论文学习记录20200424:可验证函数加密[ASIACRYPT2016]

最新推荐文章于 2023-04-12 17:01:31 发布
最新推荐文章于 2023-04-12 17:01:31 发布
阅读量1.3k 收藏 5
点赞数 2
分类专栏: 论文学习记录 学习笔记 文章标签: 论文笔记 函数加密 网络安全 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cheese0_0/article/details/106143339
版权

在这里插入图片描述
这篇论文讲的是可验证的函数加密,这个可验证,验证的是密文是否由公钥正确加密,私钥是否是由函数f(特定函数)和主密钥正确生成,在这个方案中,任何阶段任何参与方都可以是恶意的,也就是可信方也不可信了。
在这里插入图片描述
首先先简单看一下函数加密。
首先,会在初始化阶段生成公钥pk和msk,这一阶段通常是由可信方完成的,就像我下面画的这个。
接下来,加密者会使用公钥对消息x进行加密,在这图中是上传给云。
云想进行操作的话,会给可信方发送相应的函数,然后得到私钥sk,使用私钥sk对秘闻解密得到y,也就是f(x),这个能够保证如果云是恶意的,它也只能看到x的函数值f(x)而得不到真正的消息x。这是函数加密的好处。

但是它存在问题。

在这里插入图片描述
看第一个应用场景,是存储加密图像,这是前人的一个例子。
假设有一个云服务,客户在该云服务上存储加密图像。执法部门可能会要求云搜索包含特定人脸的图像,这就是一个函数f。因此,客户需要向云提供一个相应的函数f的解密密钥,该密钥允许云解密包含目标人脸的图像(但不包括其他内容)。之前Boneh人们认为可以在这样的设置中使用函数加密来提供这些解密密钥。

然而,我们观察到,如果我们使用功能加密,那么执法部门就必须相信客户是诚实的,因为在这种情况下,客户既是可信方又是加密者。如果它是恶意的,那么它可以创建格式错误的密文和“假”解密密钥,而这些密钥可能并不能提供执法部门要求的功能。这样的结果就是可以让执法部门相信没有匹配的图像,而实际上可能有几个匹配的图像。
在这里插入图片描述

接下来是一个更老的例子。假设有一家银行在其每个分行中维护大型加密的交易数据库。审计师需要进行财务审计,以证明其符合各种财务法规。为此,审计员需要访问存储在银行服务器上的某些类型的数据。但是,银行不希望让审计师获得全部数据(这会泄露客户个人信息等)。解决办法是让银行使用功能加密。这将使它能够向审计员释放一个密钥,该密钥有选择地只允许审计员访问所需的数据。
但是,请注意,审计的全部目的是提供保证,即使在被审计实体不可信的情况下也是如此。如果系统设置、加密或解密密钥生成都是恶意的,该怎么办。

这里有两种情况。
第一种,假设持有x的银行是正常的,持有Y的银行可能想要隐瞒自己的数据,所以贿赂总行,与总行共谋,而这个总行本来应该担任一个可信方的角色,但是在这是恶意的。审计员想学f(x)和f(y),最后可能拿到的是函数f(x),g(y),原因是,第一种这个y可能不是正确加密的,或者世界银行给他的密钥sk不是函数f的,在生成密钥的时候,可能设置为是如果输入的不是y,那么输出f的密钥,否则输出函数g的密钥。

第二种,现在总行和分行都是恶意的,这个审计者想要拿到两个函数值,fx和gx,所以她给总行发送f,g,并拿到相应的密钥,但是他没有学到fx和gx,而是gx’,也就是说这可能是完全不同的消息,但是审计者只知道密文,私钥,所以他不知道他得到的结果是对的还是错的,他可能认为自己是对的但是其实这是错误结果。
在这里插入图片描述
应对这些场景,这种在系统设置、加密或解密密钥生成是恶意的情况,作者提出了可验证函数加密,给出了定义还给出了构造。它主要是依赖这个DLIN假设

DLIN假设是在椭圆密码曲线中使用的困难性假设,在这里DLIN假设仅用于构造非交互性不可区分证明系统,也就是NIWI。在证明这块儿,NIWI是非交互式零知识证明NIZK的弱化版本,没有用NIZK的原因是因为setup阶段可能会有恶意操作,所以NIZK中的CRS可能也是错误的。在典型的零知识证明中,验证者仅仅只可以了解陈述的真相。在WI(证据不可区分)中,这种零知识条件被削弱,更强调的是一个不可区分。唯一的保证是验证者无法区分使用不同证据的证明者。

编译器在不同的假设下产生了各种可验证的功能加密方案。表1总结了其中一些。
在这里插入图片描述
定义,简单看一下。
在这里插入图片描述

首先,在初始化阶段,运行这个函数加密系统四次,生成四对公钥和主密钥对
在这里插入图片描述
加密阶段
在这里插入图片描述
密钥生成阶段:
只有满足下面这两种情况才能满足这个y,w=1,也就是后面的验证才能够通过,一个是这个四个系统都是对同一个函数f,而且不管是左右那种情况,如果想要保证私钥的可验证性,是要求初始化的那个公私钥对是诚实生成的。
这里直说是同一函数f,假如说有一个而乙方换掉函数f,让他变成g,那就是四个都是g,在这一步也是可以的,但是会在后面被检测出来。
在这里插入图片描述
解密:
先验证再解密,令y=

