52、可合并功能加密：原理、方案与安全分析

可合并功能加密：原理、方案与安全分析

1. 引言

在加密领域，可合并功能加密（mFE）是一项重要的技术。它与其他加密方案如 MI - FE 存在本质区别。当使用 mFE 合并两个密文 $c_1$ 和 $c_2$ 时，就无法再恢复原始信息；而 MI - FE 允许对两个密文 $c_1$ 和 $c_2$ 计算函数 $f$，并且还可以将 $c_2$ 与任何其他密文 $c_3$ 交换，以对 $c_1$ 和 $c_3$ 计算 $f$。同时，目前还不清楚如何使用 MI - FE 进行重新加密以实现 mFE。

对于随机功能的功能加密，有基于模拟和基于不可区分性的两种概念。基于模拟的概念由于已知的不可能结果，只能在有限的设置中定义，并且为了在构建 mFE 中有用，需要将其推广到双输入，但这会导致更严重的不可能结果，因为它意味着 VBB 混淆。而基于不可区分性的概念仅限于统计上不可区分的分布，因此排除了重新加密功能。

目标可塑性限制了对加密数据可以执行的同态操作集，但不提供功能特性。Gentry 等人构建的基于属性的加密（ABE）方案具有完全同态属性，但该方案中密文与对 $(m, x)$ 相关联，其中 $x$ 是公开的，只有 $m$ 是隐藏的，且系统只允许对 $m$ 进行同态操作，与我们讨论的 mFE 方案不可比。

2. 定义

2.1 功能加密

功能加密（FE）方案是一种加密方案，主密钥的所有者可以计算受限密钥（称为令牌），这些令牌允许对与密文关联的明文计算功能。在本文中，我们考虑图灵机（TMs）的 FE，并假设读者熟悉相关内容。我们采用标准的 FE 方案定义及其基于不可区分性的安全性定义。

2.2 可合并功