39、去中心化多客户端功能加密的最优安全概念

去中心化多客户端功能加密的最优安全概念

1. 引言

多输入功能加密（MIFE）和多客户端功能加密（MCFE）及其去中心化变体受到了密码学界的广泛关注。它们是对功能加密原语的扩展，在加密过程中，将单个输入 $x$ 拆分为输入向量 $(x_1, …, x_n)$，各个组件可以独立加密，可能由不同的发送者或客户端完成。每个组件有一个索引 $i$，以及一个（通常基于时间的）标签 $tag$，用于每次加密 $c_i = Enc(i, tag, x_i)$。拥有 $n$ 元函数 $f$ 的功能解密密钥 $dk_f$ 的人，可以从相同标签 $tag$ 下的 $n$ 个加密组件中计算出 $f(x_1, …, x_n)$，但无法获取各个 $x_i$ 的其他信息。本文聚焦于最通用形式的 MCFE，即去中心化 MCFE 的标准和最优安全模型。

2. 先前的（D）MCFE 模型

• 腐败模型 ：在先前的（D）MCFE 中，由于采用确定性加密，每个客户端的每个组件 $c_i$ 的加密需要一个私钥 $ek_i$。同时，多个客户端参与生成解密功能密钥，并且拥有秘密密钥 $sk_i$，这些密钥都可能被破坏。Chotard 等人提出的腐败模型是，当攻击者破坏客户端 $i$ 时，会同时获得 $(sk_i, ek_i)$。然而，这不符合现实情况，因为加密密钥 $ek_i$ 和秘密密钥 $sk_i$ 可能有不同的保护级别，并且存储在不同设备上。实际上，在先前的内积 $f_y(x) = \langle x, y \rangle$ 的 DMCFE 构造中，$sk_i$ 和 $ek_i$ 的数量相等，且大多数情况下，$sk_i$ 要么包含在 $ek_i$ 中，要么二者相同。