验证CT,验证的是密文CT和公钥MPC是否是对应的,密文是否是由公钥正确加密产生的。
验证K,验证的是函数f和私钥sk是否是对应的,私钥是否是用函数f和主密钥正确生成的。

到这里,构造结束了
在这里插入图片描述
简单看下可验证性,主要是R和R1,R是验证密文的,R1是验证密钥的。框框里分别是Ryw=1 和R1yw=1的两种情况。他们分开来看能够满足各自的验证,但是合起来不是简单的加法而是有一些冲突。

先来看R的第一种情况,对R1的两种,
A r是四个系统都对同一消息进行加密,r1是四个都对同一函数进行生成密钥,所以,很直接,能够通过验证,正确得到fm
B r是四个系统都对同一消息进行加密,r1是三个都对同一函数进行生成密钥。签名解密阶段说至少三个相等,就能够得到fm,所以这个也没问题。

再来看R的第而种情况,对R1的两种,
A 由于在r里面,z1是对0的承诺,在r1里面z1是对1的承诺,所以冲突了,验证密文和密钥不能够同时满足
B r是两个系统都对同一消息进行加密,r1是三个都对同一函数进行生成密钥。根据鸽巢原理,因为一共就四个系统,所以一定存在一个i* 在r1的这三个和r的两个有至少一个重复。又因为z是对四个密文的承诺,四个系统解密得到的结果一定是相等的,而i*的解出来是fm,所以这四个都是fm。

