基于LWR问题的无证书全同态加密方案.pdf

资源描述

1、Computer Science and Application 计算机科学与应用计算机科学与应用,2023,13(10),1948-1964 Published Online October 2023 in Hans.https:/www.hanspub.org/journal/csa https:/doi.org/10.12677/csa.2023.1310193 文章引用文章引用:李明祥.基于 LWR 问题的无证书全同态加密方案J.计算机科学与应用,2023,13(10):1948-1964.DOI:10.12677/csa.2023.1310193 基于基于LWR问题的无证书全同态加密

2、方案问题的无证书全同态加密方案李明祥李明祥河北金融学院金融研究所，河北保定收稿日期：2023年9月20日；录用日期：2023年10月18日；发布日期：2023年10月25日摘摘要要无证书全同态加密无证书全同态加密(CLFHE)把全同态加密和无证书加密两者的优势结合了起来，它吸引了人们关注的目把全同态加密和无证书加密两者的优势结合了起来，它吸引了人们关注的目光。目前人们基于带误差学习光。目前人们基于带误差学习(LWE)问题提出了几个问题提出了几个CLFHE方案。带舍入学习方案。带舍入学习(LWR)问题是问题是LWE问题的问题的变形。它免除了变形。它免除了LWE问题中计算代价高昂的高

3、斯噪声抽样。迄今为止人们尚未提出基于问题中计算代价高昂的高斯噪声抽样。迄今为止人们尚未提出基于LWR问题的问题的CLFHE方案。本文利用方案。本文利用Gentry、Sahai和和Waters提出的近似特征向量技术，基于提出的近似特征向量技术，基于LWR问题设计了一个问题设计了一个CLFHE方案，并在随机预言机模型下证明了它满足方案，并在随机预言机模型下证明了它满足INDr-CPA安全性。与已有的基于安全性。与已有的基于LWE问题的问题的CLFHE方案相比，所设计的方案免除了耗时的高斯噪声抽样而具有更高的计算效率。方案相比，所设计的方案免除了耗时的高斯噪声抽样而具有更高的计算效率。关键词关键词

4、全同态加密，无证书，全同态加密，无证书，LWE问题，问题，LWR问题，随机预言机模型问题，随机预言机模型 Certificateless Fully Homomorphic Encryption Scheme Based on the LWR Problem Mingxiang Li Institute of Financial Research,Hebei Finance University,Baoding Hebei Received:Sep.20th,2023;accepted:Oct.18th,2023;published:Oct.25th,2023 Abstract Certifi

5、cateless fully homomorphic encryption(CLFHE)combines the advantages of fully homo-morphic encryption and certificateless encryption.Itcatches the attention of researchers.Several CLFHE schemes have been proposed based on the learning with errors(LWE)problem.The learn-ing with rounding(LWR)problem is

6、 a variant of the LWE problem.It dispenses withthe costly Gaussian noise sampling required in the LWE problem.So far,no CLFHE scheme based on the LWR problem has been proposed.This paper designs a CLFHE scheme based on the LWR problem using 李明祥 DOI:10.12677/csa.2023.1310193 1949 计算机科学与应用 Gentry,Saha

7、i,and Waterss approximate eigenvector technique and proves that the designed scheme satisfies INDr-CPA securityin the random oracle model.Compared with existing CLFHE schemes based on the LWE problem,the proposedschemedispenses with the costly Gaussian noise sampling and enjoys higher computational

8、efficiency.Keywords Fully Homomorphic Encryption,Certificateless,LWE Problem,LWR Problem,Random Oracle Model Copyright 2023 by author(s)and Hans Publishers Inc.This work is licensed under the Creative Commons Attribution International License(CC BY 4.0).http:/creativecommons.org/licenses/by/4.0/1.引言

9、引言全同态加密(Fully Homomorphic Encryption,FHE)是一种具有特殊性质的公钥加密体制。它能在不解密的情形下对密文数据进行任意计算，即()()()()()11DecEnc,Enc,=?ff，其中 f 为任意函数。2009 年 Gentry 1基于理想格提出了第一个全同态加密方案。Genry 开拓性的工作迅速掀起了全同态加密研究的浪潮。2013 年 Gentry、Sahai 和 Waters 2提出了一种构造全同态加密方案的新技术，他们称之为近似特征向量技术。Gentry、Sahai 和 Waters 2利用近似特征向量技术，基于带误差学习(Learning wit

