Canetti等人(CRYPTO 1997)提出了可否认加密的概念,使得即使发送者/接收者在加密通信以后,仍然能产生"否认"的随机数(与真实的随机数不可区分),打开密文为另一个不同的明文.目前而言,设计双方案可否认加密方案(包括可否认编辑方案和预先计划可否认加密方案两种)似乎是达到高效率的唯一途径.然而,经过二十多年的发展,即使考虑私钥场景(发送者与接收者共享相同的密钥),存在可否认加密方案的具体效率仍然较低.本文集中于设计在私钥场景下具体高效的双方案可否认加密方案.具体而言,本文设计了新的私钥接收者可否认编辑方案,其密文长度比Goldwasser等人(TCC 2017)的方案减少了超过2|CEdit|κ+3?κ比特,其中|CEdit|是关于编辑函数的布尔电路表示中AND门数量、?表示编辑描述长度和κ是安全参数.而且,提出的方案将否认密钥长度从2(?+κ)κ比特降低到仅κ比特.该方案的效率主要来源于新设计的单密钥私钥函数加密方案,其中敌手能做至多一个私钥询问以及特殊的加解密性质需要被满足以设计可否认编辑方案.与Goldwasser等人的单密钥私钥函数加密方案比较,本文提出的方法不仅减少了一半以上的密文长度,而且简化了特殊解密算法的构造.基于提出的私钥可否认编辑方案和混合加密技术,本文也设计了预先计划的私钥接收者可否认加密方案,支持预先计划t个否认明文.该方案适合于加密较长的明文,当t=O(1)时能够达到O(1)的密文率,获得比提出的可否认编辑方案显著更短的密文.

可否认加密;可否认编辑;函数加密;私钥集合

杨糠;张江

密码科学技术国家重点实验室, 北京 100878

密码学报

[1]杨糠;张江-.基于单密钥函数加密的具体高效可否认加密方案)[J].密码学报,2022(02):353-378

可否认加密,Canetti,CRYPTO,可否认编辑,CEdit,布尔电路,私钥集合

密钥,函数加密,发送者,接收者,加密通信,密文,明文,预先计划,一途,二十多年,文集,长度比,Goldwasser,TCC,+3,比特,AND,安全参数,敌手,至多,个私,询问,加解密,方案比较,混合加密,加密技术,认明

0.18502