摘要
其他人正在查看的类似内容
关键词
1 介绍
1.1 我们的贡献和技术
定理1
1.2 相关工作
2 前期工作
2.1 子集总和
引理1
引理2
引理3
2.2 基于标记的加密
-
\(\mathsf{Gen}(1^n)\) :输出密钥 \(sk\) 和公钥 \(pk\) . -
\(\mathsf{Enc}(pk,\tau,M)\) :输出密文 C类 对于 \(M\in\mathcal{M}\) 、和标记 \(\套\) \(\ in \) \(\mathcal{T}\) . -
\(\mathsf{Dec}(sk,\tau,C)) :输出解密的消息 \(M\) 密文的 C类 关于标签 \(tau\in\mathcal{T}\) ,或无效符号 \(\机器人\) .
-
1 对手 \(\mathsf{A}\) 选择标记 \(\tau^*\在\mathcal{T}\中) . -
2 运行 \((sk,pk)\leftarrow\mathsf{Gen}(1^n)\) .对手 \(\mathsf{A}\) 接收公钥 \(pk\) 并获得对输出的oracle的永久访问权限 \(\mathsf{Dec}(sk,\tau,C)) 根据表单的输入请求 \(\mathsf{QueryDec}(C,\tau)\) 为所有人 \(\tau\ne\tau^*\) 、和 \(\perp\) 否则。 -
三。 \(\mathsf{A}\) 选择 \(M _0\) 和 \(M _1\) 从 \(\mathcal{M}\) 并接收 \(C\leftarrow\mathsf{Enc}(pk,\tau^*,M_u)\) 对于 \(u\左箭头\{0,1\}\) . -
4 最后 \(\mathsf{A}\) 输出 \(u'\) 和 \(\mathrm {G}_ {\mathrm{TBE}}\) 输出1 iff \(u'=u\) .
三 基于子集和的TBE
-
\(\mathsf{Gen}(1^n)\) :示例 \(\mathbf{R}\leftarrow\{0,1\}^{n\timesm}\) 和 \(\mathbf{A}\leftarrow\mathbbZ^{m\次n}_q\) , \(\mathbf{C}\leftarrow\mathbb Z^{\ell\times n}_q\) .定义 \(\mathbf{B}:=\mathbf{R}\mathbf-{A}\) 。私钥和公钥定义为 $$sk:=\mathbf{R},\quad pk:=(\mathbf{A},\tathbf{B},\fathbf}C})在{\mathbbZ}_q^{m\timesn}\times{mathbbZ}_qq^{n\timesn}\times{mathbb Z}_q ^{$$ -
\(\mathsf{Enc}(pk,\tau,M)\) :选取 \(\mathbf{R}'\leftarrow[-\sqrt{q}/2,\sqrt}q}/2]^{n\times m}\) , \(\mathbf{R}''\leftarrow[-\sqrt{q}/2,\sqrt{q}/2]^{\ell\times m}\) , \(\mathbf{s}\leftarrow\{0,1\}^n\) 并定义 $$\开始{aligned}\mathbf {c} _0(0) &:=\mathbf{A}\mathbf{s}+e(\mathbf{A},\mathbf{s})&\in{\mathbb Z}_q^m\\\\mathbf {c} _1个 &:=\left(\mathbf{B}+\frac{q}{2}\cdot\mathbf H_{tau}\right)\mathbf2}+\mathbf2{R}'\cdot e(\mathbf{A},\mathbf1{s})&\in{mathbbZ}_q^n\\mathbf {c} _2 &:=\mathbf{C}\mathbf{s}+\mathbf2{R}''\cdot e(\mathbf1{A},\mathbf2{s})+\frac{q}{2}\cdot M&\in{mathbbZ}_q^\ell\end{aligned}$$ 哪里 \(\mathbf H_{\tau}\) 是的矩阵表示 \(\套\) . -
\(\mathsf{Dec}(sk,\tau,C)) :计算 $$\begin{aligned}\hat{\mathbf{s}}:=&\left\lfloor\begin{pmatrix}\mathbf{R}&\mathbf1{I}\end{pmartrix}\cdot\begin\pmatrix}-\mathbf {c} _0(0) \\ mathbf {c}_ {1} \end{pmatrix}\right\rceil _2。 \结束{对齐}$$ 和 \(\mathbf{s}=\mathbf H_{\tau}^{-1}\hat{\mathbf2{s}}\) .如果 \(\mathbf {c} 0 \ne\mathbf{A}\odot\mathbf{s}\) 或 \(\Vert\mathbf {c} _1个- \左(\mathbf{B}+\frac{q}{2}\cdot\mathbf H_{tau}\right)\mathbf1{s}\Vert_\infty\ge\frac}{4}\) 输出 \(\perp\) 。否则输出消息 \(M=地板 {c} _2- \mathbf{C}\mathbf}\rceil_2\) .
