基于weil对的身份加密

Weil配对实现基于身份加密背景介绍传统的公钥体制中公钥是与身份无关的随机字串，存在如何确认公钥真实性的问题，为此，公钥基础设施（PublicKeyInfrastructure，PKI）通过使用可信赖的第三方-——认证中心（CertificationAuthority，CA）颁发公钥证书的形式来绑定公钥和身份信息。但是，PKI证书管理复杂，需要建造复杂的CA系统，证书发布、吊销、验证和保存需要占用较多资源，这就限制了PKI在实时和低带宽环境中的广泛应用。为了简化公钥证书的管理，Shamir创造性地提出了基于身份加密的概念。Identity-BasedEncryption2001年，Boneh和Franklin提出第一个实用的基于身份加密(IBE:IdentityBasedEncryption)方案，该方案是利用超奇异椭圆曲线上的双线性对运算(Weil对)设计的，并且在随机预言机模型下是完全身份安全（fullidentity）。完全身份安全(fullidentitysecurity):攻击者在获取系统公开参数之后，可以适应性地选择一个合适的身份进行攻击。Definitions基于身份加密的方案由以下四部分组成：系统建立（Setup）,安全参数K、返回参数（系统参数(M、C公开的)）、和主密钥（master-key只有PKG知道）。私钥提取（Extract),以公钥pk,主私钥msk,以及用户身份ID作为输入算法输出用户身份ID所对应的私钥IDsk。加密（Encrypt),以公钥PK、ID和明文信息M作为输入，输出密文C。解密（Decrypt),以公钥PK,密文C和私钥Idsk作为输入，输出明文M。满足一致性约束DefinitionsIdentity-BasedEncryptographyChoseciphertextsecurity(IND-CCA)基于身份加密的方案是一种IND-ID-CCA(Identity-BasedEncryptographyagainstanadaptiveChoseciphertextsecurity)。其形式定义由敌手A与挑战者交互的游戏来描述：系统建立:挑战者运行系统生成一个安全参数K,而msk是私有的。阶段1（1）私钥提取询问（Extractionquery）挑战者通过运行私钥提取算法，产生相应的身份ID对应当私钥d,将d发送给敌手A.（2）解密询问（Decryptionquery）挑战者通过运行私钥提取算法，产生相应身份的ID所对应的私钥d,然后运行解密算法用私钥d来解密密文，挑战者将明文发送给敌手A。Definitions挑战（Challenge）当敌手A决定询问阶段1结束，它输出两个相等的明文M0和M1和一它希望被挑战的身份ID，其中的约束ID不能出现在阶段1中任何私钥提取询问中。挑战者选择一个随机位并且设置C=Encrypt(pk,ID,Mb),将C作为挑战来发送给敌手A阶段2（1）私钥提取询问（Extractionquery）当ID≠IDI挑战者回到阶段1;（2）解密询问（Decryptionquery）当<IDI，Ci>≠<ID,C>挑战者回到阶段1猜想（Guess）最后最后,攻击者输出一个猜测b0属于{0，1}如果b=b0则攻击者赢得攻击游戏.IND-ID-CPAIND-ID-CPA(Identity-BasedEncryptographyagainstanadaptiveChoseplaintextsecurity)也是一种对称加密，其定义如下：系统建立（setup）:挑战者运行系统生成一个安全参数K,而msk是PKG私有的。阶段1：公钥提取询问（privatekeyextractionquery）挑战者通过运行密钥提取算法，产生相应的身份ID对应当公钥d,将d发送给敌手A.挑战（challenge）阶段2IND-ID-CPA猜想（guess）IND-ID-CCA与IND-ID-CPA的区别IND-ID-CPA除了敌手A不能做任何解密查询，敌手A仅仅可以做公钥提取查询，在这两中情况下IBE都是安全的。随机预言模型（Randomoraclemodel）是一种理想的安全模型，在安全性规约证明的过程中，随机预言机的输出是攻击者不可预测的。当攻击者想知道对应于某个特定输入的Hash值的时候，需要去查询一个针对不同输入产生随机输出的预言机。BilinearmapandBilinearDHassuption定义让G1,G2为两个q阶的群,q是一个大的素数,0和1分别为G1和G2的单位元.一个合理的双线性映射是指e:G1×G1G2,满足:双线性：即对于所有的P,Q∈G1,a,b∈Z有:e(aP,bQ)=e(P,Q)ab

非退化性：即存在P,Q∈G1,使得e(P,Q)≠1;可计算性：即对任意的P,Q∈G1,都有一个有效的多项式时间算法计算e(P,Q).BilinearmapandBilinearDHassuption确定Diffie-Hellman问题(DicisionDiffie-Hellmanproblem简记为DDH):在G1中,q为G1的阶.已知〈P,aP,bP,cP〉,确定等式c≡ab(modq)是否成立.双线性Diffie-Hellman问题(BilinearDiffie-Hellmanproblem简记为BDH):G1,G2,e定义同前.〈G1,G2,e〉上的BDH问题是指:已知〈P,aP,bP,cP〉计算e(P,P)abc∈G2.可计算Diffie-Hellman问题(ComputationalDiffie-Hellmanproblem简记为CDH):在G1中,已知〈P,aP,bP〉,计算abP.CDH问题一直被认为是困难的.由于G1中的DDH问题是容易的,所以一般利用DDH去构建安全的密码系统.加密方案都基于一个CDH假定的变体,即双线性Diffie-Hellman假设Identity-basedencryption(Basicident)通过四个算法来呈现Basicident，K是系统建立算法时产生的参数，而g是BDH产生的如下：系统建立（setup）：给出任意的KStep1：在输入k时运行g，产生一个素数b,G1与G2为q阶群并且是线性映射e:G1×G1G2，选择一个随机数P∈G1Step2：选取一个随机s∈Z*并且设置Ppub=sPSep3:选择一个加密哈希函数H1:{0,1}

*

G*1和

H2：G2{0,1}n安全性取决于H1，

H2是随机的。私钥提取（extract）加密（encrypt）解密（decrypt）PropertiesoftheWeilPairing设E是一个基域F上的椭圆曲线,G1是一个阶为素数q的循环加法群，G2是阶为素数q的循环乘法群。假设在G1和G2的离散对数问题是很困难的。Weil对被定义为一个双线性映射e:G1×G1→G2，Weil对双线性映射具有以下特性:双线性(Bilinear):对于所有P，Q∈G1，a，b∈Z*,有e(aP，bQ)=e(P,Q)ab非退化性(Non-degenerate):如果P是G1产生的那么e(P,P)∈F*是G2产生的可计算性（computable）:任意P，Q∈G1，存在有效算法计算e(P，Q)