giả mạo M phù hợp hoàn toàn với các bản 
mã 1 2 3( , , ),C C C khóa mã và thuật toán mã hóa/giải mã. 
- Nguồn tin đầu vào để mã hóa là ( , )T M thay vì chỉ là 
.T M ở đây đóng vai trò như một lượng thông tin ngẫu 
nhiên thêm vào. Cách thức thực hiện này giống hệt như 
các giao thức mã hóa xác suất, khi người ta bổ sung thêm 
Nguyễn Đức Tâm* 
* Học viện Kỹ thuật mật mã – Ban Cơ yếu Chính phủ 
TÍNH AN TOÀN IND-CPA CỦA PHƯƠNG 
PHÁP MÃ HÓA CÓ THỂ CHỐI TỪ DỰA 
TRÊN GIAO THỨC BA BƯỚC SHAMIR 
TÍNH AN TOÀN IND-CPA CỦA PHƯƠNG PHÁP MÃ HÓA CÓ THỂ CHỐI TỪ. 
nguồn ngẫu nhiên kết hợp với thông điệp ban đầu trước 
khi thực hiện mã hóa. Do vậy, để giao thức MHCTCT 
một cách thuyết phục, thiết kế của nó thường dựa trên 
giao thức mã hóa xác suất tương ứng. 
Các tiêu chí thiết kế hướng tới nhằm mục đích giao 
thức phải đảm bảo an toàn, chống lại các tình huống tấn 
công cưỡng ép bởi cả đối phương thụ động hoặc đối 
phương chủ động giả mạo, các tình huống tấn công được 
đặt ra là: 
- Đối phương chặn được mọi bản mã gửi trên kênh. 
- Đối phương cưỡng ép tấn một bên hoặc cả hai bên 
sau khi các bản mã đã được gửi nhận. 
- Mỗi bên hoặc cả hai bên đều buộc phải trình ra: thông 
điệp rõ, khóa bí mật sử dụng, thuật toán thực hiện trong 
quá trình truyền tin và phải đảm bảo các bản mã phù hợp 
hoàn toàn với những thành phần này. 
- Đối phương có thể chủ động đóng giả là một trong 
các bên để tiến hành tấn công giả mạo. 
III. MỘT SỐ THUẬT TOÁN SỬ DỤNG 
3.1 Giao thức ba bước Shamir 
Để thực hiện giao thức ba bước Shamir, thuật toán sử 
dụng phải có tính chất giao hoán một cách liên tiếp [12], 
nghĩa là nó cho phép một thông điệp được mã hóa hai 
bước với bất kỳ một thứ tự nào đều cho ra kết quả như 
nhau. Với T là thông điệp đầu vào và ,A BK K là hai 
khóa mã của hai lần mã khác nhau, thuật toán mã hóa 
phải  ... ược tạo ra từ việc mã hóa ( , )M T bằng 
giao thức DenEncPH là 
1
( ) .
2
n
Để tiện chứng minh, do p là một số nguyên tố cỡ n 
bit, ta đặt 12 ,np  trong đó  là một số cụ thể nào 
đó. 
Chứng minh: 
Bản mã 1 2 3( , , )C C C gồm ba bản mã ở ba bước mã hóa 
của quá trình thực hiện mã hóa theo giao thức ba bước 
Shamir. Ở mỗi bước thứ ,i mỗi bản mã gồm hai thành 
phần là ' ", .i iC C 
Ta có: Tại Bước 1 của quá trình mã hóa theo giao thức 
ba bước Shamir: 
Để chứng minh, trong thủ tục tấn công bản rõ lựa chọn, 
sau khi nhận được bản mã thách thức 1C tương ứng với 
bản rõ .bm Kẻ tấn công  chỉ có thể đoán đúng 
'b b 
bằng một trong hai cách sau: 
1. Đoán ngẫu nhiên với xác suất bằng 1/2. 
2. Chọn ngẫu nhiên ' {0,1}b và truy vấn bộ mã hóa 
(EncPH_F hoặc DenEncPH) với ( )p n lần, sử dụng đầu 
vào là bm và các khóa bí mật ngẫu nhiên để có bản mã 
*
1C cho đến khi 
*
1 1C C . Ở đây ( )p n là một đa thức của 
n để đảm bảo chắc chắn tấn công này có thể thực thi 
trong thời gian đa thức. 
