RO-CP-ABE方案安全性证明

前言

继续做论文阅读笔记, 这篇是关于安全性证明的, 安全性证明一般是云数据安全论文的最硬核的部分, 不过一般也有固定模式, 所以有必要彻底搞懂一篇论文的安全性证明过程.
上一篇笔记见
RO-CP-ABE方案系统

安全模型

证明方案可以抵抗用户合谋攻击, 定义敌手可询问2种密钥:

1. 已撤销用户的私钥
2. 未撤销用户的私钥

(就是撤销用户和未撤销用户的合谋攻击, 可以相互通信私钥

证明

概念定义
$f(S,(M,\rho ))$ 函数是描述属性集是否符合访问结构
$f(S,(M,\rho ))=1$ 表示属性集满足访问结构, $\ne 1$ 表示不满足

1 初始化
$\mathcal{A}$选择挑战属性Type-I和挑战访问结构$(M^{\ast },{\rho }^{\ast })$发送给$\mathcal{B}$

2 系统建立
$\mathcal{B}$运行AASetup, DSMSetup得到PK, MSK, DPK, DSK. $\mathcal{B}$更新关联属性$at{t}^{\ast }$的密钥对$\overline{DPK},\overline{DSK}$发送给$\mathcal{A}$.
($\mathcal{B}$看作是扮演AA和DSM的角色, 给恶意用户$\mathcal{A}$提供服务.

3 询问阶段 1
分两种私钥询问, 注意对比
(1) Type-I私钥询问$<u_I,S_I>$: 用户$u_I$属性集$S_I$满足访问结构$(M^{\ast },{\rho }^{\ast })$, 但属性$at{t}^{\ast }$已被撤销. $\mathcal{B}$运行AAKeyGen, DSMKeyGen, 得到$R{K}_I,S{K}_I,KE{K}_I$并发送给$\mathcal{A}$
(2) Type-II私钥询问$<u_{II},S_{II}>$: 用户$u_{II}$属性集$S_{II}$不满足访问结构$(M^{\ast },{\rho }^{\ast })$, 但拥有属性$at{t}^{\ast }$. $\mathcal{B}$运行AAKeyGen, DSMKeyGen, 得到$R{K}_{II},S{K}_{II},KE{K}_{II}$并发送给$\mathcal{A}$
(可以看成有两类用户可供$\mathcal{A}$进行私钥询问, 第一类Type-I, 是满足访问结构但是属性已经撤销的, 第二类Type-II, 是不满足访问结构, 但是属性集里还有挑战属性$at{t}^{\ast }$的, 需要理解属性撤销对象是对单个用户而言的, 撤销用户P的属性, 不会影响用户Q的属性.

4 挑战阶段
$\mathcal{A}$给$\mathcal{B}$发送2个等长消息$m_0,m_1$. $\mathcal{B}$选择随机值 b ∈ { 0 , 1 } b \in \{0, 1\} b∈{0,1}, 运行Encrypt, DSMEncrypt得到密文头$Hd{r}^{\ast }$, 最终密文$C{T}_b^{\ast }$发送给$\mathcal{A}$

5 询问阶段 2
同询问阶段 1, $\mathcal{A}$做两种私钥询问

6 猜测阶段
$\mathcal{A}$输出 b ′ ∈ { 0 , 1 } b' \in \{0, 1\} b′∈{0,1}. 如果 $b^{\prime }=b$ 则$\mathcal{A}$攻破方案. 攻破方案的优势定义为
$Ad{v}_{\mathcal{A}}=|Pr[b^{\prime }=b]-\frac{1}{2}|$

安全性证明

定理

若CDH假设在群G中成立, 则没有多项式时间敌手能够攻破RO-CP-ABE方案, 挑战矩阵设为$M^{\ast }(l^{\ast }\times n^{\ast })$

CDH假设
给定三元组$(g,g^a,g^b)\in G^3$, 其中$a,b\in Z_p^{\ast }$且未知, 要求计算$g^{ab}$的值. 设敌手$\mathcal{A}$成功计算出$g^{ab}$的概率是$Ad{v}_A^{CDH}=|Pr[\mathrm{A}(g^a,g^b)=g^{ab}]|\le \epsilon$. 如果$\epsilon$是可忽略的, 则称CDH问题是$\epsilon -$困难的.