10、h Errors,LWE)问题3构造了一个层次型全同态加密(leveledFHE)方案。在层次型全同态加密方案中，方案的参数取决于方案所能计算的电路深度。利用 Gentry 1提出的自举技术可以把层次型全同态加密方案转换为全同态加密方案。本文的工作专注于层次型全同态加密方案，故在下文的叙述中经常省去“层次型”一词。无证书加密(Certificateless Encryption,CLE)4是一种新型公钥加密体制。它消除了基于身份的加密(Identity-Based Encryption,IBE)5固有的密钥托管问题，同时，它也避免了传统公钥加密系统中的公钥证书管理问题。无证书全同态加密(Cer

11、tificateless Fully Homomorphic Encryption,CLFHE)结合了全同态加密和无证书加密两者的优势，它引起了人们的研究兴趣。2017 年 Chen 等人6利用近似特征向量技术，基于 LWE 问题提出了一个无证书全同态加密方案，并在随机预言机模型下证明了它满足 IND-CPA 安全性。最近，Li 7利用近似特征向量技术，基于 LWE 问题又提出了一个在随机预言模型下可证明安全的无证书全同态加密方案和一个在标准模型下可证明安全的无证书全同态加密方案。带舍入学习(Learning with Rounding,LWR)问题8是 LWE 问题3的变形。LWE 问题需要

12、进行高斯噪声抽样。高斯噪声抽样的计算开销非常大，严重制约了基于 LWE 问题的全同态加密方案的计算性能。LWR 问题不需要进行高斯噪声抽样。近几年来，人们基于 LWR 问题构造了几个全同态加密方案9 10。与 Gentry、Sahai 和 Waters 2提出的基于 LWE 问题的全同态加密方案相比，这些全同态加密方案9 10由于舍弃了计算代价高昂的高斯噪声抽样其计算效率有了很大提高。截至目前，人们尚未提出基于 LWR问题的无证书全同态加密方案。鉴于无证书全同态加密的研究现状，本文致力于基于 LWR 问题的无证书全同态加密方案的设计与分析。首先，利用 Gentry、Sahai 和 Waters

13、 2提出的近似特征向量技术，基于 LWR 问题设计了一个无证书全同态加密方案。其次，在随机预言机模型下证明了所设计的方案满足 INDr-CPA 安全性。INDr-CPA比 IND-CPA 的安全性更强，它包括 IND-CPA 安全性和接收方匿名性。最后，本文具体给出了所设计的Open AccessOpen Access李明祥 DOI:10.12677/csa.2023.1310193 1950 计算机科学与应用方案的系统参数设置。相比于现有的基于 LWE 问题的无证书全同态加密方案6 7，本文所设计的方案省掉了耗时的高斯噪声抽样，其计算效率更高。2.预备知识预备知识 2.1.符号约定符号约定

14、下面介绍本文的符号约定，如表 1 所示。Table 1.Notations and descriptions 表表 1.符号及其描述符号描述自然数集整数集实数集 q 商环，并且为(2,2qq，其中q，且2q()log 对数，且底为 2 向上取整?四舍五入 a 向量，且为列向量形式 Ta 向量a的转置 A 矩阵，A亦可看作其列向量的有序集合12,aa TA 矩阵A的转置张量积 a 向量a的 Euclidean 范数，定义为()122=aiia，其中ia是向量a的分量 A 矩阵A的 Euclidean 范数，定义为max=Aajj，其中aj是矩阵A的列向量 a 向量a的范数，定义为m

15、ax=aiia，其中ia是向量a的分量 A 矩阵A的范数，定义为,max=Ai ji ja，其中,i ja是矩阵A的元素 T?向量集合T的 Gram-Schmidt 正交化,O o 算法渐近符号()poly n()f n，且对某一常数 c，使得()()=cf nO n()negl n()f n，且对每一固定常数 c，都使得()()=cf no n 李明祥 DOI:10.12677/csa.2023.1310193 1951 计算机科学与应用 2.2.格格下面简单介绍一下格理论，详细内容可参阅11。定义定义 1 设1,=Bbb?nm是一组线性无关向量，格定义为 1:,=xcxBcbmnmiii

