来自 Weil 配对的基于身份的加密

1导言

1984年，Shamir[27]提出了一种公钥加密方案，其中公钥可以是任意字符串。在这种方案中有四种算法：（1）setup生成全局系统参数和主密钥，（2）extract使用主密钥生成与任意公钥字符串ID对应的私钥isin; {0,1}lowast;, （3） encrypt使用公钥ID对消息进行加密，（4）使用相应的私钥对消息进行解密。

Shamir基于身份加密的最初动机是简化电子邮件系统中的证书管理。当Alice在发送邮件给Bob时bob@hotmail.com她只是用公钥字符串加密她的信息”bob@hotmail.com”. Alice不需要获得Bob的公钥证书。当Bob收到加密邮件时，他会联系第三方，我们称之为私钥生成器（PKG）。Bob向PKG进行身份验证的方式与向CA进行身份验证并从PKG获取私钥的方式相同。然后鲍勃可以阅读他的电子邮件。请注意，与现有的安全电子邮件基础结构不同，Alice可以向Bob发送加密邮件，即使Bob尚未设置其公钥证书。还要注意，密钥托管是基于身份的电子邮件系统中固有的：PKG知道Bob的私钥。我们将在下一节讨论密钥撤销以及IBE方案的几个新应用。

自1984年提出该问题以来，已有多个IBE计划提案（例如[7,29,28,21]）。然而，这些都不是完全令人满意的。有些解决方案要求用户不要串通。其他解决方案要求PKG为每个私钥生成请求花费很长时间。有些解决方案需要防篡改硬件。可以说，构建一个可用的IBE系统仍然是一个有待解决的问题。有趣的是，Shamir[27]引入的基于身份的签名和认证方案的相关概念确实有令人满意的解决方案[11,10]。

本文提出了一种全功能的基于身份的加密方案。我们的系统的性能与F中的ElGamal加密的性能相当lowast;. 我们系统的安全性基于椭圆曲线上计算Diffie-Hellman假设的自然模拟。基于这个假设，我们证明了新系统在随机预言模型中选择了密文安全性。使用门限加密[14,15]中的标准技术，我们方案中的PKG可以分发，因此主密钥永远不会在单个位置可用。与普通阈值系统不同，我们证明了分布式PKG的健壮性是免费的。

我们的IBE系统可以从任何双线性映射e:G1times;G1→ G2， G1G2作为Gis中计算困难Hellman问题的一个变体。我们使用椭圆曲线上的Weil对作为这种映射的一个例子。直到最近，Weil配对主要用于攻击椭圆曲线系统[22,13]。Joux[17]最近表明，Weil配对可以用于“良好”的三方一轮Diffie-Hellman密钥交换协议中。Verheul[30]利用类似的思想，最近构建了一个ElGamal加密方案，其中每个公钥都有两个对应的私钥。除了基于身份的加密方案外，我们还展示了如何构造一个具有“内置”密钥托管的ElGamal加密方案，即一个全局托管密钥可以解密在任何公钥下加密的密文。

为了讨论IBE系统的安全性，我们定义了基于身份的加密的选择密文安全性。对于选定的密文安全性，我们的模型略强于标准模型[25,1]。在对公钥ID发起选定密文攻击时，攻击者可以向PKG请求某个公钥ID=6 ID的私钥。该私钥可能会帮助攻击者。因此，在选择的密文攻击过程中，我们允许攻击者获取其选择的任何公钥的私钥，而不是攻击者被质询的公钥。即使有了这些查询的帮助，攻击者在破坏系统的语义安全方面也应该具有微不足道的优势。

论文的其余部分组织如下。第1.1节讨论了基于身份的加密的几种应用。然后，我们在第2节中给出了精确的定义和安全模型。Weil配对的基本性质——足以理解我们的构造——在第3节中讨论。第4节介绍了我们主要的基于身份的加密方案。第5节考虑了一些扩展和变化（效率提高、主密钥分配）。第6节介绍了使用全局托管密钥进行ElGamal加密的构造。第7节讨论了结论和未决问题。

1.1基于身份的加密应用

基于身份的加密的最初动机是帮助部署公钥基础设施。在本节中，我们将展示其他几个不相关的应用程序。

公钥的撤销。公钥证书包含预设的到期日期。在IBE系统中，可以通过让Alice使用公钥加密发送给Bob的电子邮件来完成密钥过期：bob@hotmail.comk本年度”。这样，Bob只能在当年使用他的私钥。Bob每年需要从PKG获得一个新的私钥。因此，我们得到了年度私钥到期的效果。请注意，与现有PKI不同，Alice不需要在Bob每次刷新其证书时从Bob获取新证书。

通过使用“加密”为Bob加密电子邮件，有可能使这种方法更细粒度bob@hotmail.comk当前日期”。这迫使Bob每天获取一个新的私钥。这在PKG由公司维护的公司PKI中可能是可行的。使用这种方法，密钥撤销非常简单：当Bob离开公司并且需要撤销他的密钥时，公司PKG将被指示停止为Bob的电子邮件地址颁发私钥。有趣的特性是Alice不需要与任何第三方通信就可以获得Bob的每日公钥。这种方法使Alice能够向未来发送消息：Bob只能在Alice指定的日期解密电子邮件（有关使用更强大的安全模型向未来发送消息的方法，请参见[26,8]）。