Khi đó xác suất để  đoán thành công là: 
*
. 1 1
1
Pr[ ( ) 1] ( ).Pr[ ]
2
CPA
ESecK n p n C C (11) 
do bản mã tại mỗi bước gồm hai thành phần nên, công 
thức (11) tương đương với hai công thức: 
*' '
. 1 1
1
Pr[ ( ) 1] ( ).Pr[ ]
2
CPA
ESecK n p n C C (11a) 
*" "
. 1 1
1
Pr[ ( ) 1] ( ).Pr[ ]
2
CPA
ESecK n p n C C (11b) 
* Khi  truy vấn bộ mã hóa EncPH_F: 
Với ( , ); {0,1},b b bim M b Ta có, dựa vào công 
thức tính nghiệm của hệ phương trình (1): 
*' '
1 1
1 '
1 _ 1 _ 1
'
1
'
1
'
1
Pr[C =C ]=
=Pr[( )( 1) mod ]
=Pr[( ) mod (Z-1) mod ]
=Pr[ mod ( (Z-1)) mod ]
=Pr[e =log ( (Z-1))]
A
A
b
EncPH F EncPH F
e
b b
e
b b
A M b
U Z S Z p C
Z M p C p
M p Z C p
Z C
do Ae được bộ mã hóa chọn ngẫu nhiên trong ,p và
'
, 1, ,b bM Z C không đổi nên: 
'
1
1
Pr[e =log (( mod ) )] Pr[e ]
1 1
1 (2 ) 1
bA M b A
n
p Z C
p
 
Do 
1 1
1 1
,
(2 ) 1 2n n 
 theo định nghĩa (2) thì 
1
1
2n 
là một hàm không đáng kể theo biến n , nên 
Nguyễn Đức Tâm 
1
1
(2 ) 1n  
 cũng là hàm không đáng kể theo biến .n 
Do ( )p n là một đa thức nên: 
1
( )
(2 ) 1n
p n
 
 cũng là một 
hàm không đáng kể của ,n thay vào biểu thức (11a) ta có 
điều phải chứng minh *' '
1 1(C ,C ) thỏa mãn IND-CPA. 
Lập luận hoàn toàn tương tự cho biểu thức: 
*" "
1 1
1 "
1 _ 1 _ 1
1 "
1
"
1
"
1
"
1
Pr[C =C ]
=Pr[( )( 1) mod C ]
=Pr[( ( mod ))( 1) mod C ]
=Pr[( ( mod )) mod C ( 1) mod ]
=Pr[ mod (C ( 1) ) mod ]
=Pr[e =log (C ( 1) )]
A
A
A
b
EncPH F EncPH F
e
b b
e
b b
e
b b
A M b
S U Z p
M p Z p
M p p Z p
M p Z p
Z
1
1 1
Pr[e ]
1 2 1
A np  
 Như đã chứng minh, do 
1
1
(2 ) 1n  
 là hàm không 
đáng kể theo biến ,n do ( )p n là một đa thức nên: 
1
( )
(2 ) 1n
p n
 
 cũng là một hàm không đáng kể của ,n 
thay vào biểu thức (11b), ta có điều phải chứng minh 
*" "
1 1(C ,C ) thỏa mãn IND-CPA. 
* Khi  truy vấn bộ mã hóa DenEncPH: 
Ta có, từ việc giải nghiệm của hệ phương trình đồng dư 
(1), (6), và các giá trị 
1( , mod )
AeZ S M p ở cả hai giao 
thức là hoàn toàn giống hệt nhau và được coi như là hằng 
số khi  chọn lựa bản rõ bm để thực hiện thủ tục tấn 
công CPA, với ( , ); {0,1}.b bm M T b Từ (6): 
*' '
1 1
2 2 1 '
1 1 1
2 2 1 '
1
1 1 '
1
'
1
'
1
Pr[C =C ]=
=Pr[( )( ) mod ]
=Pr[( )( ) mod ]
=Pr[( ) . (1 ) mod ]
=Pr[( ) mod (1 ) mod ]
=Pr[ mod ( (1 ) ) mod ]
=Pr[
A A
A A
A A
A A
DenEncPH DenEncPH
e
b
e
b
e
b
e
b
U Z S Z Z Z p C
T Z M Z Z Z p C
T M Z Z Z Z p C
T M Z p C Z p
T p C Z M p





'
1log ( (1 ) )]
A
b
e
A T C Z M 
do A được bộ mã hóa chọn ngẫu nhiên trong ,p và
'
, 1, , ,b AT M e Z C không đổi nên: 
1
1 1
=Pr[ ]=
1 2 1
A np

 
Như đã chứng minh, do 
1
1
(2 ) 1n  
 là hàm không 
đáng kể theo biến ,n do ( )p n là một đa thức nên: 
1
( )
(2 ) 1n
p n
 
 cũng là một hàm không đáng kể của ,n 
thay vào biểu thức (11a) ta có điều phải chứng minh 
*' '
1 1(C ,C ) thỏa mãn IND-CPA. 
