Предикативное шифрование

Предикативное шифрование (Шаблон:Lang-en) — схема шифрования, при которой существует функциональная зависимость между шифротекстом и закрытым ключом. Закрытый ключ, связанный с предикатом ${\displaystyle F}$, может быть использован для расшифрования текста, ассоциированного с атрибутом ${\displaystyle I}$, только в том случае, когда ${\displaystyle F(I)=1}$.

Традиционная модель шифрования на открытом ключе недостаточно общая: отправитель шифрует сообщение на открытом ключе, и только владелец закрытого ключа, ассоциированного с открытым ключом, может расшифровать полученный текст и восстановить сообщение. Такой подход возможен только для связи вида точка — точка, когда зашифрованные данные предназначены для одного конкретного пользователя, который известен отправителю заранее. В других же задачах, в которых отправитель данных хочет установить некую политику, определяющую круг лиц, которым разрешён доступ к данным, данный подход не работает. На практике встречается достаточно много подобных задач, следовательно, требуется новый подход, который обеспечивает более универсальный контроль над зашифрованными данными. Предикативное шифрование является одним из таких подходов^[1].

Схема предикативного шифрования для класса предикатов ${\displaystyle F}$ над множеством атрибутов ${\displaystyle \mathrm{\Sigma }}$ состоит из следующих 4-х алгоритмов:

• Создание открытого и «главного» закрытого ключей, ${\displaystyle PK}$ и ${\displaystyle SK}$ соответственно.
• Генерация закрытого ключа, связанного с конкретным предикатом ${\displaystyle F}$

${\displaystyle GenKey(SK,F)={\text{SK}}_{\mathrm{F}}}$.

• Шифрование сообщения ${\displaystyle M}$ производится при помощи открытого ключа ${\displaystyle PK}$ и атрибута ${\displaystyle I}$, описывающего сообщение ${\displaystyle M}$

${\displaystyle {\text{ENC}}_{\mathrm{p}\mathrm{k}}(I,M)=C}$.

• Функция расшифрования возвращает исходное сообщение ${\displaystyle M}$ только в том случае, когда предикат ${\displaystyle F}$ и атрибут ${\displaystyle I}$ связаны между собой, а именно если:

• ${\displaystyle F(I)=1,{\text{DEC}}_{{\text{sk}}_{\mathrm{f}}}(C)=M}$
• ${\displaystyle F(I)=0,{\text{DEC}}_{{\text{sk}}_{\mathrm{f}}}(C)=\mathrm{\varnothing }}$.^[1][2]

В данной схеме шифротекст связан с некоторым вектором ${\displaystyle \overrightarrow{x}}$, а закрытый ключ — с вектором ${\displaystyle \overrightarrow{v}}$. В процессе расшифрования необходимо проверить, что скалярное произведение ${\displaystyle \overrightarrow{x}\cdot \overrightarrow{v}=0modN}$. В процессе проверки данного соотношения пользователь не должен получать никакой информации о векторе ${\displaystyle \overrightarrow{x}}$. Для этого используется билинейная группа ${\displaystyle G}$ порядка ${\displaystyle N}$, где ${\displaystyle N}$ — произведение трёх простых чисел. Более детально данная схема выглядит следующим образом:

• Генерация открытого и закрытого ключей
  1. Выбираются простые числа ${\displaystyle p,q,r}$, группа ${\displaystyle G}$, такая что : ${\displaystyle G=G_p\times G_q\times G_r}$
  2. Выбирается билинейное отображение : ${\displaystyle \hat{e}:G\times G\to G_t}$
  3. Выбираются случайные числа: ${\displaystyle R_{1,i},R_{2,i}\in G_r,h_{1,i},h_{2,i}\in G_p,i=\overline{1,n},R_0\in G_r}$
  4. Открытым ключом является набор данных : ${\displaystyle PK=(N,G,G_t,\hat{e},g_p,g_q,Q=g_q\cdot R_0,H_{1,i}=h_{1,i}\cdot R_{1,i}{H}_{2,i}=h_{2,i}\cdot R_{2,i},i=\overline{1,n}}$
  5. Закрытый ключ : ${\displaystyle SK=(p,q,r,g_q,h_{1,i},h_{2,i},i=\overline{1,n})}$
• Генерация связанного закрытого ключа
  1. Пусть предикат описывается n-мерным вектором ${\displaystyle \overrightarrow{v}}$
  2. Выбираются случайные числа : ${\displaystyle r_{1,i},r_{2,i}\in {\mathbb{Z}}_p,i=\overline{1,n},R_5\in G_r,f_1,f_2\in {\mathbb{Z}}_q,Q_6\in G_q}$
  3. Связанным закрытым ключом является: ${\displaystyle S{K}_{\overrightarrow{v}}=(K=R_5*Q_6*{\displaystyle \prod _{i=1}^n}{h}_{1,i}^{-r_{1,i}}\cdot h_{2,i}^{-r_{2,i}},K_{1,i}=g_p^{r_{1,i}}\cdot g_q^{f_1\cdot v_i},K_{2,i}=g_p^{r_{2,i}}\cdot g_q^{f_2\cdot v_i})}$
• Шифрование
  1. Пусть, ${\displaystyle \overrightarrow{x}=(x_1,...,x_n),x_i\in {\mathbb{Z}}_N}$
  2. Выбираются случайные числа ${\displaystyle s,\alpha ,\beta \in {\mathbb{Z}}_N,R_{3,i},R_{4,i}\in G_r}$
  3. Тогда шифротекст ${\displaystyle C=(C_0=g_p^s,C_{1,i}=H_{1,i}^s\cdot Q^{\alpha x_i}\cdot R_{3,i},C_{2,i}=H_{2,i}^s\cdot Q^{\beta x_i}\cdot R_{34,i})}$
• Расшифрование

