離散對數假設是否足以設計安全的可搜尋加密方案?
我有一個基本問題是“我們可以開發一個僅基於離散對數 (DL) 假設的方案嗎?”
大多數“可搜尋加密”方案在其正式的安全證明中使用諸如決策雙線性 Diffie-Hellman (DBDH) 之類的假設,(例如“保護您的權利:可驗證的基於屬性的關鍵字搜尋與細粒度的所有者強制搜尋授權在雲中”由 Sun 等人撰寫。SE)。我設計的方案的形式安全證明能否僅基於 DL 假設?
如果您僅以黑盒方式使用該組(意思是,如果您希望依賴任意組上的離散對數問題),我們不知道任何加密方案(可搜尋或不可搜尋)其 IND-CPA 安全性會降低離散對數問題。我們可以直接從離散對數問題做的事情是非常有限的。尤其是:
- 您可以設計一個承諾方案,其綁定屬性減少到離散對數問題,這就是著名的 Pedersen 承諾方案。
- ElGamal 加密方案的密鑰恢復安全性(即僅給定其公鑰計算其秘密密鑰的難度)簡化為離散對數假設。
然而,在某些特定的組中,已知計算 Diffie-Hellman 假設等價於離散對數假設 - den Boer 在本文中對此進行了說明。
此外,我們知道如何根據計算 Diffie-Hellman 假設建構高級類型的加密方案。例如,使用 Goldreich-Levin harcore 謂詞和 ElGamal 加密方案,可以構造一個 IND-CPA 安全性降低到 CDH 的加密方案。CDH 的 IND-CCA 安全密碼系統在本文中給出。
最近,在一個突破性的結果中,Garg 和 Döttling 表明,僅假設 CDH 就可以獲得基於身份的加密。
在對上一篇論文的跟進中,這個結果被擴展到匿名 IBE。此外,眾所周知,可以從匿名 IBE 構造帶有關鍵字搜尋的加密 - 請參閱本文。結合以上所有內容,這為您提供了一個基於 CDH 的可搜尋加密方案。
當在 den Boer 辨識的組中實例化時,所有這些方案在離散對數假設下都是安全的。然而,應該注意的是,以這種方式獲得的基於 dlog 的關鍵字搜尋方案效率極低,僅具有理論意義。