45、基于决策线性假设与Paillier加密的公钥加密及同态秘密共享方案

基于决策线性假设与Paillier加密的公钥加密及同态秘密共享方案

1. 基于决策线性假设的SIM - SSO - CPA安全构造

1.1 决策线性假设

Boneh、Boyen和Shacham首次提出了决策线性假设。设 $G_{DLIN}$ 是一个概率多项式时间（PPT）算法，它以安全参数 $1^{\lambda}$ 为输入，输出一个元组 $(p, G, g)$，其中 $p$ 是素数，$G$ 是阶为 $p$ 的循环群，$g$ 是 $G$ 的随机生成元。决策线性假设的定义如下：

对于所有的PPT敌手 $A$，有
[
\left| \Pr[(p, G, g) \leftarrow G_{DLIN}(1^{\lambda}); x, y \leftarrow \mathbb{Z} p^ ; r, s \leftarrow \mathbb{Z} p : A(g, g^x, g^y, g^{xr}, g^{ys}, g^{r + s}) = 1] - \Pr[(p, G, g) \leftarrow G {DLIN}(1^{\lambda}); x, y \leftarrow \mathbb{Z}_p^ ; r, s, d \leftarrow \mathbb{Z}_p : A(g, g^x, g^y, g^{xr}, g^{ys}, g^d) = 1] \right|
]
是可忽略的，则称决策线性假设对于生成器 $G {DLIN}$ 成立。

1.2 构造过程

1.2.1 密钥生成算法