ABE的选择性属性集安全模型

Question

为什么安倍计划通常/有时会在安全的选择性属性模型中得到证实？这是否只是因为安全证明的困难，即削减？在下文中，注意到了一些情况。

如在第一，KP的戈亚尔等。公司名称: Vipul Goyal，Omkant Pandey，Amit Sahai和Brent Waters。“基于属性的加密用于加密数据的细粒度访问控制”，计算机和通信安全(CCS)，第89-98页，2006年年。：...我们现在讨论安倍计划的安全性。我们定义了一个选择性集模型来证明在选择明文攻击下基于属性的安全性。该模型可以看作类似于用于基于身份的加密(IBE)方案16、17、8的选择ID模型36、10、18。..。

题名/责任者:和X.有效的选择性-ID安全的身份加密没有随机预言.欧洲密码学进展，LNCS第3027卷，第223至238页。斯普林格，2004年年.：...Canetti等人CHK04 03，CHK04 04最近提出了一个稍弱的安全模型，称为选择性标识IBE。在这种模式下，对手必须提前(非自适应)承诺其要攻击的身份。对手仍然可以发出自适应选择密文和自适应选择身份查询。Canetti等人能够在这个较弱的模型中构造一个可证明安全的IBE，而不需要随机oracle模型。..。Canetti，Halevi和Katz CHK04 03，CHK04 04定义了一个较弱的安全概念，在这个概念中，对手会提前提交它将要攻击的公钥。我们将这一概念称为选择性身份，选择密文安全IBE (IND CCA)...。

题名/责任者: R.和J.从基于身份的加密中选择密文安全性。欧洲密码学进展，LNCS第3027卷，第207-222页.斯普林格，2004年年.：...我们现在给出了IBE安全性的定义。正如前面提到的，这个定义比Boneh和Franklin给出的定义要弱，并且符合Canetti等人考虑的“选择节点”攻击。chk03。在此定义下，挑战密文加密的标识在生成公钥之前由对手预先选择(即“非自适应”)。..。

题名/责任者: R.和J.一种前向安全公钥加密方案。“欧洲密码学进展”，第2656卷.斯普林格，2003年.：...我们提出的(二叉树加密) BTE的安全概念要求攻击者预先提交要被攻击的节点(即在查看公钥之前)；我们将此攻击场景称为selectivenode (SN)攻击(cf )。签名的“选择性伪造”( 23)。虽然这个定义比19实现的HIBE的相应定义要弱，但它足以从任何BTE方案(cf )构造一个前向安全的PKE方案。第三节)在标准模型中。..。

作者S. Micali和R.一种抗自适应选择消息攻击的数字签名方案.SIAM J.计算，17(2)：281-308，年4月.：...“破坏”签名计划是甚麽意思？有人可能会说，敌人已经“破坏”了用户A's的签名方案，如果他的攻击允许他以不可忽略的概率做以下任何一件事:完全突破:计算A's的秘密陷阱门信息。通用伪造:找到一种有效的签名算法，其功能等价于A的S签名算法(基于可能不同但等价的陷阱门信息)。选择性伪造:伪造敌人事先选定的特定信息的签名。存在主义伪造:伪造至少一条消息的签名。敌人无法控制他所得到的信息，所以它可能是随机的，也可能是荒谬的。因此，这种伪造只会对A造成轻微的滋扰。..。

Answer 1

是的，显示选择性安全性通常比显示自适应安全性容易得多。此外，一旦显示了方案的选择性安全性，就可以通过随机猜测/复杂性杠杆(但在与猜测量成正比的安全性方面的损失)将其提升到自适应安全性。