Lập luận hoàn toàn tương tự cho: 
*" "
1 1
2 1 "
1 1 1
" 2
1
" 2
1
" 2
1
1
Pr[C =C ]=
=Pr[( )( ) mod ]
=Pr[( ) mod ( ) mod ]
=Pr[ mod ( ( )) mod ]
=Pr[ log ( ( ))]
1 1
=Pr[ ]=
1 2 1
A A
A A
A
b
DenEncPH DenEncPH
e
b
e
b
e
A T
A n
S U Z Z p C
M T p C Z Z p
T p M C Z Z p
M C Z Z
p





Như đã chứng minh, do 
1
1
(2 ) 1n  
 là hàm không 
đáng kể theo biến ,n do ( )p n là một đa thức nên: 
1
( )
(2 ) 1n
p n
 
 cũng là một hàm không đáng kể của ,n 
thay vào biểu thức (11b), ta có điều phải chứng minh 
*" "
1 1(C ,C ) thỏa mãn IND-CPA. 
Như vậy ta có điều phải chứng minh về tính không 
phân biệt tính toán giữa bản mã tạo ra ở Bước 1 của giao 
thức mã hóa xác suất EncPH_F và bản mã tạo ra ở Bước 
1 của giao thức mã hóa có thể chối từ DenEncPH. 
Trong quá trình mã hóa ba bước, do định dạng hệ 
phương trình đồng dư tuyến tính ở Bước 2 và Bước 3 
hoàn toàn tương tự như Bước 1, với cách lập luận tương 
tự như trên để chứng minh IND-CPA cho các cặp bản mã 
* *
2 2 3 3( , ), ( , ).C C C C 
Ta có điều phải chứng minh phương pháp mã hóa giả 
xác suất như trình bày thỏa mãn tính chất IND-CPA. 
6.4 Nhận xét độ an toàn của giao thức mã hóa 
1. Như chứng minh ở mệnh đề 3, phương pháp 
MHCTCT đề xuất có khả năng chối từ thuyết phục bên 
gửi hoặc bên nhận hoặc đồng thời cả hai bên. Như chứng 
minh tại mệnh đề 4, phương pháp đề xuất đảm bảo tính an 
toàn IND-CPA của các bản mã đầu ra. 
2. Khi bị cưỡng ép bởi đối phương tấn công thụ động 
(đã thu được các bản mã 1 2 3, , ),C C C bên gửi hoặc bên 
nhận hoặc cả hai bên trình ra thông điệp giả mạo M , 
thuật toán mã hóa, các khóa , ,A Ak R , ( , )A AZ e d hoặc 
, ,B Bk R , , B BZ e d hoặc , ,A Ak R , ,B Bk R , , ,A AZ e d 
 , B Be d hoàn toàn phù hợp với nhau. Hai bên cũng 
chứng minh rằng đã dùng giao thức mã hóa xác suất để 
gửi an toàn thông điệp M . Và theo mệnh đề 4, các bản 
mã có trong tay đối phương tấn công đảm bảo không 
phân biệt tính toán với các bản mã do hai bên trình ra. 
Đối phương tấn công có hai cách để có các bản mã 
 1 2 3 , , ,C C C cách thứ nhất là thu được trên kênh truyền 
công cộng (các bản mã này được tạo ra từ giao thức mã 
hóa có thể chối từ giả xác suất – giao thức DenEncPH), 
cách thứ hai dựa vào bộ tham số và thuật toán do hai bên 
liên lạc trình ra với đối phương tấn công (các bản mã 
được tạo ra từ giao thức mã hóa xác suất – giao thức 
EncPH_F). Đối phương tấn công có hai khả năng sau: i) 
đồng ý với những người dùng và ii) chứng minh các bản 
mã được tạo ra bằng giao thức MHCTCT. Tuy nhiên, khả 
năng thứ hai không khả thi vì không có manh mối. Từ các 
bản mã 1 2 3 , ,C C C có trong tay, đối phương tấn công có 
TÍNH AN TOÀN IND-CPA CỦA PHƯƠNG PHÁP MÃ HÓA CÓ THỂ CHỐI TỪ. 
thể khôi phục lại các giá trị ngẫu nhiên thêm vào 
' "( )modi i iC C p 1,2,3i (thực chất là các giá trị 
1 2mod , mod , mod
A B AT p U p U p
   được tạo ra từ giao 
thức DenEncPH), để từ các giá trị này để tính ra thông 
điệp bí mật T , đối phương tấn công phải tính một trong 
các khóa riêng ( , ), ( , ).A A A B B BQ Q    Việc tính ra một 
trong các khóa riêng AQ hoặc BQ được thực hiện bằng 
cách giải bài toán logarith rời rạc modulo p , với cách 
chọn p như mô tả thì độ khó bài toán đủ đảm bảo an 
toàn cho giao thức. 
