基于weil對(duì)的身份加密

Weil配對(duì)實(shí)現(xiàn)基于身份加密背景介紹傳統(tǒng)的公鑰體制中公鑰是與身份無關(guān)的隨機(jī)字串，存在如何確認(rèn)公鑰真實(shí)性的問題，為此，公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）通過使用可信賴的第三方-——認(rèn)證中心（CertificationAuthority，CA）頒發(fā)公鑰證書的形式來綁定公鑰和身份信息。但是，PKI證書管理復(fù)雜，需要建造復(fù)雜的CA系統(tǒng)，證書發(fā)布、吊銷、驗(yàn)證和保存需要占用較多資源，這就限制了PKI在實(shí)時(shí)和低帶寬環(huán)境中的廣泛應(yīng)用。為了簡化公鑰證書的管理，Shamir創(chuàng)造性地提出了基于身份加密的概念。Identity-BasedEncryption2001年，Boneh和Franklin提出第一個(gè)實(shí)用的基于身份加密(IBE:IdentityBasedEncryption)方案，該方案是利用超奇異橢圓曲線上的雙線性對(duì)運(yùn)算(Weil對(duì))設(shè)計(jì)的，并且在隨機(jī)預(yù)言機(jī)模型下是完全身份安全（fullidentity）。完全身份安全(fullidentitysecurity):攻擊者在獲取系統(tǒng)公開參數(shù)之后，可以適應(yīng)性地選擇一個(gè)合適的身份進(jìn)行攻擊。Definitions基于身份加密的方案由以下四部分組成：系統(tǒng)建立（Setup）,安全參數(shù)K、返回參數(shù)（系統(tǒng)參數(shù)(M、C公開的)）、和主密鑰（master-key只有PKG知道）。私鑰提?。‥xtract),以公鑰pk,主私鑰msk,以及用戶身份ID作為輸入算法輸出用戶身份ID所對(duì)應(yīng)的私鑰IDsk。加密（Encrypt),以公鑰PK、ID和明文信息M作為輸入，輸出密文C。解密（Decrypt),以公鑰PK,密文C和私鑰Idsk作為輸入，輸出明文M。滿足一致性約束DefinitionsIdentity-BasedEncryptographyChoseciphertextsecurity(IND-CCA)基于身份加密的方案是一種IND-ID-CCA(Identity-BasedEncryptographyagainstanadaptiveChoseciphertextsecurity)。其形式定義由敵手A與挑戰(zhàn)者交互的游戲來描述：系統(tǒng)建立:挑戰(zhàn)者運(yùn)行系統(tǒng)生成一個(gè)安全參數(shù)K,而msk是私有的。階段1（1）私鑰提取詢問（Extractionquery）挑戰(zhàn)者通過運(yùn)行私鑰提取算法，產(chǎn)生相應(yīng)的身份ID對(duì)應(yīng)當(dāng)私鑰d,將d發(fā)送給敵手A.（2）解密詢問（Decryptionquery）挑戰(zhàn)者通過運(yùn)行私鑰提取算法，產(chǎn)生相應(yīng)身份的ID所對(duì)應(yīng)的私鑰d,然后運(yùn)行解密算法用私鑰d來解密密文，挑戰(zhàn)者將明文發(fā)送給敵手A。Definitions挑戰(zhàn)（Challenge）當(dāng)敵手A決定詢問階段1結(jié)束，它輸出兩個(gè)相等的明文M0和M1和一它希望被挑戰(zhàn)的身份ID，其中的約束ID不能出現(xiàn)在階段1中任何私鑰提取詢問中。挑戰(zhàn)者選擇一個(gè)隨機(jī)位并且設(shè)置C=Encrypt(pk,ID,Mb),將C作為挑戰(zhàn)來發(fā)送給敵手A階段2（1）私鑰提取詢問（Extractionquery）當(dāng)ID≠IDI挑戰(zhàn)者回到階段1;（2）解密詢問（Decryptionquery）當(dāng)<IDI，Ci>≠<ID,C>挑戰(zhàn)者回到階段1猜想（Guess）最后最后,攻擊者輸出一個(gè)猜測(cè)b0屬于{0，1}如果b=b0則攻擊者贏得攻擊游戲.IND-ID-CPAIND-ID-CPA(Identity-BasedEncryptographyagainstanadaptiveChoseplaintextsecurity)也是一種對(duì)稱加密，其定義如下：系統(tǒng)建立（setup）:挑戰(zhàn)者運(yùn)行系統(tǒng)生成一個(gè)安全參數(shù)K,而msk是PKG私有的。階段1：公鑰提取詢問（privatekeyextractionquery）挑戰(zhàn)者通過運(yùn)行密鑰提取算法，產(chǎn)生相應(yīng)的身份ID對(duì)應(yīng)當(dāng)公鑰d,將d發(fā)送給敵手A.挑戰(zhàn)（challenge）階段2IND-ID-CPA猜想（guess）IND-ID-CCA與IND-ID-CPA的區(qū)別IND-ID-CPA除了敵手A不能做任何解密查詢，敵手A僅僅可以做公鑰提取查詢，在這兩中情況下IBE都是安全的。隨機(jī)預(yù)言模型（Randomoraclemodel）是一種理想的安全模型，在安全性規(guī)約證明的過程中，隨機(jī)預(yù)言機(jī)的輸出是攻擊者不可預(yù)測(cè)的。當(dāng)攻擊者想知道對(duì)應(yīng)于某個(gè)特定輸入的Hash值的時(shí)候，需要去查詢一個(gè)針對(duì)不同輸入產(chǎn)生隨機(jī)輸出的預(yù)言機(jī)。BilinearmapandBilinearDHassuption定義讓G1,G2為兩個(gè)q階的群,q是一個(gè)大的素?cái)?shù),0和1分別為G1和G2的單位元.一個(gè)合理的雙線性映射是指e:G1×G1G2,滿足:雙線性：即對(duì)于所有的P,Q∈G1,a,b∈Z有:e(aP,bQ)=e(P,Q)ab