这两个的思路和公钥函数加密的这个是类似的,私钥的比公钥的多加了一个系统。

cheese0_0
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ASIACRYPT 2016 II 亚密2016
12-02
亚密论文集 2016
密码学学习笔记(四):Authenticated Encryption - 认证加密
最新发布
weixin_54634208的博客
07-01 699
加密数据的最新方法是使用一种称为一体式结构的认证加密算法,该算法也称为有附加数据的认证加密。从之前的博客中,我们看到在特定的操作模式中使用的分组密码,如CBC、OFB、CFB、CTR,提供了IND-CPA安全性。但是IND-CCA安全性呢?
Spring Secuirty 密码加密认证讲解
weixin_52834606的博客
08-27 3247
spring Securiy 密码加密 深度讲解
信息安全——加密与认证
qq_63982199的博客
04-12 1352
通过OpenSSL在本地实现生成证书
可证明安全的密文策略基于属性加密(Provably Secure Ciphertext Policy ABE)
qq_32318629的博客
06-03 2477
1.引言 基于属性的加密(Attribute-Based Encryption)被提出后,CP-ABE(Ciphertext Policy Attribute-Based Encryption,密文策略基于属性加密)和KP-ABE(Key Policy Attribute-Based Encryption,密钥策略基于属性加密)都相继被提出,但是绝大多数CP-ABE方案都是CPA(选择明文攻击)安全的,或者sCPA(selective-CPA)安全的,并且只能实现单调的访问结构(即AND,OR)。 而下
浅谈常见的七种加密算法及实现
weixin_33912445的博客
07-13 1万+
前言 数字签名、信息加密 是前后端开发都经常需要使用到的技术,应用场景包括了用户登入、交易、信息通讯、oauth 等等,不同的应用场景也会需要使用到不同的签名加密算法,或者需要搭配不一样的 签名加密算法 来达到业务目标。这里简单的给大家介绍几种常见的签名加密算法和一些典型场景下的应用。 正文 1. 数字签名 数字签名,简单来说就是通过提供 可鉴别 的 数字信息 验证 自身身份 的一种方式。一套 ...
函数加密_同态加密__密码学课堂笔记
热门推荐
Ella486900的博客
11-14 1万+
背景 对称、公钥加密算法解密密文,得到的是明文的全部信息。但是我们希望能够对密文的访问附加特殊的要求,使访问者只得到明文的一个函数值,而不会泄露明文。 FE的核心要求:对明文的灵活访问 FE密钥:基于 对密文访问需求抽象出的函数 解密:对明文的预定义函数运算(?)(也可在加密函数中实现),直接输出函数值而非原明文 Functional Encryption FE定义:键空间K,明文空间X,(K, X)上的泛函F: K 乘 X --> {0, 1}*。F中的f是确定性图灵机。同时,要求密钥空间 K
密码学】高级密码学-3
小芋圆的博客
12-05 1782
高级密码学-3部分。个人复习使用,仅供参考。
数据加密方法总结---散列函数加密(彩虹表、MD、SHA、HMAC)
weixin_41963310的博客
06-06 2299
1单向加密 特点: 雪崩效应、定长输出、不可逆; 可以确保数据的完整性; 主要算法:MD5(message digest algorithm)及其家族、SHA(secure hash algorithm)家族等 单向散列算法就是哈希算法——将任意长度的信息压缩到某一固定长度(信息摘要)的函数(该过程不可逆)。 彩虹表 彩虹表不是“密码-明文”的存储。 从c=hash(m)c=hash(m)c=hash(m)逆向得到原始明文有三种方法: 暴力破解; 字典法:提前构建一个“明文–密文”对应的大数据库,破解
加密函数
韶言大雅
02-27 3395
请编写一加密函数函数原型是void encrypt(char * info) 该函数针对输入字符串的加密规律是:对字符串的每个字母以该字母后面第4个字母加以替换。 例如,字母’A’后面第4个字母是’E’,用’E’代替’A’。 因此,”China”应译为”Glmre”, 注意: ‘W’后面的第4个字母是’A’,’X’后面的第4个字母是’B’。 ‘Y’后面的第4个字母是’C’,’Z’后面的第4个字母...
密码学——可验证随机函数
qq_41546054的博客
01-17 1340
可验证随机函数(Verifiable Random Function,VRF)
ASIACRYPT 2016 I 亚密2016 part1
12-02
亚密论文
2008-Asiacrypt-Carlet
04-21
C-F函数,使用本源元构造布尔函数的鼻祖。其构造方法简单,布尔函数性质好。
Asiacrypt 2013 (Part I)
02-27
Asiacrypt 2013 (Part I)
Advances in Cryptology – ASIACRYPT 2009
12-07
15th International Conference on the Theory and Application of Cryptology and Information Security Tokyo, Japan, December 6-10, 2009 Proceedings Editior: Mitsuru Matsui Springer
论文学习记录20200612:隐私保护神经网络推理[USENIX2018]
cheese0.0的博客
06-28 3455
GAZELLE: A Low Latency Framework for Secure Neural Network Inference 这篇论文是上周那篇的standing point,也是对神经网络推理的隐私保护 Gazelle是一个可扩展的低延迟安全神经网络推理系统,它使用了同态加密和传统的两方计算技术(在论文中具体指的混淆电路),它是把这两者进行结合,混合起来使用。之前的工作一般都是要么是同态,要么是安全多方计算(像秘密共享、混淆电路这些),这种混合起来使用是一个创新。 在神经网络推理系统中,有
论文学习记录20200515:安全多方计算综述[S&P2019]
cheese0.0的博客
05-15 3269
这篇综述主要就是调查了十一个安全多方计算的框架,进行了一些比对。他们还创建了一个github资源库,里面有这11个框架的代码、有样例还有相关的文档信息。 主要分为这两个方面,一个是调查,另一个就是这个开源资源。 在这项工作中,他们调查了十一个安全多方计算的通用编译器。其中有9个框架和连个电路编译器。考虑了11种系统:EMP工具包,Obliv-C,ObliVM,TinyGar-ble,SCALE-MAMBA(以前为SPDZ),Wysteria,Share-mind,PICCO,ABY,Frigate和CB.
论文学习记录20191220:多方安全计算[ccs17]
cheese0.0的博客
12-24 2202
以下PPT和文字都是对论文的一些自己的理解,才疏学浅,如有不当,欢迎讨论。 这是发在ccs2017的一篇有关安全多方计算的论文论文题目为 Efficient, Constant-Round and Actively Secure MPC: Beyond the Three-Party Case。 和前几周一样,这还是一个安全多方计算的问题。 先解题: 超过三方,文章主要讲的是5方,但是也可以...
论文学习记录20200605:隐私保护神经网络推理[USENIX2020]
cheese0.0的博客
06-28 1865
DELPHI: A Cryptographic Inference Service for Neural Networks DELPHI是一个安全的神经网络预测系统。 背景 : 许多公司为用户提供神经网络预测服务,比如说,家庭监控系统,使用专有的神经网络对客户家中的监控视频中的对象进行分类,例如停在用户家附近的汽车,或访客的人脸。但是,当前的预测系统损害了用户和公司中其中一方的隐私:要么用户必须将敏感输入发送给服务提供商进行分类,损害了用户的个人隐私。要么服务提供商必须将其专有的神经网络存储在用户的设备上
论文学习记录20200619:隐私保护机器学习[TIFS2017]
cheese0.0的博客
06-28 1647
Privacy-Preserving Deep Learning via Additively Homomorphic Encryption 这篇论文结构比较明了,也挺简单的,它只针对机器学习中的一个算法进行隐私保护,就是异步随机梯度下降算法,也只用了一种密码学技术,加法同态加密论文提出了一个新的深度学习系统,使用加法同态加密来保护诚实但好奇的云服务器上的梯度。之前的secagg其实也算是对梯度的隐私保护,那篇论文主要是通过添加掩码最后消除的方法,额外用了秘密共享、认证加密密码学工具。这篇论文只用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值