3.1 正确性
定理2
证明
3.2 安全性证明
定理3
证明
-
1 \(\mathsf{D}\) 收到一个 \(\mathrm{SS}(n,q^m)\) 挑战 \((\mathbf{A},\mathbf{b})\) 并调用 \(\mathsf{A}\) 它会发送标签 \(\tau^*\在\mathcal{T}\中) . -
2 \(\mathsf{D}\) 样品 \(\mathbf{R}'\leftarrow[-\sqrt{q}/2,\sqrt}q}/2]^{n\times m}\) , \(\mathbf{R}''\leftarrow[-\sqrt{q}/2,\sqrt}q}/2]^{ell\times m}\) 和台 \(pk=(\mathbf{A},\mathbf{B}:=\mathbf{R}'\mathbf {答}- \裂缝{q}{2}\mathbf H_{tau^*},\mathbf{C}:=\mathbf1{R}''\mathbf2{A})\) 这是由引理决定的 2 在统计上接近的公开密钥的输出分布 \(\mathsf{Gen}\) .公钥 \(pk\) 被给予 \(\mathsf{A}\) . 因此, \(\mathsf{D}\) 使用 \(\mathbf{R}'\) 回应 \(\mathsf{QueryDec}(C,\tau)\) 查询如下:如果 \(\tau=\tau^*\) 输出 \(\perp\) 。否则 \(\mathsf{D}\) 使用 \(\mathsf{Dec}(\mathbf{R}',\tau,C)\) 重建: $$\hat{\mathbf{s}}:=\left\lfloor\begin{pmatrix}\mathbf{R}'&\mathbf1{I}\end{pmattrix}\cdot\begin{pmatricx}-\mathbf {c} _0(0) \\\数学BF {c}_ {1} \end{pmatrix}\right\rceil _2$$ 对于正确分布的 C类 , $$\begin{aligned}\hat{\mathbf{s}}=&\left\lfloor\left(\frac{q}{2}\cdot\mathbf H_{\tau}-\frac{q}{2}\ mathbfH_{\tau^*}\mod q\right)\mathbf2}\right\rceil_2&\=&\leth\lfloor \left hbf H_{\tau^*}\mod 2)\right)\mathbf{s}\right\rceil_2&=(\mathbf H_。 \结束{对齐}$$ \(\mathbf{s}\) 通过计算重建 \(\mathbf{s}=(\matHBfH_{\tau}-\mathbf H_{\t au^*})^{-1}\hat{\mathbf1{s}}\) .如果 \(\mathbf {c} _0(0) \ne\mathbf{A}\odot\mathbf{s}\) 或 \(\Vert\mathbf {c} _1个- \左(\mathbf{B}+\frac{q}{2}\cdot\mathbf H_{tau}\right)\mathbf1{s}\Vert_\infty\ge\frac}{4}\) 输出 \(\perp\) 。这确保了 \(\mathsf{QueryDec}(C,\tau)\) 独立于 \(\mathbf{R}'\) 有条件的 \(\mathbf{B}=\mathbf2{R}'\mathbf {答}- \frac{q}{2}\mathbf H_{\tau ^*}\) 和 C类 是一种适用于随机性的密码文本 \(\mathbf{s}\) . \(\mathsf{D}\) 下面是对 \(\mathsf{Dec}(\mathbf{R}',\tau,C)\) 根据定理 2 所有正确生成的 C类 和 \(\tau\ne\tau^*\) \(\mathsf{QueryDec}(C,\tau)\) 输出正确的消息 \(M\) . -
三。 \(\mathsf{A}\) 发送 \(M _0\) 和 \(M _1\) .现在 \(\mathsf{D}\) 样品 \(u\左箭头\{0,1\}\) ,台 \(C^*:=(\mathbf{b},\mathbf{R}'\mathbf1{b},\mathbf{R}''\mathbf2{b}+\frac{q}{2}M_u)\) ,并发送 \(C^*\) 到 \(\mathsf{A}\) . -
4 最后 \(\mathsf{A}\) 输出 \(u'\) 和 \(\mathsf{D}\) 输出1 iff \(u'=u\) .