非退化性：即存在P,Q∈G1,使得e(P,Q)≠1;可計(jì)算性：即對(duì)任意的P,Q∈G1,都有一個(gè)有效的多項(xiàng)式時(shí)間算法計(jì)算e(P,Q).BilinearmapandBilinearDHassuption確定Diffie-Hellman問題(DicisionDiffie-Hellmanproblem簡記為DDH):在G1中,q為G1的階.已知〈P,aP,bP,cP〉,確定等式c≡ab(modq)是否成立.雙線性Diffie-Hellman問題(BilinearDiffie-Hellmanproblem簡記為BDH):G1,G2,e定義同前.〈G1,G2,e〉上的BDH問題是指:已知〈P,aP,bP,cP〉計(jì)算e(P,P)abc∈G2.可計(jì)算Diffie-Hellman問題(ComputationalDiffie-Hellmanproblem簡記為CDH):在G1中,已知〈P,aP,bP〉,計(jì)算abP.CDH問題一直被認(rèn)為是困難的.由于G1中的DDH問題是容易的,所以一般利用DDH去構(gòu)建安全的密碼系統(tǒng).加密方案都基于一個(gè)CDH假定的變體,即雙線性Diffie-Hellman假設(shè)Identity-basedencryption(Basicident)通過四個(gè)算法來呈現(xiàn)Basicident，K是系統(tǒng)建立算法時(shí)產(chǎn)生的參數(shù)，而g是BDH產(chǎn)生的如下：系統(tǒng)建立（setup）：給出任意的KStep1：在輸入k時(shí)運(yùn)行g(shù)，產(chǎn)生一個(gè)素?cái)?shù)b,G1與G2為q階群并且是線性映射e:G1×G1G2，選擇一個(gè)隨機(jī)數(shù)P∈G1Step2：選取一個(gè)隨機(jī)s∈Z*并且設(shè)置Ppub=sPSep3:選擇一個(gè)加密哈希函數(shù)H1:{0,1}

*

G*1和

H2：G2{0,1}n安全性取決于H1，

H2是隨機(jī)的。私鑰提?。╡xtract）加密（encrypt）解密（decrypt）PropertiesoftheWeilPairing設(shè)E是一個(gè)基域F上的橢圓曲線,G1是一個(gè)階為素?cái)?shù)q的循環(huán)加法群，G2是階為素?cái)?shù)q的循環(huán)乘法群。假設(shè)在G1和G2的離散對(duì)數(shù)問題是很困難的。Weil對(duì)被定義為一個(gè)雙線性映射e:G1×G1→G2，Weil對(duì)雙線性映射具有以下特性:雙線性(Bilinear):對(duì)于所有P，Q∈G1，a，b∈Z*,有e(aP，bQ)=e(P,Q)ab非退化性(Non-degenerate):如果P是G1產(chǎn)生的那么e(P,P)∈F*是G2產(chǎn)生的可計(jì)算性（computable）:任意P，Q∈G1，存在有效算法計(jì)算e(P，Q)