摘要: 公钥加密方案的设计和安全性研究一直是安全领域的重要研究内容。R. Cramer and V. Shoup在CRYPTO’98提出了Cramer-Shoup加密体制。该体制是第一个实用，并且在标准模型中可证明满足适应性选择密文攻击(IND-CCA2)安全定义的体制。这里的标准模型指的是不利用随机预言机这一工具来论证体制安全性的模型。这是因为随机预言机包含太强的随机性假设，是一个过于理想，难于实现的工具。随机预言机的这一不理想特性凸现了Cramer-Shoup加密体制的可贵之处。其后基于该加密体制的一系列变形相继提出，大部分均可以获得标准模型中IND-CCA2安全的论证。各种Cramer-Shoup类体制都没有突破密文向量组包含四个元素这一限制，因而通信带宽并没有降低。我们则减少了原方案中一个公钥参数，从而获得了包含三个元素的密文向量，并且证明了简化后的方案依旧在标准模型中是IND-CCA2安全的。新的加密体制与Damg?rd 提出的ElGamal(DEG)方案具有相同的效率和带宽，而DEG方案在2004年亚密会上证明为选择密文攻击(IND-CCA1)安全，而新的体制则是IND-CCA2安全的。新的加密体制降低通信带宽和提高效率的代价与DEG方案证明为IND-CCA1安全的代价类似。两者都增加了一个假设。新的加密体制增加的假设称为指数知识假设版本3 (KEA3)。该假设指在P素数域上，g是ZP*生成元，Q是P-1因子，任给a, b属于ZQ，任给p.t.t.算法H，该算法在输入(g, ga, gb, gab)之后，输出(gr, grb)，其中r属于ZQ，那么必然存在一个PPT算法H*，该算法与H有相同的输入和随机纸带，则H*以极大概率可以输出(c1, c2, gr, grb)，满足c1 + c2a = r (mod Q)。直观上，该假设是说算法H并没有获得输入ga的指数a的值，因而其输出中r只能是通过c1 + c2a = r (mod Q)这样的形式获得的。本文在上述假设成立的情况下用演绎推理的方法证明了如果新的加密体制是IND-CCA1安全的，则是IND-CCA2安全的；而证明IND-CCA1安全则是通过新体制的IND-CPA安全性证明的；IND-CPA安全可以通过黑盒证明方法从原始ElGamal方案中获得。本文最后获得了这样的结论：新的加密体制在DDH假设，KEA3假设和TCRv假设下满足IND-CCA2安全。其中TCRv假设是杂凑函数抗原像攻击属性的一种变形表述方式。