证明

$\mathcal{A}$进行$q_I$次Type-I询问, $q_{II}$次Type-II询问, 攻破方案的优势不可忽略为$\epsilon =Ad{v}_{\mathcal{A}}$. 则可以构造一个$\mathcal{B}$能够以不可忽略优势$Ad{v}_{\mathcal{B}}=\frac{\epsilon }{q_I{q}_{II}}$攻破CDH假设. (反证法, 先设定CDH假设成立, 如果$\mathcal{A}$能轻易攻破方案, 若证明$\mathcal{B}$也能轻易攻破CDH假设, 则推出矛盾, 所以就完成证明, 即$\mathcal{A}$不能轻易攻破方案.

初始化
$\mathcal{A}$选择挑战属性$at{t}_x^{\ast }$和挑战访问结构$(M^{\ast },{\rho }^{\ast })$发送给$\mathcal{B}$, 若$at{t}_x^{\ast }\notin S$, 则一定有S不满足访问结构$(M^{\ast },{\rho }^{\ast })$, $f(S,(M,\rho ))\ne 1$. 同时挑战者$\mathcal{A}$把$A=g^{z_1},B=g^{z_2}$发送给仿真者$\mathcal{B}$.

系统建立
$\mathcal{B}$生成阶为素数p的循环群$G,G_T$, g是G的生成元, 选取随机数$\alpha ,a\in Z_p,h_1,h_2,...,h_n\in G$. 则系统的主私钥 MSK = $g^{\alpha }$, 系统公钥 MPK = $(g,e(g,g{)}^{\alpha },g^a,h_1,h_2,...,h_n)$.
$\mathcal{B}$为每一个$at{t}_i$选择一个随机指数$t_i\in Z_p$计算$T_i=g^{t_i}$. ($1\le i\le n,i\ne x$)
对挑战属性$at{t}^{\ast }$, 随机选择$t_x^{\ast }\in Z_p$, 计算$T_x^{\ast }=g^{t_x^{\ast }}$.
输出的DSM的公钥, 主私钥分别为
D P K = { T i ∣ 1 ≤ i ≤ n , i ≠ x } ∪ { T x ∗ } DPK = \{T_i | 1 \leq i \leq n, i \neq x\} \cup \{T_x^*\} DPK={Ti​∣1≤i≤n,i​=x}∪{Tx∗​}
D S K = { t i ∣ 1 ≤ i ≤ n , i ≠ x } ∪ { t x ∗ } DSK = \{t_i | 1 \leq i \leq n, i \neq x\} \cup \{t_x^*\} DSK={ti​∣1≤i≤n,i​=x}∪{tx∗​}
设定理论值$\overline{t_x^{\ast }}=z_1{t}_x^{\ast }$, $\mathcal{B}$实际是不知道$z_1$, 所以这是一个理论值计算不出来. (但有用
$\mathcal{B}$更新$at{t}_x^{\ast }$的密钥对$\overline{T_x^{\ast }}=(T_x^{\ast }{)}^{z_1}=A^{t_x^{\ast }}$, 更新DSM的公钥和主私钥
D P K ‾ = { T i ∣ 1 ≤ i ≤ n , i ≠ x } ∪ { T x ∗ ‾ } \overline{DPK} = \{T_i | 1 \leq i \leq n, i \neq x\} \cup \{\overline{T_x^*}\} DPK={Ti​∣1≤i≤n,i​=x}∪{Tx∗​​}
D S K ‾ = { t i ∣ 1 ≤ i ≤ n , i ≠ x } ∪ { t x ∗ ‾ } \overline{DSK} = \{t_i | 1 \leq i \leq n, i \neq x\} \cup \{\overline{t_x^*}\} DSK={ti​∣1≤i≤n,i​=x}∪{tx∗​​}

询问阶段 1
$\mathcal{B}$设置2个列表$L_I$和$L_{II}$, 并初始化2个列表为空.
(1) Type-I私钥询问$<u_I,S_I>$:
用户$u_I$属性集$S_I$满足访问结构$(M^{\ast },{\rho }^{\ast })$, 但属性$at{t}^{\ast }$已被撤销.
$\mathcal{B}$分两种情况处理, 检查列表$L_I$里是否有$u_I$用户:

