函数加密体制（一） (13-11)

ʀ

on a ciphertext c ← enc(pp，x) and obtain all the information about x that intentionally leaks from c.

Further parametrization.In some cases the key space K and plaintext space X are further parametrized by quantities generated by the setup algorithm.Forexample, setup may output an RSA modulus N in which case the sets K and X and the functionality F are defined as tuples over ℤɴ. More generally, we allow setup to output a third parameter π and we denote the key and plaintext space by Kπ and Xπ .The functionality F is the defined as

Fπ：Kπ × Xπ → {0，1}*.

When π is clear from context, we avoid writing it as an explicit subscript.

2.1 函数加密的子类

到目前为止，我们为函数加密方案定义了最通用的语法。来看看我们想到的应用，可以很方便的定义函数加密的两个子类，其中明文空间X 具有额外的结构。

谓词加密：在许多应用中，明文 x∈Ⅹ 本身是一个对 (ind，m) ∈ l × M ，其中 ind 称作索引， m 称作有效载荷消息。例如，一个电子邮件系统内，索引可能是发送者的姓名而有效载荷是邮件内容。

在这种情况下，一个函数加密方案可以被定义为一个多项式时间的谓词 P：K × l → {0，1}， 其中 K 是密钥空间。更准确地说，在 (K∪{ϵ}，(l × M)) 上的功能 F 定义为：

F(k ∈ K，(ind，m) ∈ X)↓

m P(k，ind)＝1

：＝{ ←

⊥ P(k，ind)＝0

。

紧接着，设c 是 (ind，m) 的加密结果，设 skₖ 是 k ∈ K 的密钥。则解密过程 dec(skₖ，c) 在 P(k，ind)＝1 时显示 c 中的有效载荷，其他情况不显示关于 m 的任何东西。

数学联邦政治世界观提示您：看后求收藏（同人小说网http://tongren.me），接着再看更方便。