16、c,其中B称为的一组基。这里，n 为的维数，m 为的秩，且mn。在=mn时，称为满秩格。定义定义 2 对正整数 q、矩阵An mq和向量unq，定义 m 维满秩整数格：():mod=AeAemq0():mod=uAeAeumq.可以看出，如果()utA，则()()=+uAAt。即()uA是()A的陪集。定义定义 3 对任意的向量cn和实数0，n上高斯函数定义为 xn,()()22,exp=cxxc,它以c为中心，以为参数。对任意的向量cn、实数0以及 n 维格，上的离散高斯分布定义为 x,()()()(),=cccccxxxxD.当下标和c的值分别为 1 和0时，可省去不写。2.3.格上的算法

17、格上的算法引理引理 1(12)令0为任意固定常数。存在概率多项式时间算法()TrapGen,n q，它输入正整数 n、2q和()53log+mnq，输出An mq和Tm m，并满足以下条件：A的分布统计接近n mq上的均匀分布，T为()A的一组基，()logT?Onq。引理引理 2(13)存在概率多项式时间算法()SamplePre,A TuA，它输入矩阵An mq、()A的一组基TA、向量unq和参数()logT?Am，其中2q，mn，输出向量em，并且e的分布统计接近分布(),uAD。引理引理 3(13)令 n 和 q 为正整数，且 q 为素数，令2 logmnq。则对几乎所有的An

18、mq以及任意的()logm，mod=uA eq的分布统计接近nq上的均匀分布，其中,emD。引理引理 4(14)对任意 n 维格、向量cn以及实数01cxxcnDn,其中()是光滑参数。对的任意一组基B，有()()log B?n。2.4.困难问题困难问题定义定义 4 令为安全参数，令()=nn和()=qq为整数，令()=为上的概率分布。,LWEn q问题可叙述为：对任意()poly=mn，令An mq，snq，em，umq，()T,+A Ase和(),A u是计算不可区分的。李明祥 DOI:10.12677/csa.2023.1310193 1952 计算机科学与应用定义定义 5 对整数上

19、的分布系集nn，如果()Prnegl=neeBn，则称分布系集nn是 B 有界的。引理引理 5(3 15)对任意0，存在()2=nqq n、()=n和()=BB n，且是 B 有界的，2nq B，使得,LWEn q至少和GapSVP的经典困难性以及SIVP的量子困难性一样困难，其中()2=n。定义定义 6 对整数 q 和 p，且2qp，取整函数?p定义为?:?qpppxxq。通过逐项处理，可把?p扩展到q上的向量或矩阵。定义定义 7 令为安全参数，令()=nn、()=qq和()=pp为整数，且2qp，,LWRn q p问题可叙述为：对任意()poly=mn，令An mq，snq，ump，()

20、T,AAs?p和(),A u是计算不可区分的。引理引理 6(8)令是上可有效抽样的 B 有界分布，令()1qp B n，则求解任一分布上nqs的,LWRn q p问题，至少与求解同一分布上nqs的,LWEn q 问题的一样困难。3.CLFHE 的定义及安全模型的定义及安全模型 3.1.定义定义 CLFHE 由系统参数生成 Setup、部分私钥抽取 Extract、公私钥生成 KeyGen、加密 Encrypt、解密Decrypt 和密文计算 Eval 六个多项式时间算法组成。其中 Setup 和 Extract 算法由密钥生成中心(Key Generation Center,KGC)执行。()

21、Setup 1,1L：输入安全参数和电路深度 L，输出系统主公钥 mpk 和主私钥 msk。()Extract,mpk msk id：输入主公钥 mpk、主私钥 msk 和身份0,1id，输出身份 id 的部分私钥idd。()KeyGen,idmpk id d：输入主公钥 mpk、身份 id 和部分私钥idd，输出用户的公钥idpk和私钥idsk。()Encrypt,idmpk id pk：输入主公钥 mpk、接收方身份 id、接收方公钥idpk以及消息，这里为消息空间，输出密文c或错误标识，这里为密文空间。()Decrypt,idmpk skc：输入主公钥 mpk、接收方私钥idsk以及密文

22、c，输出消息或错误标识。()1Eval,?mpk id f cc：输入主公钥 mpk、身份 id、电路:?f和身份 id 下的一组密文1,?cc，输出密文fc。CLFHE 应满足正确性约束。即假定()(),Setup 1,1Lmpk msk，()Extract,iddmpk msk id，()(),KeyGen,idididpkskmpk id d，则对全部()1Eval,?fcmpk id f cc，其中:?f，()1,Encrypt,?iidiicmpk id pk，都有()()1Decrypt,=?idfmpk skcf。3.2.安全模型安全模型我们这里给出INDr-CPA的安全定义

