基于属性加密

基于身份IBE

特点：和CA相比，没有配置证书链的繁琐
缺点：私钥生成中心KGC掌握所有私钥

Boneh-Franklin IBE

$S e t u p$
- 选择双线性映射的两个群和映射、随机数、哈希函数:
- $p p : (G, G_{T}, e, H)$
- 主私钥: $m s k = a$
$K e y G e n (I D, m s k) \to s k_{I D}$
- $s k_{I D} = H (I D)^{a}$ 为了简化表达，视作 $s k_{I D} = g^{a b}$ ，这里假设 $H (I D) = g^{b}$
$E n c r y p t (m, I D, p p) \to C$
- 选择随机数 $c \in Z_{p}$
- 计算 $C = (C_{1}, C_{2}) = (g^{c}, m \cdot e (H (I D), g)^{c})$
$D e c r y p t (C, s k_{I D}) \to m$
- 计算 $m = C_{2} / e (s k_{I D}, C_{1})$
- $∵ e (s k_{I D}, C_{1}) = e (g^{a b}, g^{c}) = e (g, g)^{a b c} = e (H (I D), g)^{c}$
方案流程

IBE-多对私钥 (BF-IBE2)

$S e t u p$
- 选择双线性映射的两个群和映射、随机数、哈希函数:
- $p p : (G, G_{T}, e, H)$
- 主私钥: $m s k = a$
$K e y G e n (I D, m s k) \to s k_{I D}$
- 选择随机数 $r \in Z_{p}$
- $s k_{I D} = (d_{1}, d_{2}) = (g^{a} \cdot H (I D)^{r}, g^{r}) = e (g^{a + b r}, g^{r})$
$E n c r y p t (m, I D, p p) \to C$
- 选择随机数 $c \in Z_{p}$
- 计算 $C = (C_{0}, C_{1}, C_{2}) = (e (g, g)^{a c} \cdot m, g^{c}, H (I D)^{c})$
$D e c r y p t (C, s k_{I D}) \to m$
- $m = C_{0} / \frac{e (d_{1}, c_{1})}{e d_{2}, c_{2}}$
- $∵ e (d_{1}, c_{1}) = e (g^{a + b r}, g^{c}) = e (g, g)^{a c + b c r}$
- $∵ e (d_{2}, c_{2}) = e (g^{r}, H (I D)^{c}) = e (g, g)^{b c r}$
- $∴ \frac{e (d_{1}, c_{1})}{e d_{2}, c_{2}} = e (g, g)^{a c}$
- $∴ m = C_{0} / e (g, g)^{a c}$
这个方案不满足不可区分性
- 假设有 $I D_{1}, I D_{2}$ ，以及对应密文 $C_{1}, C_{2}$
- 由于密文 $C_{?}$ 中存在 $c_{2} = g^{b_{?} c}$ , $c_{1} = g^{c}$ 已知
- 同时可根据 $H (I D)_{?} = g^{b_{?}}$ 导出 $g^{b_{?}}$
- 故而可以构造： $e (g, g^{b_{?} c}) == e (g^{b_{?}}, g^{c})$ 来判断密文是发送给哪个 $I D$ 的

FIBE(Fuzzy IBE)

Fuzzy IBE 是基于属性的加密的一种特殊形式，用户的私钥和密文都与一组属性相关联。只有当用户的属性集合与密文的属性集合满足一定的重叠条件时，用户才能成功解密密文。

以下是基于 Sahai-Waters 方案的构造（阈值 $d$ ，表示至少需要 $d$ 个匹配属性才能解密）：

$S e t u p (λ, d)$
- 选择双线性映射群 $G, G_{T}$ 阶为素数 $q$ ，生成元 $g \in G$
- 随机选择主密钥 $y \in Z_{q}$
- 对于属性全集 $U$ 中的每个属性 $i$ ，选择随机数 $t_{i} \in Z_{q}$ ，计算 $T_{i} = g^{t_{i}}$
- 公开参数: $p p = (g, Y = e (g, g)^{y}, {T_{i}}_{i \in U})$
- 主私钥: $m s k = (y, {t_{i}}_{i \in U})$
$K e y G e n (ω, m s k) \to s k_{ω}$
- 输入用户属性集合 $ω$ ( $| ω | \geq d$ )，可以简单理解为一个 vector<string>
- 构造一个 $d - 1$ 次多项式 $q (x)$ ，使得常数项 $q (0) = y$ ，其余系数随机
- 对于每个属性 $i \in ω$ ，计算私钥组件： $D_{i} = g^{\frac{q (H (i))}{t_{i}}}$ 其中 $H (i)$ 将属性映射为 $Z_{q}$ 中的元素
- 私钥: $s k_{ω} = {D_{i}}_{i \in ω}$
$E n c r y p t (ω^{'}, m, p p) \to C$
- 输入目标属性集合 $ω^{'}$
- 选择随机数 $s \in Z_{q}$
- 计算密文组件（对于每个 $i \in ω^{'}$ ）： $C_{i} = T_{i}^{s} = g^{t_{i} \cdot s}$
- 计算加密密钥 $K = Y^{s} = e (g, g)^{y s}$
- 使用 $K$ 加密消息 $m$ （例如 $C^{'} = m \oplus K D F (K)$ ）
- 密文: $C = (ω^{'}, {C_{i}}_{i \in ω^{'}}, C^{'})$
$D e c r y p t (C, s k_{ω}) \to m$
- 计算属性交集 $S = ω \cap ω^{'}$
- 如果 $| S | < d$ ，解密失败
- 选择 $S$ 的一个子集 $I \subseteq S$ ，使得 $| I | = d$
- 对于 $i \in I$ ，计算配对： $e (C_{i}, D_{i}) = e (g^{t_{i} s}, g^{\frac{q (H (i))}{t_{i}}}) = e (g, g)^{s \cdot q (H (i))}$
- 利用拉格朗日插值系数 $Δ_{i, I} (x)$ 在 $x = 0$ 处恢复 $e (g, g)^{s y}$ ： $\prod_{i \in I} e (C_{i}, D_{i})^{Δ_{i, I} (0)} = e (g, g)^{s \sum_{i \in I} q (H (i)) Δ_{i, I} (0)} = e (g, g)^{s \cdot q (0)} = e (g, g)^{s y}$
- 使用恢复的密钥 $K$ 解密消息

基于属性加密 ​

基于身份IBE ​

Boneh-Franklin IBE ​

IBE-多对私钥 (BF-IBE2) ​

FIBE(Fuzzy IBE) ​

基于属性加密

基于身份IBE

Boneh-Franklin IBE

IBE-多对私钥 (BF-IBE2)

FIBE(Fuzzy IBE)