9、加密内容分发中的隐私保护

加密内容分发中的隐私保护

1. 相关工作

在公钥环境下，密钥隐私的概念最早被正式提出。一个公钥加密系统如果其密文不会泄露被加密时所使用的公钥信息，那么它就是密钥隐私的。具体而言，当一个对手看到一个在两个公钥之一加密下的选定消息时，他无法（以不可忽略的优势）猜出是使用哪个公钥生成的密文。相关作者针对选择明文攻击（IK - CPA）和选择密文攻击（IK - CCA）下的密钥隐私给出了正式定义，并表明当公钥共享一个公共素数模时，ElGamal和Cramer - Shoup分别在这些定义下是安全的。

在构建私有广播加密系统时，会使用密钥隐私的公钥系统作为组件。不过，使用IK - CCA安全的加密方案直接构建私有广播加密方案，并不会得到一个能抵抗选择密文攻击的私有广播加密系统。

以往关于广播加密的工作主要集中在提高抗合谋性和减少密文长度上。而我们的工作重点在于维护用户的隐私，并不试图实现密文开销相对于用户数量呈亚线性的目标。目前，能否实现具有亚线性密文开销的私有广播加密系统仍是一个开放问题。

2. 私有广播加密

2.1 系统算法

私有广播加密系统由四个算法组成：
- Setup(λ) ：这是一个随机化算法，它根据安全参数λ生成系统的全局参数I。对于类似ElGamal的系统，全局参数I仅包含素数p和生成元g ∈ Zp，这使得每个用户可以单独生成自己的公私钥对。
- Keygen(I) ：随机化算法，从全局参数I生成公私钥对(pk, sk)。
- Encrypt(S, M) ：随机化算