基于属性加密

基于身份IBE

$Setup$
- 选择双线性映射的两个群和映射、随机数、哈希函数:
- $pp: (\mathbb{G},\mathbb{G}_T,e,H)$
- 主私钥: $msk=a$
$KeyGen(ID,msk) \rightarrow sk_{ID}$
- $sk_{ID} = H(ID)^a$ 为了简化表达，视作 $sk_{ID} = g^{ab}$ ，这里假设 $H(ID) = g^b$
$Encrypt(m,ID,pp) \rightarrow C$
- 选择随机数 $c \in \mathbb{Z}_p$
- 计算 $C = (C_1,C_2) = ( \; g^{c},m \cdot e(H(ID),g)^c \; )$
$Decrypt(C,sk_{ID}) \rightarrow m$
- 计算 $m = C_2 / e(sk_{ID},C_1)$
- $\because e(sk_{ID},C_1) = e(g^{ab},g^c) = e(g,g)^{abc} = e(H(ID),g)^c$
方案流程

$Setup$
- 选择双线性映射的两个群和映射、随机数、哈希函数:
- $pp: (\mathbb{G},\mathbb{G}_T,e,H)$
- 主私钥: $msk=a$
$KeyGen(ID,msk) \rightarrow sk_{ID}$
- 选择随机数 $r \in \mathbb{Z}_p$
- $sk_{ID} = (d_1,d_2) = ( \; g^a \cdot H(ID)^r,g^r \; ) = e(g^{a+br},g^r)$
$Encrypt(m,ID,pp) \rightarrow C$
- 选择随机数 $c \in \mathbb{Z}_p$
- 计算 $C = (C_0,C_1,C_2) = ( \; e(g,g)^{ac} \cdot m , \; g^c , \;H(ID)^c \; )$
$Decrypt(C,sk_{ID}) \rightarrow m$
- $m = C_0 / \frac{e(d_1,c_1)}{e{d_2,c_2}}$
- $\because e(d_1,c_1) = e(g^{a+br},g^c) = e(g,g)^{ac+bcr}$
- $\because e(d_2,c_2) = e(g^r,H(ID)^c) = e(g,g)^{bcr}$
- $\therefore \frac{e(d_1,c_1)}{e{d_2,c_2}} = e(g,g)^{ac}$
- $\therefore m = C_0 / e(g,g)^{ac}$
这个方案不满足不可区分性
- 假设有 $ID_1,ID_2$ ，以及对应密文 $C_1,C_2$
- 由于密文 $C_?$ 中存在 $c_2 = g^{b_?c}$ , $c_1 = g^c$ 已知
- 同时可根据 $H(ID)_? = g^{b_?}$ 导出 $g^{b_?}$
- 故而可以构造： $e(g, g^{b_?c}) == e(g^{b_?}, g^c)$ 来判断密文是发送给哪个 $ID$ 的