图文解析Song首次提出的对称可搜索加密方案---《Practical Techniques for Searches on Encrypted Data》

对称可搜索加密

本文是对Song等人首次提出的可搜索加密方案Practical Techniques for Searches on Encrypted Data中的四个方案进行图文式的演示，具体预备知识以及文章方案译文请参照该文章。

接下来直接上方案

---

方案一

加密方案如图所示，加密过程为：

1、Alice首先将每一个文件都分解成 l 块

2、Alice使用为随机值<$S_1,S_2,...,S_l$>以及自己选择的一系列密钥<$k_1,k_2,...,k_l$>对每一"块"进行加密

注意：

• <$S_1,S_2,...,S_l$>和伪随机置换函数$F$是公开的
• 不同文件之间的$W_1$这些块是不同的，1 只是该word在文件中的位置，所以加密的具体细节为：
  • 每一个文件的相同位置word不一定相同，但是加密时使用的 $T_i$ 是相同的

3、Bob解密时需要所有的$K_i$，对文件中的块进行序列扫描，每到一个块就进行计算 $C_i\oplus W$ ，看得到的$T_i$是否符合该位置通过$S_i,k_i$计算得到的$T_i$

注意：每个文件中相同位置的元素是不一定相同的，下标只代表该"块"在文件中的位置

缺点：通过该方式能实现可搜索加密，但是却要把所有密钥<$k_1,k_2,...,k_l$>和要搜索的word$W$都透露给Bob。这无异于将明文暴露给Bob(通过$k_i$计算出$T_i$，再与密文异或即可得出明文"块")

除非Alice能够知道$W$在每个文件中的位置：比如，只有三个文件，Alice知道在第一个文件中位置为3，第二个在7号位值，第三个里面没有该word，搜索的时候Alice只需要将$k_3,k_7$和$W$发送给Bob就行了，Bob使用将所有三个文件中的3和5号位置进行计算后即可.
计算可得

• 第一个文件$C_3\oplus W_3=<S_3,F_{k_3}(S_3)>$
• 第二个文件满足$C_5\oplus W_5=<S_5,F_{k_5}(S_5)>$
• 第三个文件两个都不满足
  最终可得三个文件中，前两个含有wordW。

但是Alice是不可能知道每个文件$W$所在的位置。

---

方案二

方案一中在搜索过程中Alice将所有$k_i$都泄露给了Bob，这是我们不想看到的，方案二只是将所有$k_i$的生成方式变换了一下，不再是Alice随机选取并保存，而是使用对应的$W_i$生成的：

$k_i$ = $f_{k^{\prime }}(W_i)$

这样的话只需要对$k^{\prime }$进行保密，加密方式同方案一
搜索时，将$W$以及其对应的$k_i$($k_i$是通过$W_i$计算出来的)发送给Bob，这样就成功解决了将所有密钥发送给Bob，Bob无法获得其他位置的信息。

如图所示
假设有两个文件，每个文件中都有三个关键词，这里和方案一的图有所不同，方案一种的图$W_i$中的下标 i 表示该word再文件中的位置，下图中的标号如下

• C/S的下标表示文件中的位置
• W/k的下标表示具体一个关键词，即第一个文件的第二个word和第二个文件的第一个word是相同的。在这种情况下加密后的密文如图所示。
  
  当需要搜索含有$W_3$的文件时，Alice将$W_3$和 $k_3$=$f_{k^{\prime }}(W_3)$发送给Bob，
  Bob对所有文件的所有密文进行解密：
  $C_i\oplus W_i=<S_i,F_{k_3}(S_i)>$
  如果文件中某个word符合该条件，则该文件包含又word $W_3$

注意

• Bob是不知道给的关键词和密钥是由$W_3$生成的，Bob只知道你给了一个word和密钥，所以要遍历来计算
• 只有进行计算的关键词为$W_3$才能得到该等式，因为$k_3$是由$W_3$生成的，加密是该密文是由$k_3$进行加密的

该方案保证了只需要给Bob传递对应密钥即可，并且Bob永远得不到其他位置word的任何信息，但是仍然将搜索的word 的明文暴露给了Bob

方案三

方案二中Alice搜索时依然将明文的word暴露给了Bob，接下来继续改进，使得不会讲明文暴露给Bob，即将铭文进行隐藏起来----隐式搜索
加密算法中将

$C_i=W_i\oplus <S_i,F_{k_3}(S_i)>$

中的$W_i$进行加密得到

$X_i=E_{k^{\prime \prime }}(W_i)$，其中$E_{k^{\prime \prime }}$为确定性加密算法如AES,DES等

加密算法改为

$C_i=X_i\oplus <S_i,F_{k_3}(S_i)>$

加密解密算法与方案二相同，只不过将其中的$W_i$改为$X_i$即可

---

方案四

方案三做到了隐藏查询和控制查询，
但是有一个问题，即及解密时
Alice将$X_i$和$k_i$发送给Bob时，Bob搜索到一个文件后将包含$C_i$的文件返回给Alice，Alice怎么进行解密呢？

• 方案三中加密为 $C_i=X_i\oplus <S_i,F_{k_3}(S_i)>$
• 得到的文件是整个文件，即文件密文包含多个密文"块"，<$C_1,C_2,C_3$>
• 假设刚刚我们通过<$X_3,k_3$>进行搜索，那么我们仅仅知道这些文件密文"块"中包含我们要查找的所有密文块，但是我们并不知道在哪一个位置
• 并且要得到明文文件必须将所有密文快进行解密

假设对于密文$C_i$，我们并不知道它是由哪个word$(W_j)$加密的到的，所以得不到$k_j$，从而得不到<$S_i,F_{k_j}(S_i)$>，所以无法通过异或得到$X_i$，最终无法得到明文。
方案二相同，也得不到密文快是哪一个word进行加密的到的
而方案一的$k_i$和word没有关系，和文件密文块位置有关系，所以是可以进行解密的

这就意味着合法用户自身也无法得到密文文件，这违背了密码学的原则
方案四便是解决这个问题

$k_i$不再使用$k_i$ = $f_{k^{\prime }}(W_i)$来生成

• 将$X_i$划分为左右两部分，即$X_i=(L_i,R_i)$，其中$L_i$的长度和$S_i$相同，$R_i$的长度与$F_{k_j}(S_i)$相同
• $k_i$使用$X_i$的左半部分$L_i$；来生成

$k_i=f_{k^{\prime }}(L_i)$

此时，加密算法仍然为

$C_i=X_i\oplus T_i=<L_i,R_i>\oplus <S_i,F_{k_j}(S_i)>$

当解密时，只需要截取$C_i$与$S_i$相同的长度$C_{L_i}$，可以得到

$L_i=C_{L_i}\oplus S_i$

从而得到$k_i$

$k_i=f_{k^{\prime }}(L_i)$

不用知道word是哪一个，只需要知道$C_i$的左半部分就可以通过$S_i$得到$X_i$的左半部分，从而求出该位置的密钥，进而解密出明文块

这就是提出的对称可搜索加密的方案，当然存在一定功能和安全上的问题，后续就展开了对SSE各方面的研究

接下来会出第一篇非对称可搜索加密的方案Dan Boneh首次提出非对称可搜索加密方案—《Public Key Encryption with Keyword Search》