本文作者东泽,来自安比技术社区的小伙伴,目前就读于斯坦福大学,研究方向密码学。 越往后面写,笔者发现随着难度的进阶,很多内容并不是可以全部塞在一篇文章中一起发出来的了。每一篇文章的内容都有太多细节的地方需要满满的思考。
从这一期开始,为了方便阅读,我们缩短每一期的篇幅,每一期就详细的介绍一篇或者几篇有关的paper。这样可以方便我们充分的理解体系的构造以及安全性的证明。
在之前的文章中,我们已经充分的了解了IBE加密在格中的实现方法。IBE其实并不是一个什么大难题,因为我们已经有基于双线性配对(Bilinear Maps)的非常好的IBE系统了。
真正让Lattice突出它的强大的地方在于,我们可以从类似ABB10的IBE架构出发,逐步添加新的功能,最后就可以实现传说中的ABE (Attribute-based Encryption ),即属性加密 了。
这一期,我们来看一看从IBE开始向ABE跨越的第一步:支持内积运算 。
乍一看支持内积运算这个词,大家都会感觉一头雾水。想要了解它是什么意思的话,我们需要了解一下ABE问题的具体定义。 想必现在网上已经有许多关于属性加密(ABE)的介绍了。我们在这里就不多说整个问题的背景知识了,而是直接给出大概的定义。 首先,整个系统和IBE是一样的,需要一组由管理员生成的MPK与MSK。拥有了MSK的管理员,就可以基于任何属性函数 属性输入 这样的话,如果Alice要发送一封消息,她可以根据MPK与自己选择的一个属性输入 不仅如此,管理员也可以签发多个ACL (Access Control List )使用场景下非常有用。即如果我想要一条消息只让某个分组的人可以解密,就可以通过ABE系统来高效地实现。 对于这一类把属性函数存放在密钥sk中,然而把属性本身放在密文中的构造,我们一般都称之为KP-ABE (Key Policy ABE )。反之,如果我们把验证的函数放在密文中,然而把属性放在密钥中的话, 这种构造被叫做CP-ABE (Ciphertext Policy ABE )。 一般来说,CP-ABE更加贴合我们实际的使用逻辑一点——我们在创造密文的时候,可以决定验证的属性函数最常见的构造仍然是KP-ABE的结构 ,因为CP-ABE的构造会更复杂一点(需要能够把函数嵌入在密文中并且可以快速验证属性输入)。 如果我们不需要高效这一点,我们可以把任意的KP-ABE结构转换成CP-ABE结构 ,即对调加密方和解密方的角色。假如我们拥有一个可以支持任意复杂度电路的属性函数的KP-ABE结构,这个时候,我们只需要生成一个对应于Universal Circuit (全能电路 ) Universal Circuit 关于Universal Circuit的适用方法,还有很多很多,这里就不多描述了。但是
了解完ABE是什么之后,我们回头看IBE的时候就会发现,其实IBE就是一种非常简化版本的ABE了。 IBE的问题在于,在一个系统中,每一个人都拥有属于自己的一个任意选择的“身份”,即 如果套用ABE的构造的话,那么“身份”即 之前我们描述的ABE的属性函数对于通过的属性会输出1,这里我们为了方便后续的构造,我们颠倒一下1与0的定义,如果属性通过验证, 在ABE中,IBE只是一种非常简单的属性函数。我们观察Point Function 。也就是说,在整个函数的输入空间中,只有一个点(即 Point Function在所有可能的属性函数的集合中,属于最简单的一类。之前我们说到的CHKP10与ABB10这两种IBE构造都是变相的实现了Point Function ABE。 写到这里,我们不禁开始思考:我们知道ABE最后的终点就是可以实现任意复杂度的函数,但是我们目前只知道怎么实现Point Function而已。我们能不能循序渐进继续摸索下一个复杂度的函数类别呢? 如果要超出Point Function的范畴,进入下一阶段的话,一个比较有意义的方向就是线性函数(Linear Function)了,即对于属性 在2011年的时候,Agrawal,Freeman与Vaikuntanathan在【AFV11 】这篇paper中介绍了一种新的ABE构造,可以实现属性向量 AFV11同样也是一个KP-ABE架构。这也就是说,在这个构造中,我们在密钥 即然Point Function ABE就等于IBE,那么基于内积函数的ABE可以实现什么不同的功能呢?如果仔细观察的话,我们可以把一组有限长度的布尔逻辑表达式 (CNF/DNF)嵌入在这个里面。这样的话, 光是基于内积,就已经可以实现很多有限约束的逻辑了。是不是感觉很强大? 接下来,我们来详细的看一下AFV11 ABE是如何构造的。 内积ABE这个概念在【KSW08 】中被第一次提出。其大致形式和我们之前描述的相同:在密钥中嵌入一个 为了方便我们表述AFV11的具体结构,我们假设进行内积运算的向量 AFV11 ABE系统的公共参数和之前介绍的CHKP10系统大致相似。首先,我们需要一个通过MP12 Trapdoor算法生成的随机平均分布的矩阵 其次,因为我们这里的内积向量长度为4,所以我们需要额外的生成4个随机平均分布的(没有Trapdoor的)矩阵 熟悉基于Lattice的ABE之后,想必我们都知道下一步是什么了:根据一个约束向量 AFV11真正不一样的地方在于右侧,把 矩阵的左侧和往常一样,就是带有Trapdoor的
我们知道如何根据 首先,我们要做的事情是和普通的Dual Regev一样,把需要加密的原文 我们知道,光有 在普通的Dual Regev中,我们只需要知道一个对应了 但是在这里,我们不能轻易的给出这个 AFV11中,这个体系的具体实现方式是这样的,我们根据 如果我们仔细观察这个密文矩阵的构造的话,我们会发现因为 总结一下,我们的加密算法
现在,我们来看看最重要的环节——解密是如何进行的。 总结一下,作为一个解密方,我们会拥有一个属于自己的约束向量
Dual Regev中蕴涵了真正的加密内容的密文 AFV11 ABE的精髓在于,已知 我们知道这些信息中,最方便我们解密的应该是我们所拥有的密钥 接下来就是想办法构造出这个结构,从而让这个密钥发挥用武之地了。 首先,我们把 如果我们展开 接下来,最后一步我们就是要正确的使用密钥 得到这个结果之后,我们就可以从
由于篇幅原因,这里就不给出AFV11的安全论证了。不过大致的方案和之前相同,我们需要能够在不知道MSK和对应的任何约束 如果我们仔细的品味一下AFV11的结构的话,我们会发现其实它在解密的时候根据 然而这里解密的精髓非常的耐人寻味:我们事先通过MSK生成了在 如果我们换一种方法来理解 当
如果我们再进一步的观察这个结构的话,我们可以把这个结构进一步的generalize一下: 在AFV11中,我们的属性函数就是与 这里的 用这种角度来看的话,我们发现,只要我们能够把
首先使用Dual Regev来加密密文 随后我们使用MSK生成关于 加密方把自己的属性输入 如果 这样的结构,正是Boneh et al.提出的【BGG+14 】的ABE结构!由于现在我们只解决了线性函数的计算,距离真正的ABE还差了一点距离。这一部分正是BGG+14所解决的。 下一期,我们就来深入的了解一下BGG+14是如何构造的,以及我们如何证明齐安全性。 封面图来自unsplash,作者krismas IrN