4 结论和未决问题
笔记
1 显然,解密预言机无法查询挑战密文。 2 特别是对于消息长度 \(n^2) 方案[ 22 ]可以在多项式时间内中断。 三。 质询标记的解密查询 \(\套^*\) 不允许。 4 由于后一种概念是一种非常弱的泄漏恢复力形式,我们宁愿不制定细节。
工具书类
Agrawal,S.,Boneh,D.,Boyen,X.:标准模型中的有效晶格(H)IBE。 收录人:Gilbert,H.(编辑)EUROCRYPT 2010。 LNCS,第6110卷,第553-572页。 施普林格,海德堡(2010) Ajtai,M.,Dwork,C.:具有最坏情况/平均情况等效性的公钥密码系统。 收录:ACM STOC,第284–293页(1997年) Bernstein,D.J.、Jeffery,S.、Lange,T.、Meurer,A.:亚总和问题的量子算法。 收录人:Gaborit,P.(编辑)PQCrypto 2013。 LNCS,第7932卷,第16-33页。 斯普林格,海德堡(2013) Boneh,D.、Canetti,R.、Halevi,S.、Katz,J.:从基于身份的加密中选择密码文本安全。 SIAM J.计算。 36 (5), 1301–1328 (2007) Canetti,R.、Halevi,S.、Katz,J.:从基于身份的加密中选择密码文本安全。 摘自:Cachin,C.,Camenisch,J.L.(编辑)EUROCRYPT 2004。 LNCS,第3027卷,第207-222页。 斯普林格,海德堡(2004) Cash,D.,Kiltz,E.,Shoup,V.:孪生Diffie-Hellman问题及其应用。 J.加密。 22 (4), 470–504 (2009) Cramer,R.,Damgård,I.:关于零知识协议的摊销复杂性。 收录:Halevi,S.(编辑)《密码》2009。 LNCS,第5677卷,第177-191页。 斯普林格,海德堡(2009) Cramer,R.,Shoup,V.:一种实用的公钥密码系统,可证明其对自适应选择密文攻击是安全的。 收录:Krawczyk,H.(编辑)CRYPTO 1998。 LNCS,第1462卷,第13-25页。 施普林格,海德堡(1998) Cramer,R.,Shoup,V.:通用散列证明和自适应选择密文安全公钥加密的范例。 收录:Knudsen,L.R.(编辑)EUROCRYPT 2002。 LNCS,第2332卷,第45-64页。 斯普林格,海德堡(2002) Diffie,W.,Hellman,M.E.:密码学的新方向。 IEEE传输。 信息Theor。 22 (6), 644–654 (1976) Faust,S.,Hazay,C.,Venturi,D.:外包模式匹配。 收录人:Fomin,F.V.,Freivalds,R.,Kwiatkowska,M.,Peleg,D.(编辑)ICALP 2013,第二部分。 LNCS,第7966卷,第545-556页。 斯普林格,海德堡(2013) Flaxman,A.D.,Przydatek,B.:在预期多项式时间内解决中等密度子集和问题。 摘自:Diekert,V.,Durand,B.(编辑)STACS 2005。 LNCS,第3404卷,第305-314页。 斯普林格,海德堡(2005) 弗里兹,A.M.:关于子集和问题的Lagarias-Odlyzko算法。 SIAM J.计算。 15 (2) ,536–539(1986年) Goldwasser,S.、Micali,S.:概率加密。 J.计算。 系统。 科学。 28 (2), 270–299 (1984) Hofheinz,D.,Kiltz,E.,Shoup,V.:因式分解的实用选择密文安全加密。J.Cryptol。 