解密密钥的委托。IBE系统的另一个应用是授权解密功能。我们给出了两个示例应用程序。在这两个应用程序中，用户Bob都扮演PKG的角色。Bob运行设置算法来生成自己的IBE系统参数params和自己的主密钥。这里，我们将参数视为Bob的公钥。Bob从CA获取其公钥参数的证书。当Alice希望向Bob发送邮件时，她首先获得Bob的公钥参数和公钥证书。

1.授权给笔记本电脑。假设Alice使用当前日期作为IBE加密密钥对发送给Bob的邮件进行加密（她使用Bob的参数作为IBE系统参数）。由于Bob拥有主密钥，他可以提取与此IBE加密密钥对应的私钥，然后解密消息。现在，假设鲍勃去旅行七天。通常，鲍勃会把他的私钥放在他的笔记本电脑上。如果笔记本电脑被盗，私钥就会被泄露。当使用IBE系统时，Bob只需在他的笔记本电脑上安装与七天旅行相对应的七个私钥。如果笔记本电脑被盗，只有这七天的私钥会被泄露。主钥匙没有损坏。这类似于Goldreich等人考虑的签名方案的委托场景。

2.职责的下放。假设Alice使用主题行作为IBE加密密钥对发送给Bob的邮件进行加密。鲍勃可以用他的主密钥解密邮件。现在，假设Bob有几个助手，每个助手负责不同的任务（例如，一个是“采购”，另一个是“人力资源”，等等）。Bob为每个助理提供一个私钥，对应于助理的职责。然后，每个助理都可以解密主题行在其职责范围内的消息，但不能解密用于其他助理的消息。注意，Alice只从Bob（params）获得一个公钥，她使用该公钥发送带有她选择的任何主题行的邮件。邮件只能由负责该主题的助理阅读。

更一般地说，IBE可以简化管理大量公钥的各种系统。系统可以从用户名派生这些公钥，或者只使用整数1，hellip;n作为不同的公钥，而不是存储一个大的公钥数据库。

2定义

令 G1 和 G2 是两个 q 阶循环群，它们对应于某个大素数 q。在我们的系统中，G1 是 Fp 上椭圆曲线的点群，G2 是 Flowast;p2 的子群。因此，我们将 G1 视为加法群，将 G2 视为乘法群。如果 circ;e(aP, bQ)=circ;e(P, Q)ab 对所有 P, Q isin; G1 和所有 a, b isin; Z，则称 G1 times; G1 → G2 映射是双线性的。 正如我们将在部分看到的3，Weil 配对是一个有效可计算的非退化双线性映射的例子。Weil Diffie-Hellman 假设（WDH）。我们的 IBE 系统可以从任何双线性映射 circ;e 构建：G1 times; G1 → G2 满足以下假设：没有有效的算法可以从 P, aP, bP, cP isin; G1 计算 circ;e(P, P)abc isin; G2其中 a, b, c isin; Z。这个假设在第 3 节中有精确定义。我们注意到这个 WDH 假设意味着 Diffie-Hellman 问题在 G1 组中很难。

基于身份的加密。基于身份的加密方案由四种随机算法：设置、提取、加密、解密：

设置：采用安全参数 k 并返回参数（系统参数）和主密钥。系统参数包括对有限消息空间 M的描述，以及有限密文空间 C 的描述。系统参数公开，主密钥公开仅适用于“私钥生成器”(PKG)。

提取：将主密钥和任意 ID isin; {0, 1}* 作为输入参数，并返回私钥 d。这里 ID 是将用作公钥的任意字符串，d 是相应的私钥解密。 Extract 算法从给定的公钥中提取私钥。

加密：输入参数，ID，Misin;M，返回密文Cisin;C

解密：作为输入参数，ID，Cisin; C、 和一个私钥d。它返回_Misin;M

这些算法必须满足标准的一致性约束，即当d是算法提取生成的私钥时，当ID作为公钥时，则

forall;M isin; M : Decrypt(params, ID, C, d) = M where C = Encrypt(params, ID, M)

选择密文安全。选择密文安全性（IND-CCA）是公钥加密方案可接受的标准安全概念[25,1,9]。因此，要求基于身份的加密方案也满足这种强烈的安全性概念是很自然的。然而，选择密文安全性的定义必须加强一点。原因是，当攻击者在基于身份的系统中攻击公钥ID时，攻击者可能已经拥有用户IDI的私钥。在这种攻击下，系统应保持安全。因此，所选密文安全性的定义必须允许攻击者获取与她选择的任何身份ID相关联的私钥（被攻击的公钥ID除外）。我们将此类查询称为私钥提取查询。另一个区别是，攻击者会根据自己选择的公钥ID（而不是随机公钥）受到质询。

外文原文资料信息

[1] 外文原文作者：Boneh D,Franklin M

[2] 外文原文所在书名或论文题目：Identity based encryption from the Weil pairing

[3] 外文原文来源：百度学术

出版社或刊物名称、出版时间或刊号、译文部分所在页码：无

网页地址： https://xueshu.baidu.com/usercenter/paper/show?paperid=3b87fffff3893e7e345a0de047310098

二、外文原文资料：

Identity-Based Encryption from the Weil Pairing

Dan Boneh^1[1] and Matt Franklin²

^{英语原文共 17 页，剩余内容已隐藏，支付完成后下载完整资料}

^{lt;a data-cke-saved-href='#footnote-2' href='#footnote-2' id='footnote-}

^{资料编号：[596183]，资料为PDF文档或Word文档，PDF文档可免费转换为Word}