• 有, 则将{$R{K}_I,S{K}_I,KE{K}_{S_I}$}发送给$\mathcal{A}$
• 无, 则执行
  • 随机选择$r_1,\lambda \in Z_p$, 计算$K=g^{\alpha \lambda }{B}^{a{r}_I\lambda }=g^{(\alpha +a{z}_2{r}_I)\lambda },L=B^{r_I\lambda }=g^{z_2{r}_I\lambda }$.
  • 对于$at{t}_i\in S_I,i\ne x$, 计算$K_i=h_i^{r_I\lambda },ke{k}_i=T_i^{r_I\lambda }$, ${\phi }_i=Path(u_I)\cap Mincs(G_i)$, $KE{K}_i=(ke{k}_i{)}^{\frac{1}{{\theta }_j}}=g^{\frac{t_i{r}_{id}\lambda }{{\theta }_j}}$.
  • 对于$at{t}_x^{\ast }$, 计算$K_x^{\ast }=h_x^{z_2{r}_I\lambda }=B^{z_2{r}_I\lambda },ke{k}_x^{\ast }=(T_x^{\ast }{)}^{z_2{r}_I\lambda }=B^{t_x^{\ast }{r}_I\lambda }$, 然后随机选择${\theta }^{\ast }\in Path(u_I)$计算$KE{K}_x^{\ast }=(ke{k}_x^{\ast }{)}^{\frac{1}{{\theta }^{\ast }}}=B^{\frac{t_x^{\ast }{r}_I\lambda }{{\theta }^{\ast }}}$.
  • 令 R K I = λ , S K I = ( K , L , K x ∗ , K i ) , a t t i ∈ S I , i ≠ x , K E K S I = ( { a t t x ∗ , v j ∗ , k e k x ∗ , K E K x ∗ } , { a t t i , v j , k e k i , K E K i } ) , i ≠ x RK_I = \lambda, SK_I = (K, L, K_x^*, {K_i}), att_i \in S_I, i \neq x, KEK_{S_I} = (\{att_x^*, v_j^*, kek_x^*, KEK_x^*\}, \{att_i, v_j, kek_i, KEK_i\}), i \neq x RKI​=λ,SKI​=(K,L,Kx∗​,Ki​),atti​∈SI​,i​=x,KEKSI​​=({attx∗​,vj∗​,kekx∗​,KEKx∗​},{atti​,vj​,keki​,KEKi​}),i​=x.
  • 在$L_I$中添加{$u_I,r_I,KE{K}_{S_I},S{K}_I,R{K}_I$}, 最后将{$R{K}_I,S{K}_I,KE{K}_{S_I}$}并发送给$\mathcal{A}$

(2) Type-II私钥询问$<u_{II},S_{II}>$:
用户$u_{II}$属性集$S_{II}$不满足访问结构$(M^{\ast },{\rho }^{\ast })$, 但拥有属性$at{t}_x^{\ast }$. $\mathcal{B}$将 { R K I I , S K I I , K E K S I I } \{RK_{II}, SK_{II}, KEK_{S_{II}}\} {RKII​,SKII​,KEKSII​​}并发送给$\mathcal{A}$
$\mathcal{B}$分两种情况处理, 检查列表$L_{II}$里是否有$u_{II}$用户:

