25、具有恒定大小密文的改进广播加密方案

具有恒定大小密文的改进广播加密方案

1. 引言

广播加密方案允许广播者向大量用户发送消息。广播者可以从用户集合 $U$（$n = #U$）中选择特权用户子集 $S$，同时存在被撤销用户集合 $R$（$r = #R$）。广播协议在 $(t, n)$ - 共谋下是安全的，即当 $r \leq t$ 时，被撤销用户无法解密。

广播加密协议常用于付费电视系统、内容广播和无线电系统中的空中重密钥机制（OTAR）。内容先使用私钥加密，私钥再按特定协议加密，加密数据会添加包含加密会话密钥和 $S$ 描述的开销。系统的约束因素包括带宽消耗（与开销大小 $\omega$ 相关）、发送者计算时间 $\tau_s$、公钥（私钥）内存 $PK_s$（$SK_s$）、用户（接收者）计算时间 $\tau_u$ 以及公钥（私钥）内存 $PK_u$（$SK_u$）。简单的解决方案是为每个用户加密一次会话密钥，这会导致带宽线性成本，因此人们提出了许多高效广播方案。

我们提出使用非对称配对 $e : G_1 \times G_2 \to G_T$ 来设计 BGW 协议，而非对称配对 $e : G \times G \to G_T$。这样 $G_1$ 中的元素在公钥密码学中有最优大小（例如 256 位），而不是 RSA 模数一半大小。我们调整协议，将不同元素（公钥、私钥、带宽元素）放到合适的组 $G_1$ 或 $G_2$ 中。在 128 位安全级下，带宽消耗降低为原来的 $\frac{1}{6}$。我们还会分析 Cheon 攻击对 $\ell$ - BDHE 的影响并提出抗性椭圆曲线，提供内存和预计算的有效权衡。

2. 使用非对称配对的 BGW

Boneh、Gentry 和