合数双线性群（Composite Order Bilinear Groups）

最新推荐文章于 2024-03-04 21:42:11 发布

小hang探索者

最新推荐文章于 2024-03-04 21:42:11 发布

阅读量2.5k

点赞数 5

分类专栏： CP-ABE 文章标签：算法信息安全

本文链接：https://blog.csdn.net/qq_32318629/article/details/105586580

版权

CP-ABE 专栏收录该内容

5 篇文章 5 订阅

订阅专栏

基于属性加密大部分都是利用素数双线性群作为数学基础，最近看到一篇论文基于合数双线性群，由于看不懂，找到比较原始的定义，定义如下：

定义一个群生成器 $\mathcal{G}$ ，一个算法将安全参数 $\lambda$ 作为输入，输出一个双线性群的描述 $\G$ , $\mathcal{G}$ 输出 $\left ( p_1,p_2,p_3,G,G_T,e \right )$ ,其中是不同的素数，是阶为的循环群，并且 $e:G^2\rightarrow G_T$ 是一个映射，并具有以下性质：

1.双线性： $\forall g,h\in G,a,b\in \mathbb{Z}_N,e(g^a,g^b)=e(g,g)^{ab}$

2.非退化： $\exists g\in G$ 使中有阶

假设的在和上的群运算和关于 $\lambda$ 的双线性映射在多项式时间内是可计算的，并且的群描述包括各自循环群的生成元。令 $G_{p_1},G_{p_2},G_{p_3}$ 表示中阶分别为的子群。注意到对于 $i\neq j$ ，当 $h_i\in G_{p_i}$ 和 $h_j\in G_{p_j}$ ，是中的一个单位元，例如，假设 $h_1\in G_{p_1}$ 且 $h_2\in G_{p_2}$ 。令表示中一个生成元。那么 $g^{p_1p_2}$ 生成 $G_{p_3}$ ， $g^{p_1p_3}$ 生成 $G_{p_2}$ ，和 $g^{p_2p_3}$ 生成 $G_{p_1}$ 。因此对于某个 $\alpha _1,\alpha _2,h_1=(g^{p_2p_3})^{\alpha _1}$ 和 $h_2=(g^{p_1p_3})^{\alpha _2}$ ，那么：

$e(h_1,h_2)=e(g^{p_2p_3\alpha _1},g^{p_1p_3\alpha _2})=e(g^{\alpha _1},g^{p_3\alpha _2})^{p_1p_2p_3}=1$ 。

$G_{p_1},G_{p_2},G_{p_3}$ 的这种正交特性将被用于方案构建中实现半功能性。

在以上背景下作者提出了如下假设：

前3个假设是如下类别的实例，定义如下

在一个阶为的双线性群中，对于每个子集 $S\subseteq \left \{ 1,...,n \right \}$ ，存在一个阶为 $\prod_{i\in S}p_i$ 的子群。令表示两个不同的子集。然后我们假设很难区分来自与相关的子群中的一个随机元素和来自与相关的子群中的一个随机元素，即使从与多个子集合关联的子群中随机分配元素，其中每个子群都满足 $S_0\cap Z_i= \O =S_1\cap Z_i$ 或 $S_0\cap Z_i\neq \O \neq S_1\cap Z_i$ .

在给出假设之前，先给出几个定义：

例如，令 $G_{p_1p_2}$ 表示中阶为 p_1p_2 的子群。记 $g_1\overset{R}{\leftarrow}G_{p_1}$ 表示 g_1 为从 $G_{p_1}$ 中随机选择的生成元（故它不为单位元），同样， $T_1\overset{R}{\leftarrow}G$ 表示 T_1 为从中随机选择的生成元(这和均匀随机元素不太一样，但是分布可以忽略)。

下面给出假设：

假设1（3个素数子群决策性问题）：给定一个群生成器 $\mathcal{G}$ ，定义如下分布：

定义一个算法 $\mathcal{A}$ 攻破假设1的优势为：

我们注意到可以被(唯一地)写成 $G_{p_1}$ 的一个元素、 $G_{p_2}$ 的一个元素和 $G_{p_3}$ 的一个元素的乘积。我们分别将这些元素称为的 $G_{p_1}$ 部分、的 $G_{p_2}$ 部分和的 $G_{p_3}$ 部分。

定义1 对于任何多项式时间算法 $\mathcal{A}$ ，如果 $Adv1_{\mathcal{G},\mathcal{A}}(\lambda )$ 是 $\lambda$ 的可忽略函数，我们都说 $\mathcal{G}$ 满足假设1。

假设2 给定一个群生成器 $\mathcal{G}$ ，定义如下分布：

定义一个算法 $\mathcal{A}$ 攻破假设2的优势为：

定义2 对于任何多项式时间算法 $\mathcal{A}$ ，如果 $Adv2_{\mathcal{G},\mathcal{A}}(\lambda )$ 是 $\lambda$ 的可忽略函数，我们都说 $\mathcal{G}$ 满足假设2。

假设3 给定一个群生成器 $\mathcal{G}$ ，定义如下分布：

定义一个算法 $\mathcal{A}$ 攻破假设3的优势为：

定义3 对于任何多项式时间算法 $\mathcal{A}$ ，如果 $Adv3_{\mathcal{G},\mathcal{A}}(\lambda )$ 是 $\lambda$ 的可忽略函数，我们都说 $\mathcal{G}$ 满足假设3。

假设4 给定一个群生成器 $\mathcal{G}$ ，定义如下分布：

定义一个算法 $\mathcal{A}$ 攻破假设4的优势为：

定义4 对于任何多项式时间算法 $\mathcal{A}$ ，如果 $Adv4_{\mathcal{G},\mathcal{A}}(\lambda )$ 是 $\lambda$ 的可忽略函数，我们都说 $\mathcal{G}$ 满足假设4。

以上的数学难题假设，都是对合数阶双线群构造的基于属性加密方案的安全性证明的重要支柱，并且在很难找到群阶N的非平凡因子假设下，作者证明了四个具体假设是通用性安全的，在这里不多做赘述。

原文见 "Decentralizing Attribute-Based Encryption" 作者为： Allison Lewko ，Brent Waters

链接：https://dl.acm.org/doi/10.5555/2008684.2008727

小hang探索者

关注

5
点赞
踩
21

收藏

觉得还不错? 一键收藏
0
评论
合数双线性群（Composite Order Bilinear Groups）

定义一个群生成器，一个算法将安全参数作为输入，输出一个双线性群的描述,输出,其中是不同的素数，是阶为的循环群，并且是一个映射，并具有以下性质：1.双线性：2.非退化：使中有阶假设的在和上的群运算和关于的双线性映射在多项式时间内是可计算的，并且...
复制链接

扫一扫

专栏目录