基于属性加密大部分都是利用素数双线性群作为数学基础,最近看到一篇论文基于合数双线性群,由于看不懂,找到比较原始的定义,定义如下:
定义一个群生成器
,一个算法将安全参数
作为输入,输出一个双线性群的描述
,
输出
,其中
是不同的素数,
是阶为
的循环群,并且
是一个映射,并具有以下性质:
1.双线性:
2.非退化:
使
中
有
阶
假设的在
和
上的群运算和关于
的双线性映射
在多项式时间内是可计算的,并且
的群描述包括各自循环群的生成元。令
表示
中阶分别为
的子群。注意到对于
,当
和
,
是
中的一个单位元,例如,假设
且
。令
表示
中一个生成元。那么
生成
,
生成
,和
生成
。因此对于某个
和
,那么:
。
的这种正交特性将被用于方案构建中实现半功能性。
在以上背景下作者提出了如下假设:
前3个假设是如下类别的实例,定义如下
在一个阶为
的双线性群中,对于每个子集
,存在一个阶为
的子群。令
表示两个不同的子集。然后我们假设很难区分来自与
相关的子群中的一个随机元素和来自与
相关的子群中的一个随机元素,即使从与多个子集合
关联的子群中随机分配元素,其中每个子群都满足
或
.
在给出假设之前,先给出几个定义:
例如,令表示
中阶为
的子群。记
表示
为从
中随机选择的生成元(故它不为单位元),同样,
表示
为从
中随机选择的生成元(这和均匀随机元素不太一样,但是分布可以忽略)。
下面给出假设:
假设1(3个素数子群决策性问题):给定一个群生成器
,定义如下分布:
定义一个算法
攻破假设1的优势为:
我们注意到
可以被(唯一地)写成
的一个元素、
的一个元素和
的一个元素的乘积。我们分别将这些元素称为
的
部分、
的
部分和
的
部分。
定义1 对于任何多项式时间算法
,如果
是
的可忽略函数,我们都说
满足假设1。
假设2 给定一个群生成器
,定义如下分布:
定义一个算法
攻破假设2的优势为:
定义2 对于任何多项式时间算法
,如果
是
的可忽略函数,我们都说
满足假设2。
假设3 给定一个群生成器
,定义如下分布:
定义一个算法
攻破假设3的优势为:
定义3 对于任何多项式时间算法
,如果
是
的可忽略函数,我们都说
满足假设3。
假设4 给定一个群生成器
,定义如下分布:
定义一个算法
攻破假设4的优势为:
定义4 对于任何多项式时间算法
,如果
是
的可忽略函数,我们都说
满足假设4。
以上的数学难题假设,都是对合数阶双线群构造的基于属性加密方案的安全性证明的重要支柱,并且在很难找到群阶N的非平凡因子假设下,作者证明了四个具体假设是通用性安全的,在这里不多做赘述。
原文见 "Decentralizing Attribute-Based Encryption" 作者为: Allison Lewko ,Brent Waters