5、抗入侵公钥加密方案详解

抗入侵公钥加密方案详解

1. 方案直觉

为简化讨论，假设总时间段数 $N$ 是 2 的幂，即 $N = 2^ℓ$。我们可以想象一棵高度为 $ℓ$ 的满二叉树，根节点标记为 $\epsilon$（表示空字符串）。若深度小于 $ℓ$ 的节点标记为 $w$，则其左子节点标记为 $w0$，右子节点标记为 $w1$。用 $\langle t \rangle$ 表示整数 $t$ 的 $ℓ$ 位表示（其中 $0 \leq t \leq 2^ℓ - 1$），树的叶子节点（标记为长度为 $ℓ$ 的字符串）与连续的时间段一一对应，即时间段 $t$ 与标记为 $\langle t \rangle$ 的叶子节点相关联。为简便起见，我们将标记为 $w$ 的节点简称为“节点 $w$”。

每个节点 $w = w_1 \cdots w_j$ 都有一个关联的“秘密点” $S_w \in G_1$，所有内部节点还有一个关联的“平移点” $Q_w \in G_1$。对于所有节点，我们有“本地秘密密钥” $sk_w = (S_w, Q_w)$，其中 $Q_w = (Q_{w_1}, \cdots, Q_{w_1 \cdots w_{j - 1}})$。需要注意的是，平移点虽然对高效解密是必要的，但不需要保密。

这些密钥具有以下特性：
1. 要解密在时间段 $t$ 内使用公钥 $PK$ 加密的消息，仅需要密钥 $sk_{\langle t \rangle}$。
2. 给定密钥 $sk_w$，可以高效地推导出密钥 $sk_{w0}$ 和 $sk_{w1}$。
3. 给定公钥 $PK$ 和时间段 $t$，在没有 $\langle t \rangle$ 的所有前缀 $w$ 对应的密钥 $sk_w$