• 有, 则将 { R K I I , S K I I , K E K S I I } \{RK_{II}, SK_{II}, KEK_{S_{II}}\} {RKII​,SKII​,KEKSII​​}发送给$\mathcal{A}$
• 无, 则执行
  • 随机选择$r_{II},\lambda \in Z_p$, 计算$K=g^{(\alpha +a{r}_{II})\lambda },L=g^{r_{II}\lambda }$.
  • 对于$at{t}_i\in S_{II},i\ne x$, 计算$K_i=h_i^{r_{II}\lambda },ke{k}_i=T_i^{r_{II}\lambda }$, ${\phi }_i=Path(u_{II})\cap Mincs(G_i)$, $KE{K}_i=(ke{k}_i{)}^{\frac{1}{{\theta }_j}}=g^{\frac{t_i{r}_{id}\lambda }{{\theta }_j}}$.
  • 对于$at{t}_x^{\ast }$, 计算$K_x^{\ast }=h_x^{r_{II}\lambda },ke{k}_x^{\ast }=(\overline{T_x^{\ast }}{)}^{r_{II}\lambda }=A^{t_x^{\ast }{r}_{II}\lambda }$, ${\phi }_i^{\ast }=Path(u_{II})\cap Mincs(G_x)$, 然后随机选择${\theta }_j^{\ast }\in {\phi }_x^{\ast }$, 计算$KE{K}_x^{\ast }=(ke{k}_x^{\ast }{)}^{\frac{1}{{\theta }_j^{\ast }}}=A^{\frac{t_x^{\ast }{r}_{II}\lambda }{{\theta }_j^{\ast }}}$.
  • 令 R K I I = λ , S K I I = ( K , L , { K i } a t t i ∈ S I I ) , K E K S I I = ( { a t t x ∗ , v j ∗ , k e k x ∗ , K E K x ∗ } , { a t t i , v j , k e k i , K E K i } ) , i ≠ x RK_{II} = \lambda, SK_{II} = (K, L, \{K_i\}_{att_i \in S_{II}}), KEK_{S_{II}} = (\{att_x^*, v_j^*, kek_x^*, KEK_x^*\}, \{att_i, v_j, kek_i, KEK_i\}), i \neq x RKII​=λ,SKII​=(K,L,{Ki​}atti​∈SII​​),KEKSII​​=({attx∗​,vj∗​,kekx∗​,KEKx∗​},{atti​,vj​,keki​,KEKi​}),i​=x.
  • 在$L_{II}$中添加{$u_{II},r_{II},KE{K}_{S_{II}},S{K}_{II},R{K}_{II}$}, 最后将{$R{K}_{II},S{K}_{II},KE{K}_{S_{II}}$}并发送给$\mathcal{A}$.

挑战阶段
$\mathcal{A}$给$\mathcal{B}$发送2个等长消息$m_0,m_1$. $\mathcal{B}$选择随机值 b ∈ { 0 , 1 } b \in \{0, 1\} b∈{0,1}, 运行Encrypt, DSMEncrypt得到密文头$Hd{r}^{\ast }$, 最终密文$C{T}_b^{\ast }$发送给$\mathcal{A}$.
选择随机向量$v=(s,y_2,y_3,...,y_n)\in Z_p^n$ 用于共享加密指数s.
计算 ${\lambda }_i=M_i^{\ast }v$, $M_i^{\ast }$是$M^{\ast }$的第$i$行分量. 计算每一个 $1\le i\le l$.
$C=m_{b}e(g,g{)}^{\alpha s}$
$C^{\prime }=g^s$
$C_i=g^{a{\lambda }_i}{h}_{\rho (i)}^{-s},1\le i\le l$
对于$at{t}_i\in (M^{\ast },{\rho }^{\ast }),i\ne x$, $\mathcal{B}$随机选择$k_i\in Z_p$, 计算 { C i ∗ = g a λ i h ρ ( i ) − s g k i } , 1 ≤ i ≤ l ∗ , i ≠ x \{C_i^* = g^{a\lambda_i}h^{-s}_{\rho(i)}g^{k_i}\}, 1 \leq i \leq l^*, i \neq x {Ci∗​=gaλi​hρ(i)−s​gki​},1≤i≤l∗,i​=x.
对于$at{t}_x^{\ast }\in (M^{\ast },{\rho }^{\ast })$, 计算$C_x^{\ast }=g^{a{\lambda }_x}{h}_{\rho (x)}^{-s}{g}^{k_x^{\ast }}=g^{a{\lambda }_x}{h}_{\rho (x)}^{-s}{A}^{k_x},(k_x^{\ast }=z_1{k}_x)$.
$\mathcal{B}$计算最终密文$C{T}_b^{\ast }=(C,C^{\prime },C_x^{\ast },C_i^{\ast }),1\le i\le l^{\ast },i\ne x$.
对于$at{t}_i\in (M^{\ast },{\rho }^{\ast })$, 执行$Mincs(G_i)$, 计算密文头
H d r ∗ = { { v j , E ( k i ) = g k i θ j t i } , v j ∈ M i n c s ( G i ) , 1 ≤ i ≤ l , i ≠ x { v j ∗ , E ( k x ∗ ) = g k x θ j ∗ t x ∗ } , v j ∗ ∈ M i n c s ( G x ) Hdr^* = \begin{cases} \{v_j, E(k_i) = g^{\frac{k_i \theta_j}{t_i}}\},\quad v_{j} \in Mincs(G_i), 1 \leq i \leq l, i \neq x \\[2ex] \{v^*_j, E(k_x^*) = g^{\frac{k_x \theta_j^*}{t_x^*}}\}, \quad v^*_j \in Mincs(G_x) \end{cases} Hdr∗=⎩⎪⎨⎪⎧​{vj​,E(ki​)=gti​ki​θj​​},vj​∈Mincs(Gi​),1≤i≤l,i​=x{vj∗​,E(kx∗​)=gtx∗​kx​θj∗​​},vj∗​∈Mincs(Gx​)​
最后$\mathcal{B}$将$(C{T}_b^{\ast },Hd{r}^{\ast })$发送给$\mathcal{A}$

询问阶段 2
同询问阶段 1, $\mathcal{A}$做两种私钥询问.

