函数加密体制（二） (7-5)

Proof (Proof Sketch).The proof is by a standard hybrid argument acrosethe s compe-nents of the challenge ciphertext.

4.2 基于游戏安全定义的不充分性

现在来展示一下，对于某一个复杂的功能（这里理解成函数比较恰当）来说定义3太弱了。对于这些函数我们构造一个满足定义3安全性的系统，但实际并不安全。不过，对于像第5节展示的带有公开索引的谓词加密中的功能（函数）来说定义3足够了。

给出基于游戏的定义3的不充分性的一个简单的功能例子。设π 是一个单向置换，考虑仅接受平凡密钥ϵ 的功能 F ，定义为： F(ϵ，x)＝π(x) 。很明显，对这个简单的功能来说正确的实现函数加密的方法是：有一个函数加密算法在输入 x 时输出 π(x) ，即 enc(pp，x)＝π(x) 。这个方案明显需要第5节提出的基于模拟的安全定义。

然而，考虑该功能一个“不正确”的实现，其中函数加密算法输入x 时输出 x ，即 enc(pp，x)＝x 。明显这个系统泄露了比所需更多的明文信息。不过，很容易能证明该方案满足第4节基于游戏的安全定义。这是因为，任取两个值 x 和 y ， F(ϵ，x)＝F(ϵ，y) 当且仅当 x＝y 。因此攻击者只能对 m₀＝m₁ 的明文消息发起挑战。

We will now show that for certain complex functionalities Definition 3 is too weak.For these functionalities we construct systems that are secure under Definition 3 but should not be considered secure. Nevertheless, for functionalities such as predicate encryption with public index we show in Section 5 that Definition 3 is adequate.

We give a simple example of a functionality for which the game-based Definition 3 is insufficient.Let π be a one-way permutation and consider the functionality F that only admits the trivial key ϵ，defined as follows：

F(ϵ，x)＝π(x)

It is clear that the “right”way to achieve functional encryption for this very simple functionality is to have the functional encryption algorithm itself simply output π(x) on input x， namely enc(pp，x)＝π(x). This scheme would also clearly achieve the simulation-based definition of security presented in Section 5

数学联邦政治世界观提示您：看后求收藏（同人小说网http://tongren.me），接着再看更方便。