На выходе алгоритма расшифрования получится 1 только в том случае, если :

${\displaystyle \hat{e}(C_0,K)\cdot {\displaystyle \prod _{i=1}^n}\hat{e}(C_{1,i},K_{1,i})\cdot \hat{e}(C_{1,i},K_{1,i})=1}$

${\displaystyle \hat{e}(C_0,K)\cdot {\displaystyle \prod _{i=1}^n}\hat{e}(C_{1,i},K_{1,i})\cdot \hat{e}(C_{1,i},K_{1,i})=\hat{e}(g_p^s,R_5{Q}_6{\displaystyle \prod _{i=1}^n}{h}_{1,i}^{-r_{1,i}}\cdot h_{2,i}^{-r_{2,i}})\cdot }$

${\displaystyle \cdot {\displaystyle \prod _{i=1}^n}\hat{e}(H_{1,i}^s\cdot Q^{\alpha x_i}\cdot R_{3,i},g_p^{r_{1,i}}\cdot g_q^{f_1\cdot v_i})\cdot \hat{e}(H_{2,i}^s\cdot Q^{\alpha x_i}\cdot R_{4,i},g_p^{r_{2,i}}\cdot g_q^{f_2\cdot v_i})=}$

${\displaystyle =\hat{e}(g_p^s,{\displaystyle \prod _{i=1}^n}{h}_{1,i}^{-r_{1,i}}\cdot h_{2,i}^{-r_{2,i}})\cdot {\displaystyle \prod _{i=1}^n}\hat{e}(h_{1,i}^s\cdot g_q^{\alpha x_i},g_p^{r_{1,i}}\cdot g_p^{f_1\cdot v_i})\cdot \hat{e}(h_{2,i}^s\cdot g_q^{\alpha x_i},g_p^{r_{2,i}}\cdot g_q^{f_2\cdot v_i})=}$

${\displaystyle ={\displaystyle \prod _{i=1}^n}\hat{e}(g_q,g_q{)}^{(\alpha f_1+\beta f_2)x_i{v}_i}=\hat{e}(g_q,g_q{)}^{(\alpha f_1+\beta f_{2}modq)\cdot (\overrightarrow{x},\overrightarrow{y})}}$

Так как ${\displaystyle (\overrightarrow{x},\overrightarrow{y})=0}$ , то схема верна.^[1]

• ID-based encryption

Схема, в которой отрытым ключом пользователя может служить некоторая уникальная информация о пользователе, например его e-mail адрес.

• Hidden Vector Encryption

Схема, в которой предикаты и сообщения определяются векторами. Корректное расшифрование происходит, если данные векторы совпадают покомпонентно. То есть:

${\displaystyle {\text{F}}_{\mathrm{(}{\mathrm{a}}_{\mathrm{1}}\mathrm{.}\mathrm{.}\mathrm{.}{\mathrm{a}}_{\mathrm{n}}\mathrm{)}}(i_{\mathrm{1}}...i_{\mathrm{n}})=1,i_{\mathrm{k}}=a_{\mathrm{k}}\mathrm{\forall }k}$^[1]

• Схема, основанная на скалярном произведении (Inner Product Encryption)

Схема, в которой значение предиката определяется скалярным произведением атрибута и закрытого ключа, ассоциированного с этим предикатом.

${\displaystyle {\text{F}}_{\mathrm{(}{\mathrm{a}}_{\mathrm{1}}\mathrm{.}\mathrm{.}\mathrm{.}{\mathrm{a}}_{\mathrm{n}}\mathrm{)}}(i_{\mathrm{1}}...i_{\mathrm{n}})=1,{\displaystyle \sum _{i=1}^n}{i}_{\mathrm{k}}*a_{\mathrm{k}}=0}$^[2]

• Attribute-based Encryption
• ID-based encryption

Шаблон:Примечания

Шаблон:Криптография