摘要可验证加密允许人们证明加密数据的属性,并且是密码协议设计的重要组成部分,例如群签名、密钥托管、公平交换协议等。现有的基于晶格的可验证加密方案,甚至只是加密数据的知识证明,都需要并行组合证明来减少可靠性误差,从而产生只有在大量密文上摊销时才真正实用的证明大小。在本文中,我们基于随机预言机模型中的环LWE问题的硬度,提出了一种可验证加密方案的新构造,用于多项式环上线性方程的短解。我们的方案是“一次性”的,从某种意义上说,证明的单个实例已经具有可忽略的稳健性误差,即使对于单个密文也能产生紧凑的证明。尽管可验证加密通常保证解密可以恢复原始语言的见证,但我们放宽了这一要求,以解密相关但扩展的语言的见证。这种放松对于许多应用来说已经足够了,我们通过在密钥托管和可验证加密签名中使用我们的方案来说明这一点。我们构建的一个有趣的方面是,解密算法是概率性的,并使用证明作为输入(而不是仅使用密文)。honestlygenated密文的解密时间仅取决于安全参数,而解密对抗性生成的密文的预期运行时间与创建密文的对手的随机预言查询次数直接相关。在大多数实际情况下,这个属性就足够了,尤其是在密文证明是交互式协议的一部分的情况下,在解密器比对手强大得多的情况下或者在对手可能被劝阻提交格式错误的密文的情况下
