43、标准模型下强安全的无证书加密方案解析

标准模型下强安全的无证书加密方案解析

1. 无证书加密安全模型概述

无证书加密方案的安全性有不同的模型，其中AdvCL - CCA - II A(k)可忽略。在II型模型中，辅助信息aux等于主私钥msk，即攻击者A1将主私钥作为额外输入。

II型安全的定义最初由相关研究提出，它只涵盖了诚实但好奇的密钥生成中心（KGC）。而另一种定义尝试对能恶意生成主公私钥的KGC进行安全建模，但现有的方案在这种模型下并不安全。不过，原始的安全模型仍具有重要的安全意义，设计符合原始定义的安全标准模型方案是无证书加密理论的重要进展。并且，假设KGC在密钥生成时诚实，在后续被攻破时删除关键信息并非不切实际。同时，用已知证明技术证明方案对恶意密钥生成中心和外部攻击者的安全性，且在标准模型下使用强解密预言机，是比较困难的。

无证书加密方案若同时具备强I型和强II型安全性，则被称为强安全；若对不进行解密预言机查询的攻击者具备强I型和强II型安全性，则被称为被动安全。

2. 通用构造方法

通用构造是从被动安全的无证书加密方案、被动安全的公钥加密方案和非交互式零知识证明系统构建强安全的无证书加密方案。这是通过将Naor - Yung和Sahai的思想应用到无证书场景实现的。由于模拟器需要能够解密使用任意公钥加密的密文，所以该构造比公钥加密情况稍复杂。

2.1 相关定义

• NP语言 ：语言L ∈ {0, 1}∗是NP语言（L ∈ NP），若存在一个关于其第一个输入为多项式时间的（确定性）图灵机R，满足：x ∈ L ⇔ ∃w ∈ {0, 1}∗使得R(x, w) = 1。 </