36、基于学习误差假设的分支程序可否认属性基加密方案解析

基于学习误差假设的分支程序可否认属性基加密方案解析

1. 可否认加密概述

可否认加密是一种强大的加密原语，它不仅能抵御语义安全所要求的窃听攻击，还能抵抗事后的强制攻击。在传统的通信场景中，Alice 与 Bob 进行私密通信，窃听者 Eve 可能在密文传输后，对 Alice 或 Bob 进行强制，要求他们透露明文、加密所用的随机硬币以及与密文相关的私钥等秘密信息。而一个安全的可否认加密方案需要在这种强制攻击下，保护 Alice 和 Bob 最初通信的敏感数据隐私，向 Eve 展示一个看似合理但实际上是虚假的明文。

历史上，可否认加密方案的构建极具挑战性。在标准假设下，早期的可否认公钥加密方案存在一定局限性。例如，Canetti 等人构建的发送方可否认公钥加密方案，其真实和虚假开启之间的区分优势是一个与公钥大小相关的逆多项式。直到 2011 年，O’Neill 等人提出了具有可忽略区分优势的双可否认公钥加密方案，既可以从可模拟的公钥加密方案通用构造，也可以直接基于学习误差（LWE）假设构建。然而，Bendlin 等人指出，任何非交互式公钥加密方案在可否认性实验中，接收方或双可否认性的区分优势都不可忽略。O’Neill 等人通过引入灵活模型绕过了这一不可能结果，在该模型中，私钥由中央密钥管理机构分发，当接收方被强制透露解密特定密文的密钥时，密钥管理机构会分发一个伪造密钥，接收方可以用它生成一个功能上与原密钥等效但在特定密文上表现不同的伪造密钥。

2. 可否认加密的发展与应用

可否认加密的概念在许多领域都展现出了重要的应用价值。例如，在泄漏弹性、协议的自适应安全以及可否认计算等方面，可否认加密都发挥着关键作用。一个双可否认加密方案不仅具有抗强制攻击的能力，还具有