23、。INDr-CPA比IND-CPA的安全性更强。INDr-CPA包括IND-CPA安全性和接收方匿名性。CLFHE 的攻击者分为两类，即第 1 类攻击者和第 2 类攻击者。模拟外部攻击者，允许它替换用户的公钥。模拟诚实但好奇的 KGC，不允许它替换用户的公钥。攻击者的 INDr-CPA 安全游戏如下：初始化：挑战者产生()(),Setup 1,1Lmpk msk。并把主公钥 mpk 发送给。阶段 1：可查询公钥询问(request public key)、公钥替换(replace public key)和部分私钥抽取(extract 李明祥 DOI:10.12677/csa.2023.1310

24、193 1953 计算机科学与应用 partial private key)预言机。公钥询问预言机：输入身份 id，它利用 KeyGen 和 Extract 产生公钥idpk，并返回idpk。同时它把身份 id 和它的idpk记载下来。公钥替换预言机：输入身份 id 和公钥idpk，它修改身份 id 的有关记载，这以后 id 关联的公钥为idpk。部分私钥抽取预言机：输入身份 id，它产生部分私钥()Extract,iddmpk msk id，并返回idd。结束查询输出目标身份id和消息。挑战：挑战者随机选择0,1b和密文c。若0=b，设置挑战密文()Encrypt,=idcmpk idpk，

25、其中idpk是id当前关联的公钥；若1=b，设置挑战密文=cc。挑战者把c发送给。阶段 2：继续查询公钥询问、公钥替换和部分私钥抽取预言机。在结束查询时输出猜测0,1b。如果=bb，并且在阶段 1 没有替换id的公钥或在两个查询阶段都没有询问id的部分私钥，则赢得游戏。的优势定义为()1AdvPr2=bb。如果()Adv是可忽略的，则称这个 CLFHE 方案在攻击下是 INDr-CPA 安全的。攻击者的 INDr-CPA 安全游戏如下：初始化：挑战者产生()(),Setup 1,1Lmpk msk。并把主公钥 mpk 和主私钥 msk 发送给。阶段 1：可查询公钥询问(request pub

26、lic key)预言机。公钥询问预言机：输入身份 id 和部分私钥idd，它计算公钥()(),KeyGen,idididpkskmpk id d，并返回idpk。结束查询输出目标身份id和消息。挑战：挑战者随机选择0,1b和密文c。若0=b，设置挑战密文()Encrypt,=idcmpk idpk，其中idpk是id关联的公钥；若1=b，设置挑战密文=cc。阶段 2：继续查询公钥询问预言机。在结束查询时输出猜测0,1b。如果=bb，则赢得游戏。的优势定义为()1AdvPr2=bb。如果()Adv是可忽略的，则称这个 CLFHE 方案在攻击下是 INDr-CPA 安全的。4.基于基于 LWR

27、问题问题 CLFHE 4.1.方案描述方案描述我们令向量()Tlog1log1,2=g?ppp。令矩阵()21T21+=GIgmNmp，其中()21log=+Nmp。定义反函数()211:0,1+GN NmNp，它把输入矩阵的每个元素pa扩展为比特向量()Tlog0log1,0,1?ppaa，且满足log102=piiiaa。对任意矩阵()21+CmNp，有()1=G GCC。下面给出基于 LWR 问题的 CLFHE 方案，它的消息空间为0,1=，密文空间为()21+=mNp。()Setup 1,1L：KGC 设置参数(),=nnL、(),=qqL、(

28、),=ppL、(),=mmL、()11,=L和()22,=L。这些参数具体见 4.3 节。调用()TrapGen,n q产生矩阵An mq和()A的一组基Tm mA，且()logT?AOnq。随机选择矩阵An mq和Bn mq。选择哈希函数:0,1nqH。输出主公钥()12,=A A Bmpkn q p mH和主私钥=TAmsk。()Extract,mpk msk id：对身份*0,1id，KGC 计算()=unqH id。调用()1SamplePre,A TuA产李明祥 DOI:10.12677/csa.2023.1310193 1954 计算机科学与应用生向量dm。输出部分私钥=didd