26 (1), 102–118 (2013) Impagliazzo,R.,Naor,M.:有效的加密方案与子集和一样安全。 J.加密。 9 (4), 199–216 (1996) Kiltz,E.:从基于标记的加密中选择密码安全。 收录:Halevi,S.,Rabin,T.(编辑)TCC 2006。 LNCS,第3876卷,第581-600页。 斯普林格,海德堡(2006) Kiltz,E.、Masny,D.、Pietrzak,K.:来自低噪声LPN的简单选择文本安全。 摘自:PKC,第1-18页。 (2014年) Kirchner,P.,Fouque,P.:用于LWE的改进BKW算法,应用于密码学和格。 收录于:《密码》,第43-62页。 (2015) Lagarias,J.C.,Odlyzko,A.M.:解决低密度子集和问题。 美国临床医学杂志 32 (1), 229–246 (1985) Lyubashevsky,V.:噪声存在下的奇偶问题、随机线性码的解码以及子集和问题。 收录于:Chekuri,C.、Jansen,K.、Rolim,J.D.P.、Trevisan,L.(编辑)APPROX 2005和RANDOM 2005。 LNCS,第3624卷,第378–389页。 斯普林格,海德堡(2005) Lyubashevsky,V.,Palacio,A.,Segev,G.:公共密钥加密原语可证明与子集和一样安全。 收录:Micciancio,D.(编辑)TCC 2010。 LNCS,第5978卷,第382-400页。 斯普林格,海德堡(2010) Merkle,R.C.,Hellman,M.E.:在活动门背包中隐藏信息和签名。 IEEE传输。 信息Theor。 24 (5), 525–530 (1978) Micciancio,D.,Peikert,C.:格子的陷阱门:更简单、更紧密、更快、更小。 In:Pointcheval,D.,Johansson,T.(编辑)EUROCRYPT 2012。 LNCS,第7237卷,第700-718页。 斯普林格,海德堡(2012) Naor,M.,Segev,G.:抗密钥泄漏的公钥密码系统。 SIAM J.计算。 41 (4), 772–814 (2012) 奥德利兹科,A.M.:背包密码系统的兴衰。 摘自:应用数学研讨会,第75-88页。 (1990) Peikert,C.:最坏情况下最短向量问题中的公钥密码系统。 收录于:ACM STOC,第333–342页。 (2009年) Peikert,C.,Waters,B.:有损陷门函数及其应用。 SIAM J.计算。 40 (6), 1803–1844 (2011) Rackoff,C.,Simon,D.R.:非交互式零知识知识知识证明和选择密文攻击。 收录:Feigenbaum,J.(编辑)《密码》1991。 LNCS,第576卷,第433-444页。 斯普林格,海德堡(1992) Regev,O.:新的基于格的密码构造。 收录于:ACM STOC,第407–416页。 (2003) Regev,O.:关于格、错误学习、随机线性码和密码学。 美国临床医学杂志 56 (6), 1–40 (2009) Shallue,A.:稠密子集和问题的改进多集算法。 收录人:van der Poorten,A.J.,Stein,A.(编辑)ANTS-VII 2008。 LNCS,第5011卷,第416–429页。 斯普林格,海德堡(2008)
作者信息
作者和附属机构
通讯作者
编辑器信息
编辑和附属机构
权利和权限
版权信息
关于本论文
引用本文
下载引文
DOI程序 : https://doi.org/10.1007/978-3-662-49384-7_2 出版 : 发布者名称 : 施普林格、柏林、海德堡 打印ISBN : 电话:978-3-662-49383-0 在线ISBN : 978-3-662-49384-7