第五十一个知识点：什么是基于ID的加密的安全模型，然后描述一个IBE方案

在公钥密码学中，如果Alice想要给Bob发送一条消息，她需要Bob的公钥，一般来说公钥都很长，就像一个随机的字符串。

假设Alice可以不用公钥而是使用Bob的名字或者邮件地址作为他的公钥。实际的来说，这会很方便，Alice不必记住很长的公钥，也不用验证这个类似于随机串的公钥是否真的属于Bob。为了让这变得容易，我们需要基于身份的加密（IBE）。

在IBE中，存在一个实体叫做私钥生成器（PKG）。PKG能够通过Bob的ID和一个主密钥来计算Bob的私钥。一旦Bob已经对PKG认证过自己，那么他就可以向PKG请求他的私钥，一旦他获得了自己的私钥，那么他就可以对任何通过他的ID加密的消息进行解密。

但是这里有一个问题，通过主密钥，PKG可以对任何ID都生成一个私钥，因此PKG可以对任何消息进行解密，这叫做密钥托管，意思就是说你必须信任PKG不会读取你的消息或者你不在乎PKG会读取你的消息。在公司中，高级管理者一般都有权限读取你的邮件，因此IBE方案在这种情况下是很恰当的。

正式的，一个IBE方案包含四个算法：setup，extract，encrypt和decrypt。

setup：采用一个安全参数然后输出主密钥和系统参数，例如明文和密文的消息空间。

Extract：接收一个ID和主密钥，然后返回一个针对ID的私钥。

Encrypt：接收一个消息和ID，然后返回密文。

Decrypt：接收一个密文和公钥，然后返回一个消息。

Boneh和Franklin在2003年给出了一个IBE方案。他们证明了，在一个类似CDH问题的假设情况下，他们的方案在随机oracle模型中是IND-ID-CCA安全的。这意味着任何攻击者在多项式时间内赢得下面的游戏的概率最多比1/2多可忽略的概率。

首先，攻击者：

• 能够对任何ID请求一个私钥。
• 能够对任何ID的任何密文进行解密。

然后攻击者选择两个消息\(m_0\)和\(m_1\)和一个之前没有被问询过的ID---\(ID^*\)。攻击者会收到一个基于\(ID^{*}\)对消息\(m_b\)加密的消息\(c\)，其中\(b \in {0,1}\)是随机选择的。然后攻击者：

• 能对任何不是\(ID^{*}\)的ID请求私钥。
• 能够除了\((c*,ID^{*})\)之外的对进行解密。

最后攻击者输出一位\(b^{'}\)，如果\(b^{'}=b\)，那么我们说攻击者赢得了游戏。

Boneh和Franklin给出的方案依赖于一个非退化的双线性映射$e:G_1 \times G_1 \rightarrow G_2 \(，其中\)G_1\(的阶是\)q$ ,我们将运算写成加法，而\(G_2\)的阶也是\(q\)，我们将运算写成乘法。他们通过椭圆曲线上的Weil对对这个映射进行实例化，但是我们这里省略这个细节。所有双线性性质就是\(e(aP,bQ)=e(P,Q)^{ab}\)，其中\(a,b \in Z_q\)。

没有足够的空间来描述所有的方案的细节，但是主密钥是一个非零的\(s \in Z_q\)，然后ID的私钥是\(s \cdot H(ID)\)，其中\(H\)是一个将比特流映射到\(G_1\)中元素的Hash函数。有两个公共参数\(P\)和\(P_{pub} = s \cdot P \in G_1\)。

为了加密消息\(m\)，我们能选择一个随机的串\(\sigma\)，然后将\(m\)和随机的串进行异或，得到密文\(C_m\)。然后\(m\)和\(\sigma\)一起进行hash运算获得一个\(Z_q\)中的非零元素\(r\)。最后我们能计算出对\(e(H(ID),P_{pub]})^r\)。然后hash得到的值与\(\sigma\)进行异或，得到\(c_{ID}\)。最后三元组\((r \cdot P,c_{ID},c_m)\)就是密文。

已经获得了私钥\(d = s \cdot H(ID)\)的Bob可以解密密文\((U,V,W)\):首先计算\(e(d,U)\)，通过双线性的性质这个值等于\(e(H(ID),P_{pub})^r\)。因此将这个值和\(V\)进行异或得到\(\sigma\)。最后异或\(W\)得到消息\(m\)。最后一步是检查预定信息\(U = r \cdot P\)，等式成立表明这就是预期的信息。