29、。这里有mod=A duq。()KeyGen,idmpk id d：用户选择2,xmD，令mod=vB xq。此外令mod=uA dq。令211+=drxm。输出公钥(),=v uidpk和私钥=ridsk。()Encrypt,idmpk id pk：对消息0,1，计算()=unqH id。随机选择矩阵1Sn Nq、Sn Nq和2Sn Nq，输出密文()TT121T2TTT12+=+ASASCBSGuSuSvS?ppmNppppp.()Decrypt,idmpk skc：给定密文()21+CmNp，已知=ridsk。输出消息Tlog22=rc?p，其中c为密文C的倒数第 2 列。给定同一身份

30、 id 下的两个密文()211+CmNp和()212+CmNp，密文同态加法和乘法如下：()12Add,C C：输出()21add12+=+CCCmNp。()12Mult,C C：输出()()211mult12+=CCGCmNp。4.2.方案分析方案分析 4.2.1.正确性正确性对于 Encrypt 输出的密文()21+CmNp，有()TTT1TTT2TTT12TTTTTTTT12121+=+=+ASASdrCxBSrGuSuSvSuSuSvSdASASxBS?pppppppppppp()()()()()()()TTTTTTTTTTT1122TTTTTTTTTTTTTTTT111222TTT

31、TTTT1212=+=+=+rGuSdASuSdASvSxBSrGud ASed Eud ASed Evx BSex ErGeeed Ed Ex ErG?pppppppppqqq 其中 1TTT1111 1,2 2=euSuS?Nppq TT1111 1,2 2=EASAS?m Nppq 1TTT1 1,2 2=euSuS?Nppq 李明祥 DOI:10.12677/csa.2023.1310193 1955 计算机科学与应用 TT1 1,2 2=EASAS?m Nppq 1TTT2221 1,2 2=evSvS?Nppq TT2221 1,2 2=EBSBS?m Nppq.令()TTTTTT

32、T1212=+weeed Ed Ex E，则C的误差()TTTTTTT1212TTTTTT1212121232312231223122=+weeed Ed Ex Eeeed Ed Ex EdEdExEdxdxmmmmmmmm m 其中1dm，2xm。我们记T123122 =+wm m。对()12Add,C C输出的密文addC，有()()TTTTTadd121212=+=+rCrCCwwrG.令TTTadd12=+www，则addC的误差TTTTTadd12122=+wwwww。对()12Mult,C C输出的密文multC，有()()()()()()()()()TT1mult12TT1112

33、T1T11212T1T1212T1TT12122T1TT121212=+=+=+=+=+rCrCGCwrGGCwGCrG GCwGCrCwGCwrGwGCwrG 令()T1Tmult1212=+wwGCw，则multC的误差()()()()T1Tmult1212T1T12121121=+=+wwGCwwGCwwGCNNN 李明祥 DOI:10.12677/csa.2023.1310193 1956 计算机科学与应用通过迭代调用()12Add,C C和()12Mult,C C，密文计算()1Eval,CC?f可输出密文()21+CmNfp。因为:?f的电路深度()depthfL。又

34、知道有Tadd2 w，()mult1+wN，即Taddmultww?。故()21+CmNfp的误差()1+wLfN。于是对()21+CmNfp的倒数第 2 列21+cmfp，有log2TT2+rcwpfff。因为)log224,2ppp，故如果()T18+，其中123122m m=+()1qp B n 2nq，2nq B，其中0。于是，所提出的 CLFHE 方案的系统参数可设置如下：(),=nnL()16log+=mnO n Ln()1log=mn()2log=n()log2=O Lnp()log2=O LnqB,其中使得()loglog=nqO Ln。5.结束语结束语本文提出了第一个基

35、于 LWR 问题的 CLFHE 方案，并在随机预言机模型下证明了它是 INDr-CPA 安全的。LWR 问题是 LWE 问题的变形。它省掉了 LWE 问题中的高斯噪声抽样。高斯噪声抽样计算开销非常大。因此本文所提出的CLFHE方案比现有基于LWE问题的CLFHE方案6 7具有更高的计算效率。我们接下来会致力于基于所提出的 CLFHE 方案构造相关安全协议解决物联网、云计算和区块链等面临的安全问题。参考文献参考文献 1 Gentry,C.(2009)Fully Homomorphic Encryption Using Ideal Lattices.Proceedings of the 41st

