16、基于属性加密与访问控制的安全方案解析

基于属性加密与访问控制的安全方案解析

1. 密码学假设

在给定 $(g, f, h, f^{r_1}, g^{r_2}, Q)$ 的情况下，其中 $g, f, h, Q \leftarrow G$，$r_1, r_2 \leftarrow Z_p$，离散对数（DL）假设表明，任何概率多项式时间算法 $A$ 确定 $Q = h^{r_1 + r_2}$ 是否成立的优势在安全参数 $\ell$ 上最多是可忽略的。这里的“优势”定义为：
$|Pr[A (g, f, h, f^{r_1}, g^{r_2}, h^{r_1 + r_2}) = 1] - Pr[A (g, f, h, f^{r_1}, g^{r_2}, Q) = 1]|$

2. ZXA 方案的安全性

2.1 KP - ABKS 方案的选择性安全性

在随机预言模型下，给定 DL 假设和单向哈希函数 $H_2$，KP - ABKS 方案对选择关键字攻击是选择性安全的。
若存在一个概率多项式时间（PPT）敌手 $A$ 以优势 $\mu$ 赢得选择关键字攻击（SCKA）游戏，那么可以构造一个以优势 $\frac{\mu}{2}$ 解决 DL 问题的挑战者算法。
具体模拟过程如下：
1. 设置阶段 ：
- 挑战者设置 $g^a = h$ 和 $g^c = f$，其中 $a$ 和 $c$ 未知，选择 $d \rightarrow Z_p$ 并通过隐式定义 $b = cd$ 计算 $g^b = f^d = g^{cd}$。
- 设 $H_2$ 为单向哈希函数，公开参数 $pm = (e, g, p, h, f^d,