3. Để chống lại tấn công giả mạo tích cực, khi mà đối 
phương tấn công giả mạo là một trong các bên tham gia 
truyền tin, giao thức có thể được bổ sung thủ tục xác thực 
giữa hai bên trước khi thực hiện quá trình trao đổi tham 
số bí mật và mã hóa như cách thức thực hiện trong bài 
báo [18]. Hoặc một cách đơn giản để xác thực giữa hai 
bên đó là hai bên thống nhất trước một thuật toán bí mật 
để rút trích ra bộ tham số bí mật sử dụng trong thiết lập 
các hệ phương trình (1) đến (10) từ tham số bí mật dùng 
chung ABZ được thỏa thuận ở phiên liên lạc, kỹ thuật này 
được giới thiệu trong bài báo [19]. Tuy nhiên, nếu có quá 
trình thống nhất thuật toán bí mật này từ trước, khi đó 
lược đồ mã hóa trở thành một lược đồ mã hóa có chia sẻ 
trước một quy ước bí mật. 
VII. KẾT LUẬN 
Giao thức đề xuất trong [11] sử dụng thuật toán mã hóa 
Pohlig-Hellman có tính chất giao hoán, thực hiện quá 
trình truyền tin mật như một quá trình không trao đổi 
khóa trước phiên liên lạc, mã hóa đồng thời thông điệp 
mật và thông điệp giả mạo, sử dụng kỹ thuật thỏa thuận 
khóa Diffie-Hellman chia sẻ tham số bí mật dùng chung 
sử dụng một lần. Để có thể ngụy trang được trong quá 
trình thực hiện truyền tin, cùng với giao thức MHCTCT 
thực sự dùng thật trong truyền tin mật, một giao thức mã 
hóa xác suất được xây dựng để trình ra cho đối phương 
tấn công. Do giao thức MHCTCT xây dựng dựa trên giao 
thức mã hóa xác suất với việc thay thế nguồn ngẫu nhiên 
bằng thông điệp giả bí mật có chủ đích vào quá trình mã 
hóa, vì vậy nó được coi như là một giao thức mã hóa giả 
xác suất. 
Như chứng minh tại bài báo này, giao thức MHCTCT 
sử dụng thuật toán mã hóa Pohlig-Hellman thỏa mãn đầy 
đủ tính chất của một lược đồ MHCTCT theo định nghĩa 
của Canetti [1] đó là tính đúng đắn, tính an toàn IND-
CPA và tính chối từ thuyết phục. Các bản mã tạo ra từ 
giao thức MHCTCT mà hai bên sử dụng truyền tin mật 
đảm bảo tính không phân biệt tính toán với các bản mã do 
hai bên sử dụng giao thức giả mạo trình diễn lại quá trình 
mã hóa khi bị tấn công cưỡng ép. 
Với việc sử dụng các nguyên thủy mật mã an toàn và 
đã được chứnh minh đầy đủ tính chất của một giao thức 
MHCTCT, phương pháp hoàn toàn có khả năng ứng dụng 
được trong thực tế. 
REFERENCES 
[1] Ran Canetti, Cynthia Dwork, Moni Naor, and Rafail Ostrovsky, 
"Deniable Encryption," Proceedings Advances in Cryptology – 
CRYPTO 1997. Lectute Notes in Computer Science. Springer – 
Verlag. Berlin, Heidelberg, New York, pp. 90-104, 1997. 
[2] Truecrypt: Free open-source on-the-fly encryption. [Online]. 
[3] Roger Needham, and Adi Shamir Ross Anderson, "The 
steganographic file system. In Information Hiding," Springer, pp. 
73-82, 1998. 
[4] AndrewD. McDonald and MarkusG. Kuhn. Stegfs, "A 
steganographic file system for linux. In Andreas Pfitzmann, editor, 
Information," Springer Berlin Heidelberg, pp. 463–477, 2000. 
[5] B. Meng, "A Secure Internet Voting Protocol Based on Non-
interactive Deniable Authentication Protocol and Proof Protocol 
that Two Ciphertexts are Encryption of the Same Plaintext," 
Journal of Networks, pp. 370–377, 2009. 
