基于weil对的身份加密

1、Weil配对实现基于身份加密背景介绍 传统的公钥体制中公钥是与身份无关的随机字串，存在如何确认公钥真实性的问题，为此，公钥基础设施（Public Key Infrastructure，PKI）通过使用可信赖的第三方-认证中心（Certification Authority，CA）颁发公钥证书的形式来绑定公钥和身份信息。但是，PKI证书管理复杂，需要建造复杂的CA系统，证书发布、吊销、验证和保存需要占用较多资源，这就限制了PKI在实时和低带宽环境中的广泛应用。为了简化公钥证书的管理，Shamir创造性地提出了基于身份加密的概念。Identity-Based Encryption 2001年，Bo

2、neh和Franklin提出第一个实用的基于身份加密(IBE: Identity Based Encryption)方案，该方案是利用超奇异椭圆曲线上的双线性对运算(Weil对)设计的，并且在随机预言机模型下是完全身份安全（full identity）。 完全身份安全(full identity security): 攻击者在获取系统公开参数之后，可以适应性地选择一个合适的身份进行攻击。Definitions基于身份加密的方案由以下四部分组成： 系统建立（Setup）,安全参数K、返回参数（系统参数(M、C公开的)）、和主密钥（master-key只有PKG知道）。 私钥提取（Extract)

3、,以公钥pk,主私钥msk,以及用户身份ID作为输入算法输出用户身份ID所对应的私钥IDsk。 加密（Encrypt),以公钥PK、ID和明文信息M作为输入，输出密文C。 解密（Decrypt),以公钥PK,密文C和私钥Idsk作为输入，输出明文M。满足一致性约束Definitions Identity-Based Encryptography Chose ciphertext security(IND-CCA) 基于身份加密的方案是一种IND-ID-CCA(Identity-Based Encryptography against an adaptive Chose ciphertext s

4、ecurity)。其形式定义由敌手A与挑战者交互的游戏来描述： 系统建立:挑战者运行系统生成一个安全参数K,而msk是私有的。 阶段1（1）私钥提取询问（Extraction query）挑战者通过运行私钥提取算法，产生相应的身份ID对应当私钥d,将d发送给敌手A.（2）解密询问（Decryption query）挑战者通过运行私钥提取算法，产生相应身份的ID所对应的私钥d,然后运行解密算法用私钥d来解密密文，挑战者将明文发送给敌手A。Definitions 挑战（Challenge）当敌手A决定询问阶段1结束，它输出两个相等的明文M0和M1和一它希望被挑战的身份ID，其中的约束ID不能出现在

5、阶段1中任何私钥提取询问中。挑战者选择一个随机位并且设置C=Encrypt(pk,ID,Mb),将C作为挑战来发送给敌手A阶段2（1）私钥提取询问（Extraction query）当IDIDI挑战者回到阶段1;（2）解密询问（Decryption query）当 挑战者回到阶段1 猜想（Guess）最后最后,攻击者输出一个猜测b0属于0，1如果b = b0则攻击者赢得攻击游戏. IND-ID-CPA IND-ID-CPA(Identity-Based Encryptography against an adaptive Chose plaintext security)也是一种对称加密，其定

6、义如下： 系统建立（setup）:挑战者运行系统生成一个安全参数K,而msk是PKG私有的。 阶段1：公钥提取询问（private key extraction query）挑战者通过运行密钥提取算法，产生相应的身份ID对应当公钥d,将d发送给敌手A. 挑战（challenge）阶段2IND-ID-CPA 猜想（guess） IND-ID-CCA与IND-ID-CPA的区别IND-ID-CPA除了敌手A不能做任何解密查询，敌手A仅仅可以做公钥提取查询，在这两中情况下IBE都是安全的。 随机预言模型（Random oracle model）是一种理想的安全模型，在安全性规约证明的过程中，随机预言

7、机的输出是攻击者不可预测的。当攻击者想知道对应于某个特定输入的Hash 值的时候，需要去查询一个针对不同输入产生随机输出的预言机。Bilinear map and Bilinear DH assuption 定义让G1,G2为两个q阶的群, q是一个大的素数,0和1分别为G1和G2的单位元.一个合理的双线性映射是指 e:G1 G1 G2,满足: 双线性：即对于所有的P,Q G1,a,bZ有:e(aP,bQ)= e(P,Q)ab 非退化性：即存在P,Q G1,使得 e(P,Q) 1; 可计算性：即对任意的P,Q G1,都有一个有效的多项式时间算法计算 e(P,Q).Bilinear map an

8、d Bilinear DH assuption 确定Diffie-Hellman问题(Dicision Diffie-Hellman problem简记为DDH):在G1中,q为G1的阶.已知 P,aP,bP,cP,确定等式c ab(mod q)是否成立. 双线性Diffie-Hellman问题(Bilinear Diffie-Hellman problem简记为BDH): G1,G2, e定义同前. G1,G2, e上的BDH问题是指:已知 P,aP,bP,cP计算 e(P,P)abc G2. 可计算Diffie-Hellman问题(Computational Diffie-Hellman

9、problem简记为CDH):在G1中,已知P,aP,bP,计算abP. CDH问题一直被认为是困难的.由于G1中的DDH问题是容易的,所以一般利用DDH去构建安全的密码系统. 加密方案都基于一个CDH假定的变体,即双线性Diffie-Hellman假设Identity-based encryption (Basicident) 通过四个算法来呈现Basicident，K是系统建立算法时产生的参数，而g是BDH产生的如下： 系统建立（setup）：给出任意的KStep1：在输入k时运行g，产生一个素数b,G1与G2为q阶群并且是线性映射e:G1 G1 G2，选择一个随机数PG1Step2：选取一个随机sZ*并且设置Ppub=sPSep3:选择一个加密哈希函数H1 :0,1 * G*1 和 H2：G2 0,1n安全性取决于H1， H2是随机的。 私钥提取（extract） 加密（encrypt） 解密（decrypt）Properties of the Weil Pairing 设E 是一个基域 F上的椭圆曲线,G1是一个阶为素数 q 的循环加法群，G2是阶为素数q的循环乘法群。假设在G1和G2的离散对数问题是很困难的。Weil对被定义为一个双线性映射e:G1 G1G2，Weil 对双线性映射具