20、可审计隐私：防篡改混合网络解析

可审计隐私：防篡改混合网络解析

1. 信任假设与关注点说明

在探讨防篡改混合网络之前，有两个关于服务器的信任假设需要明确。在防篡改证据方面，我们假定服务器在密钥生成阶段是诚实的，即未被破坏。但从协议健壮性角度来看，我们不做此假设，这意味着即便服务器在密钥生成阶段被破坏，协议依然能保持健壮，不过防篡改证据方面则无法保证。另外，后续内容主要聚焦于如何让重加密混合过程具备防篡改特性，对于涉及重加密混合网络的大多数应用中存在的输出密文解密阶段，可假设在警报情况下，相关权限方能够依据特定技术阻止该功能，前提是在混合阶段检测到异常时能立即断开足够数量的解密服务器。

2. 重加密混合网络概述

基于ElGamal密码系统的重加密混合网络主要包含以下几个阶段：
- 密钥生成 ：选取素数 (p) 和 (q)，满足 (q | (p - 1))，并在 (Z_p^ ) 中选取阶为 (q) 的元素 (g)，使得基于 (g) 定义的ElGamal密码系统在语义上能抵御明文攻击和自适应选择明文攻击。采用 ((t, l)) - 门限加密方案，将秘密密钥在 (l) 个混合服务器间共享。对于第 (i) 个混合服务器 (S_i)，其秘密密钥为 (x_i \in Z_q^ )，公开密钥为 (y_i = g^{x_i} \mod p)，令 (y = \prod_{i = 1}^{l} y_i \mod p)。
- 批量生成 ：用户 (U_j) 的明文输入为 (m_j)（(j = 1, \cdots, n)），其ElGamal加密形式为 (Enc(m_j, r_j) \triangleq (g^{r_j}