基于身份的多解密者短密文加密方案

摘要: 作为多用户环境密码学中的一种典型的应用，多解密者的加密方案使得被加密的消息只有在指定的多个解密者共同参与情况下，才可解密。利用传统的方法可以有3种途径达到此目的：1）为所有的接收者构成的组临时产生一对公私钥，并按照门限解密的方法将私钥分片并发送至各个接收者的手中。之后的操作完全等同于（n，n）门限解密；2）将消息M分成分成若干份，每份用不同接收者的公钥加密；3）利用各个接收者的公钥逐次将消息M加密，解密时解密者以相反的顺序解密，最后一个解密者恢复出明文。然而，这些传统的方法需要过多的计算和通信开销。方法1需要为临时的组产生一对公私钥对，还要分发密钥，操作复杂，不适合现场实施。方法2需要多次独立的加密操作，不仅计算量大，而且密文也很长。随着解密者数量的增加，密文也会相应增长。方法3虽然比方法2有更短的密文，但是其加密和解密是串行的，且计算量等同多次独立加密的计算量。在无线环境的应用中（例如移动Ad hoc 网络），太长的密文会占用宝贵的无线带宽，复杂的运算会大大降低应用的实用性。当解密者的数量较多时，这些开销是不可容忍的。提高计算效率和降低通信开销一直是密码方案设计所追求的重要目标之一。为了降低管理数字证书所带来的开销，Shamir在1984年提出了基于身份的密码学。其思想是利用用户的公开身份信息（比如email，电话号码等等）作为公钥。直到2001年，基于身份的加密方案才被Boneh和Franklin利用双线性配对实现。目前，双线性配对成为了构造基于身份加密方案的重要工具，然而配对的计算却是非常消耗时间的。在这种情况下，采用传统的方法实现基于身份的多解密者的加密方案会引入大量的配对计算，其效率非常低下。因此，有必要在基于身份的环境中设计出安全且高效的多解密者短密文加密方案。本文提出了一个高效基于身份的多解密者短密文加密方案。无论解密者多少，该方案只需计算一次甚至零次配对，并且密文只有固定的3个群元素。除此以外，本文给出了安全性定义，并在随机预言模型下证明了其安全性。最后给出了性能分析。

Abstract: Multi-decrypter encryption is a typical application in multi-usercryptographic branches. In multi-decrypter encryption, a message isencrypted under multiple decrypters' public keys in the way thatonly when all the decrypters cooperate, can the message be read.However, trivial implementation of multi-decrypter encryption usingstandard approaches leads to heavy computation costs and longciphertext which grows as the receiver group expands. This consumesmuch precious bandwidth in wireless environment, such as mobile ad hocnetwork. In this paper, we propose an efficient identity basedmulti-decrypter encryption scheme, which needs only one or zero (ifprecomputed) pairing computation and the ciphertext contains only threegroup elements no matter how many the receivers are. Moreover, we give aformal security definition for the scheme, and prove the scheme to bechosen ciphertext secure in the random oracle model, and discuss how tomodify the scheme to resist chosen ciphertext attack.

基于身份的多解密者短密文加密方案

Efficient ID-Based Multi-Decrypter Encryption with Short Ciphertexts