猜测阶段
$\mathcal{A}$输出 b ′ ∈ { 0 , 1 } b' \in \{0, 1\} b′∈{0,1}. 如果 $b^{\prime }=b$. 攻破方案的优势为$Ad{v}_{\mathcal{A}}=|Pr[b^{\prime }=b]-\frac{1}{2}|=\epsilon$.
仿真者$\mathcal{B}$从$L_I$, $L_{II}$中选择{$u_I,r_I,KE{K}_{S_I},S{K}_I,R{K}_I$}, {$u_{II},r_{II},KE{K}_{S_{II}},S{K}_{II},R{K}_{II}$}发送给$\mathcal{A}$, 作为私钥问询.
对于$at{t}_x^{\ast }$, 存在$L_I$中的{$S{K}_I,R{K}_I$}和$L_{II}$中{$KE{K}_{S_{II}},R{K}_{II}$}结合, 使得下式成立, 进而可以计算$g^{z_1{z}_2}$. (破解CDH假设的目的就是给定三元组$(g,g^a,g^b)\in G^3$, 其中$a,b\in Z_p^{\ast }$且未知, 要求计算$g^{ab}$的值. 这里证明过程就是设定了$A=g^{z_1},B=g^{z_2}$, 求$g^{z_1{z}_2}$.
$$\begin{gathered} \frac{(e(L,C_x^{\ast })e(K_x^{\ast },C^{\prime }){)}^{\frac{1}{R{K}_I}}}{(e(KE{K}_x^{\ast },E(k_x^{\ast })){)}^{\frac{1}{R{K}_{II}}}}= \\ \frac{e(B^{r_I},g^{a{\lambda }_x{h}_{\rho (x)}^{-s}{A}^{k_x}})e(B^{e_x{r}_I},g^s)}{e(A^{\frac{t_x^{\ast }{r}_{II}}{{\theta }_j^{\ast }}},B^{\frac{k_x{\theta }_j^{\ast }}{t_x^{\ast }}})}= \\ \frac{e(B^{r_I},g^{a{\lambda }_x}{A}^{k_x})e(B^{r_I},g^{-e_{x}s})e(B^{e_x{r}_I},g^s)}{e(A^{r_{II}},g^{k_x})}= \\ \frac{e(B^{r_I},g^{a{\lambda }_x})e(B^{r_I},A^{k_x})}{e(A^{r_{II}},g^{k_x})}= \\ e(B^{r_I},g^{a{\lambda }_x}) \end{gathered}$$
上式成立的充分必要条件是$A^{r_{II}}=g^{z_1{z}_2{r}_I}$. 则$\mathcal{B}$计算
$$g^{z_1{z}_2}=A^{\frac{r_{II}}{r_I}}=(KE{K}_x^{\ast }{)}^{\frac{{\theta }_j^{\ast }}{r_I{t}_x^{\ast }R{K}_{II}}},KE{K}_x^{\ast }\in KE{K}_{S_{II}}.$$
假设$\mathcal{A}$攻破方案总共进行了$q_I$次Type-I询问, $q_{II}$次Type-II询问, 则$\mathcal{B}$从{$u_I,r_I,KE{K}_{S_I},S{K}_I,R{K}_I$}, {$u_{II},r_{II},KE{K}_{S_{II}},S{K}_{II},R{K}_{II}$}选择正确的概率是$\frac{1}{q_I{q}_{II}}$. 所以$\mathcal{B}$攻破CDH假设的优势为$Ad{v}_{\mathcal{B}}=\frac{\epsilon }{q_I{q}_{II}}$. 所以$\mathcal{B}$仍有不可忽略优势攻破CDH假设, 与前提CDH假设成立不符, 所以$\mathcal{A}$没有不可忽略优势攻破方案, 则方案安全性得证.