[6] I. Yu, E. Kushilevits, and R. Ostrovsky, "Efficient Non-interactive 
Secure Computation," Advances in Cryptology -- EUROCRYPT 
2011. Lectute Notes in Computer Science. Springer – Verlag. 
Berlin, Heidelberg, New York, pp. 406-425, 2011. 
[7] C. Wang and J.A. Wang , "Shared-key and Receiver-deniable 
Encryption Scheme over Lattice," Journal of Computational 
Information Systems, pp. 747-753, 2012. 
[8] [8] N.A. Moldovyan, A.A. Moldovyan, and A.V. Shcherbacov, 
"Deniable-encryption protocol using commutative transformation," 
Workshop on Foundations of Informatics, pp. 285-298, 2016. 
[9] N.A. Moldovyan, A.N. Berezin, A.A. Kornienko, and A.A. 
Moldovyan, "Bi-deniable Public-Encryption Protocols Based on 
Standard PKI," Proceedings of the 18th FRUCT & ISPIT 
Conference, Technopark of ITMO University, Saint-Petersburg, 
Russia. FRUCT Oy, Finland, pp. 212-219, 2016. 
[10] A.A. Moldovyan, N.A. Moldovyan, and V.A. Shcherbakov, "Bi-
Deniable Public-Key Encryption Protocol Secure Against Active 
Coercive Adversary," Buletinul Academiei de Stiinte a Republicii 
Moldova. Mathematica, pp. 23-29, 2014. 
[11] Nam Hai Nguyen, N. A. Moldovyan, A. V. Shcherbacov., Hieu 
Minh Nguyen, Duc Tam Nguyen, "No-Key Protocol for Deniable 
Encryption" Information Systems Design and Intelligent 
Applications: Proceedings of Fourth International Conference 
INDIA 2017.: Springer, Singapore, 2018, pp. 96-104. 
[12] Ulf Carlsen, "Cryptographic protocol flaws:know your enemy," in 
Computer Security Foundations Workshop VII. Proceedings., 
1994. 
[13] W. Diffie and M. Hellman, "New Directions in Cryptography," 
IEEE Transactions on Information Theory, p. 644–654, 1976. 
[14] M. Hellman and S. Pohlig, "Exponentiation Cryptographic 
Apparatus and Method," U.S. Patent # 4,424,414, 1984. 
[15] N. Moldovyan and A. Moldovyan, Innovative cryptography 2nd 
Edition, Boston: Charles River Media, 2007, pp. 50-57. 
[16] Douglas Robert Stinson, Maura Paterson, Cryptography Theory 
and Practice, 4th ed., CRC Press, 2019. 
[17] J. Katz and Y. Lindell, "Introduction to Modern Cryptography: 
Principles and Protocols," in Cryptography and Network Security 
Series, Chapman & Hall/CRC, 2007. 
[18] Nguyễn Đức Tâm, Lê Mỹ Tú, "Phương pháp kết hợp ẩn mã với mã 
hóa khóa công khai có thể chối từ" Tạp chí nghiên cứu KH&CN 
quân sự, vol. Số đặc san An toàn thông tin, pp. 100-108, 8 2019. 
[19] Nguyễn Đức Tâm, Lê Mỹ Tú, "Đề xuất giao thức mã hóa không 
khóa có thể chối từ giả xác suất sử dụng thuật toán RSA" Tạp chí 
nghiên cứu KH&CN quân sự, vol. 62, pp. 37-45, 8 2019. 
IND-CPA SECURITY OF DENIABLE 
ENCRYPTION METHOD BASE ON SHAMIR 
THREE-PASS PROTOCOL 
Abstract: This paper analyzes and prove the correct, security, 
deniable and IND-CPA secủity of a deniable encrypiton method, 
this method base on Shamir three-pass protocol using Pohlig-
Hellman encrypion algorithm. This deniable encryption method 
has been proposed in the paper [11], but it not been proven the 
properties of a deniable encryption protocol. 
Keyword: Deniable encryption, Shamir three-pass protocol, 
commutative encrypion, probabilistic encryption, pseudo 
probabilistic encryption. 
Nguyễn Đức Tâm 
SƠ LƯỢC VỀ TÁC GIẢ 
Nguyễn Đức Tâm 
Sinh năm 1974 tại Bắc Giang. Tốt 
nghiệp chuyên ngành Kỹ thuật mật 
mã tại Học viện KTMM. Hiện 
đang công tác tại Học viện Kỹ 
thuật mật mã. Hướng nghiên cứu: 
mã hóa có thể chối từ. 
Email:nguyenductamkma@gmail.com