Предикативное шифрование

В данной схеме шифротекст связан с некоторым вектором ${\displaystyle {\vec {x}}}$, а закрытый ключ — с вектором ${\displaystyle {\vec {v}}}$. В процессе расшифрования необходимо проверить, что скалярное произведение ${\displaystyle {\vec {x}}\cdot {\vec {v}}=0\;mod\;N}$. В процессе проверки данного соотношения пользователь не должен получать никакой информации о векторе ${\displaystyle {\vec {x}}}$. Для этого используется билинейная группа ${\displaystyle G}$ порядка ${\displaystyle N}$, где ${\displaystyle N}$ — произведение трёх простых чисел. Более детально данная схема выглядит следующим образом:

• Генерация открытого и закрытого ключей
  1. Выбираются простые числа ${\displaystyle p,q,r}$, группа ${\displaystyle G}$, такая что : ${\displaystyle G=G_{p}\times G_{q}\times G_{r}}$
  2. Выбирается билинейное отображение : ${\displaystyle {\hat {e}}\colon G\times G\to G_{t}}$
  3. Выбираются случайные числа: ${\displaystyle R_{1,i},R_{2,i}\in G_{r},h_{1,i},h_{2,i}\in G_{p},i={\overline {1,n}},R_{0}\in G_{r}}$
  4. Открытым ключом является набор данных : ${\displaystyle PK=(N,G,G_{t},{\hat {e}},g_{p},g_{q},Q=g_{q}\cdot R_{0},H_{1,i}=h_{1,i}\cdot R_{1,i}H_{2,i}=h_{2,i}\cdot R_{2,i},i={\overline {1,n}}}$
  5. Закрытый ключ : ${\displaystyle SK=(p,q,r,g_{q},h_{1,i},h_{2,i},i={\overline {1,n}})}$
• Генерация связанного закрытого ключа
  1. Пусть предикат описывается n-мерным вектором ${\displaystyle {\vec {v}}}$
  2. Выбираются случайные числа : ${\displaystyle r_{1,i},r_{2,i}\in \mathbb {Z} _{p},i={\overline {1,n}},R_{5}\in G_{r},f_{1},f_{2}\in \mathbb {Z} _{q},Q_{6}\in G_{q}}$
  3. Связанным закрытым ключом является: ${\displaystyle SK_{\vec {v}}=(K=R_{5}*Q_{6}*\prod _{i=1}^{n}{h_{1,i}^{-r_{1,i}}\cdot h_{2,i}^{-r_{2,i}}},K_{1,i}=g_{p}^{r_{1,i}}\cdot g_{q}^{f_{1}\cdot v_{i}},K_{2,i}=g_{p}^{r_{2,i}}\cdot g_{q}^{f_{2}\cdot v_{i}})}$
• Шифрование
  1. Пусть, ${\displaystyle {\vec {x}}=(x_{1},...,x_{n}),x_{i}\in \mathbb {Z} _{N}}$
  2. Выбираются случайные числа ${\displaystyle s,\alpha ,\beta \in \mathbb {Z} _{N},R_{3,i},R_{4,i}\in G_{r}}$
  3. Тогда шифротекст ${\displaystyle C=(C_{0}=g_{p}^{s},C_{1,i}=H_{1,i}^{s}\cdot Q^{\alpha x_{i}}\cdot R_{3,i},C_{2,i}=H_{2,i}^{s}\cdot Q^{\beta x_{i}}\cdot R_{34,i})}$
• Расшифрование

На выходе алгоритма расшифрования получится 1 только в том случае, если :

${\displaystyle {\hat {e}}(C_{0},K)\cdot \prod _{i=1}^{n}{{\hat {e}}(C_{1,i},K_{1,i})\cdot {\hat {e}}(C_{1,i},K_{1,i})}=1}$

${\displaystyle {\hat {e}}(C_{0},K)\cdot \prod _{i=1}^{n}{{\hat {e}}(C_{1,i},K_{1,i})\cdot {\hat {e}}(C_{1,i},K_{1,i})}={\hat {e}}(g_{p}^{s},R_{5}Q_{6}\prod _{i=1}^{n}{h_{1,i}^{-r_{1,i}}\cdot h_{2,i}^{-r_{2,i}}})\cdot }$

${\displaystyle \cdot \prod _{i=1}^{n}{{\hat {e}}(H_{1,i}^{s}\cdot Q^{\alpha x_{i}}\cdot R_{3,i},g_{p}^{r_{1,i}}\cdot g_{q}^{f_{1}\cdot v_{i}})\cdot {\hat {e}}(H_{2,i}^{s}\cdot Q^{\alpha x_{i}}\cdot R_{4,i},g_{p}^{r_{2,i}}\cdot g_{q}^{f_{2}\cdot v_{i}})}=}$

${\displaystyle ={\hat {e}}(g_{p}^{s},\prod _{i=1}^{n}{h_{1,i}^{-r_{1,i}}\cdot h_{2,i}^{-r_{2,i}}})\cdot \prod _{i=1}^{n}{{\hat {e}}(h_{1,i}^{s}\cdot g_{q}^{\alpha x_{i}},g_{p}^{r_{1,i}}\cdot g_{p}^{f_{1}\cdot v_{i}})\cdot {\hat {e}}(h_{2,i}^{s}\cdot g_{q}^{\alpha x_{i}},g_{p}^{r_{2,i}}\cdot g_{q}^{f_{2}\cdot v_{i}})}=}$

${\displaystyle =\prod _{i=1}^{n}{{\hat {e}}(g_{q},g_{q})^{(\alpha f_{1}+\beta f_{2})x_{i}v_{i}}}={\hat {e}}({g_{q},g_{q})^{(\alpha f_{1}+\beta f_{2}\;mod\;q)\cdot ({\vec {x}},{\vec {y}})}}}$

Так как ${\displaystyle ({\vec {x}},{\vec {y}})=0}$ , то схема верна.^[1]