合数双线性群(Composite Order Bilinear Groups)

基于属性加密大部分都是利用素数双线性群作为数学基础,最近看到一篇论文基于合数双线性群,由于看不懂,找到比较原始的定义,定义如下:

定义一个群生成器\mathcal{G},一个算法将安全参数\lambda作为输入,输出一个双线性群的描述\GG,\mathcal{G}输出\left ( p_1,p_2,p_3,G,G_T,e \right ),其中p_1,p_2,p_3是不同的素数,G,G_T是阶为N=p_1p_2p_3的循环群,并且e:G^2\rightarrow G_T是一个映射,并具有以下性质:

1.双线性:\forall g,h\in G,a,b\in \mathbb{Z}_N,e(g^a,g^b)=e(g,g)^{ab}

2.非退化:\exists g\in G使G_Te(g,g)n

假设的在GG_T上的群运算和关于\lambda的双线性映射e在多项式时间内是可计算的,并且G,G_T的群描述包括各自循环群的生成元。令G_{p_1},G_{p_2},G_{p_3}表示G中阶分别为p_1,p_2,p_3的子群。注意到对于i\neq j,当h_i\in G_{p_i}h_j\in G_{p_j}e(h_i,h_j)G_T中的一个单位元,例如,假设h_1\in G_{p_1}h_2\in G_{p_2}。令g表示G中一个生成元。那么g^{p_1p_2}生成G_{p_3}g^{p_1p_3}生成G_{p_2},和g^{p_2p_3}生成G_{p_1}。因此对于某个\alpha _1,\alpha _2,h_1=(g^{p_2p_3})^{\alpha _1}h_2=(g^{p_1p_3})^{\alpha _2},那么:

e(h_1,h_2)=e(g^{p_2p_3\alpha _1},g^{p_1p_3\alpha _2})=e(g^{\alpha _1},g^{p_3\alpha _2})^{p_1p_2p_3}=1

G_{p_1},G_{p_2},G_{p_3}的这种正交特性将被用于方案构建中实现半功能性。

在以上背景下作者提出了如下假设: 

前3个假设是如下类别的实例,定义如下

在一个阶为N=p_1p_2...p_n的双线性群中,对于每个子集S\subseteq \left \{ 1,...,n \right \},存在一个阶为\prod_{i\in S}p_i的子群。令S_0,S_1表示两个不同的子集。然后我们假设很难区分来自与S_0相关的子群中的一个随机元素和来自与S_1相关的子群中的一个随机元素,即使从与多个子集合Z_i关联的子群中随机分配元素,其中每个子群都满足S_0\cap Z_i= \O =S_1\cap Z_iS_0\cap Z_i\neq \O \neq S_1\cap Z_i.

在给出假设之前,先给出几个定义:

例如,令G_{p_1p_2}表示G中阶为p_1p_2的子群。记g_1\overset{R}{\leftarrow}G_{p_1}表示g_1为从G_{p_1}中随机选择的生成元(故它不为单位元),同样,T_1\overset{R}{\leftarrow}G表示T_1为从G中随机选择的生成元(这和均匀随机元素不太一样,但是分布可以忽略)。

下面给出假设:

假设1(3个素数子群决策性问题):给定一个群生成器\mathcal{G},定义如下分布:

定义一个算法\mathcal{A}攻破假设1的优势为:

我们注意到T_1可以被(唯一地)写成G_{p_1}的一个元素、G_{p_2}的一个元素和G_{p_3}的一个元素的乘积。我们分别将这些元素称为T_1G_{p_1}部分、T_1G_{p_2}部分和T_1G_{p_3}部分。

定义1 对于任何多项式时间算法\mathcal{A},如果Adv1_{\mathcal{G},\mathcal{A}}(\lambda )\lambda的可忽略函数,我们都说\mathcal{G}满足假设1

假设2 给定一个群生成器\mathcal{G},定义如下分布:

定义一个算法\mathcal{A}攻破假设2的优势为:

定义2 对于任何多项式时间算法\mathcal{A},如果Adv2_{\mathcal{G},\mathcal{A}}(\lambda )\lambda的可忽略函数,我们都说\mathcal{G}满足假设2

假设3 给定一个群生成器\mathcal{G},定义如下分布:

定义一个算法\mathcal{A}攻破假设3的优势为:

定义3 对于任何多项式时间算法\mathcal{A},如果Adv3_{\mathcal{G},\mathcal{A}}(\lambda )\lambda的可忽略函数,我们都说\mathcal{G}满足假设3

假设4 给定一个群生成器\mathcal{G},定义如下分布:

定义一个算法\mathcal{A}攻破假设4的优势为:

定义4 对于任何多项式时间算法\mathcal{A},如果Adv4_{\mathcal{G},\mathcal{A}}(\lambda )\lambda的可忽略函数,我们都说\mathcal{G}满足假设4

以上的数学难题假设,都是对合数阶双线群构造的基于属性加密方案的安全性证明的重要支柱,并且在很难找到群阶N的非平凡因子假设下,作者证明了四个具体假设是通用性安全的,在这里不多做赘述。

原文见 "Decentralizing Attribute-Based Encryption" 作者为: Allison Lewko ,Brent Waters

链接:https://dl.acm.org/doi/10.5555/2008684.2008727

  • 5
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值