36、Annual ACM Sympo-sium on Theory of Computing,Bethesda,31 May 2009-2 June 2009,169-178.https:/doi.org/10.1145/1536414.1536440 2 Gentry,C.,Sahai,A.and Waters,B.(2013)Homomorphic Encryption from Learning with Errors:Conceptually-Simpler,Asymptotically-Faster,Attribute-Based.In:Canetti,R.,Garay,J.A.,Eds

37、.,Advances in CryptologyCRYPTO 2013,Lec-ture Notes in Computer Science,Vol.8042,Springer,Berlin,75-92.https:/doi.org/10.1007/978-3-642-40041-4_5 3 Regev,O.(2009)On Lattices,Learning with Errors,Random Linear Codes,and Cryptography.Journal of the ACM,56,1-40.https:/doi.org/10.1145/1568318.1568324 4 A

38、l-Riyami,S.S.and Paterson,K.G.(2003)Certificateless Public Key Cryptography.In:Laih,C.S.,Ed.,Advances in CryptologyASIACRYPT 2003,Lecture Notes in Computer Science,Vol.2894,Springer,Berlin,452-473.https:/doi.org/10.1007/978-3-540-40061-5_29 5 Boneh,D.and Franklin,M.(2001)Identity-Based Encryption fr

39、om the Weil Pairing.In:Kilian,J.,Ed.,Advances in 李明祥 DOI:10.12677/csa.2023.1310193 1964 计算机科学与应用 CryptologyCRYPTO 2001,Lecture Notes in Computer Science,Vol.2139,Springer,Berlin,213-229.https:/doi.org/10.1007/3-540-44647-8_13 6 Chen,H.,Hu,Y.and Lian,Z.(2017)Leveled Homomorphic Encryption in Certific

40、ateless Cryptosystem.Chinese Journal of Electronics,26,1213-1220.https:/doi.org/10.1049/cje.2017.07.008 7 Li,M.(2020)Leveled Certificateless Fully Homomorphic Encryption Schemes from Learning with Errors.IEEE Access,8,26749-26763.https:/doi.org/10.1109/ACCESS.2020.2971342 8 Banerjee,A.,Peikert,C.and

41、 Rosen,A.(2012)Pseudorandom Functions and Lattices.In:Pointcheval,D.,Johansson,T.,Eds.,Advances in CryptologyEUROCRYPT 2012,Lecture Notes in Computer Science,Vol.7237,Springer,Ber-lin,719-737.https:/doi.org/10.1007/978-3-642-29011-4_42 9 李明祥,刘照,张明艳.无高斯噪声的全同态加密方案J.计算机应用,2017,37(12):3430-3434.10 Luo,F

42、.,Wang,F.,Wang K.,et al.(2018)LWR-Based Fully Homomorphic Encryption,Revisited.Security and Com-munication Networks,2018,Article ID:5967635.https:/doi.org/10.1155/2018/5967635 11 Peikert,C.(2014)A Decade of Lattice Cryptography.Foundations and Trends in Theoretical Computer Science,10,283-424.http:/

43、dx.doi.org/10.1561/0400000074 12 Alwen,J.and Peikert,C.(2011)Generating Shorter Bases for Hard Random Lattices.Theory of Computing Systems,48,535-553.https:/doi.org/10.1007/s00224-010-9278-3 13 Gentry,C.,Peikert,C.and Vaikuntanathan,V.(2008)Trapdoors for Hard Lattices and New Cryptographic Construc-

44、tions.Proceedings of the 40th Annual ACM Symposium on Theory of Computing,Victoria,17-20 May 2008,197-206.https:/doi.org/10.1145/1374376.1374407 14 Micciancio,D.and Regev,O.(2007)Worst-Case to Average-Case Reductions Based on Gaussian Measures.SIAM Journal on Computing,37,267-302.https:/doi.org/10.1137/S00975397054473 15 Micciancio,D.and Peikert,C.(2012)Trapdoors for Lattices:Simpler,Tighter,Faster,Smaller.In:Pointcheval,D.,Johansson,T.,Eds.,Advances in CryptologyEUROCRYPT 2012,Lecture Notes in Computer Science,Vol.7237,Springer,Berlin,700-718.https:/doi.org/10.1007/978-3-642-29011-4_41

展开阅读全文