34、动态通用累加器在双线性群上的密码分析

动态通用累加器在双线性群上的密码分析

1. 引言

密码累加器方案能够将一个可能非常大的集合的值聚合为一个短摘要，即累加器值。与哈希函数不同，累加器方案借助特殊的值“见证”，可以额外表明某个元素是否被累加。根据累加器的设计，见证分为成员见证（表明元素包含在累加器中）和非成员见证（表明元素不在累加器中）。支持这两种见证的累加器方案称为通用累加器，而能够动态添加和删除元素的则被称为动态累加器。

目前，文献中主要有三类累加器：设计在未知阶群中的方案、设计在已知阶群中的方案以及基于哈希的构造。本文聚焦于第二类中针对双线性群提出的一种通用方案——Au等人的动态通用累加器。该方案有α - 基构造和基于公共参考字符串（CRS）的构造两种变体。对于α - 基构造，其非成员机制存在微妙的密码学缺陷，攻击者只需获取几百到几千个非成员见证，就能有效恢复累加器管理者的秘密α，从而完全破坏方案的安全性。而且，仅需一个由该有缺陷机制生成的非成员见证，就能通过为非累加元素创建成员见证来破坏累加器的抗碰撞性。对于CRS - 基构造，如果管理者将CRS保密，攻击者获取足够多的见证后，能够重建CRS并为任意新元素计算见证。

2. Au等人的动态通用累加器

Au等人提出了两种不同的动态通用累加器构造：
- α - 基构造 ：适用于集中式实体，该实体可高效更新累加器值并向用户发放见证。
- CRS - 基构造 ：允许在不了解α的情况下更新累加器值并发放见证，但效率较低。

下面以Type - I椭圆曲线为例详细说明该累加器方案：
- 生成