抽象
可验证加密允许人们证明加密数据的属性,并且是加密协议设计中的重要构建块,例如,组签名,密钥托管,公平交换协议等。现有的基于格的可验证加密方案,甚至只是加密数据知识的证明,都需要并行组合证明以减少稳健性误差,从而导致证明大小只有在摊销到大量密文时才真正实用。 在本文中,我们提出了一种新的可验证加密方案结构,基于随机预言机模型中Ring-LWE问题的硬度,用于多项式环上的线性方程的短解。我们的方案是“一次性”的,从某种意义上说,证明的单个实例已经具有可以忽略不计的健全性错误,即使对于单个密文也能产生紧凑的证明。虽然可验证加密通常保证解密可以恢复原始语言的见证,但我们放宽了解密相关但扩展语言的见证的要求。这种放宽对于许多应用程序来说已经足够了,我们通过我们的方案在密钥托管和可验证加密签名中的示例用法来说明这一点。 我们构造的一个有趣的方面是解密算法是概率性的,并使用证明作为输入(而不是仅使用密文)。诚实生成的密文的解密时间仅取决于安全参数,而解密对抗生成的密文的预期运行时间与创建它的对手的随机预言机查询数量直接相关。此属性在大多数实际方案中就足够了,尤其是在密文证明是交互式协议的一部分的情况下,解密器比对手强大得多,或者可以阻止对手提交格式错误的密文。
注意:更正了 CPA 方案解密算法中的遗漏。还纠正了CCA方案解密算法中一个更严重的错误。对 CPA 方案的效率没有影响,而 CCA 解密算法现在比以前慢了 2 倍。其他错别字也得到了纠正。
