代理重加密

代理重加密（英語：Proxy re-encryption）是由馬特·布拉澤（英語：Matt Blaze）等人提出的一種密碼體制^[1]。其目標是安全地將密文從一個密鑰重新加密到另一個密鑰，而無需依賴可信任的第三方。

具體來說，其允許半可信第三方（代理服務器），將委託者公鑰加密的密文轉換為受委託者公鑰加密的另一密文，使其可以被受委託者解密。同時不會向代理服務器泄露加密消息或委託者/受委託者的私鑰。

1998年：馬特·布拉澤（英語：Matt Blaze）等人提出了首個雙向、多跳代理重加密方案^[1]。該方案基於ElGamal算法，並在離散對數困難假設下證明其選擇明文攻擊（CPA）安全性。然而，該方案無法抵抗合謀攻擊（英語：Collision attack），即代理和重加密後的密文接收者可以聯合獲取原始密文擁有者的私鑰。

2003年：提出了一種基於密鑰共享機制的單向代理重加密方案^[2]，將用戶的私鑰分成兩部分，一部分交給代理，另一部分交給重加密後的密文接收者。儘管解決了代理獨立分配解密授權的問題，但該方案未能實現密鑰優化和抗合謀攻擊（英語：Collision attack）。

2005年：首次形式化了代理重加密及其安全模型，並使用雙線性對構造了一個單向代理重加密方案，實現了主密鑰安全並能夠抵抗合謀攻擊（英語：Collision attack）^[3]。然而，該方案只能實現CPA安全，無法滿足實際應用需求。

2008年：提出了首個在標準模型下證明RCCA安全的一向代理重加密方案^[4]。同年，一個獨立於雙線性對且CCA安全的雙向代理重加密方案被提出^[5]，解決了冉·卡內蒂（英語：Ran Canetti）提出的公開問題 ^{[note 1]}。

2010年：提出了無證書環境下的代理重加密概念，並構造了相應方案^[6]。

2013年：首次在標準模型下基於格問題（英語：Lattice problem）（LWE）構造了K-PRE方案^[7]，能夠應對量子計算威脅。

2018年：首次提出了PRE+概念^[8]，並構造了具體方案。該方案通過主體生成重加密密鑰的操作，實現了基於消息級別的細粒度委託和不可轉移屬性。

代理重加密方案一般劃分為五個算法部分，分別為密鑰生成算法、重加密密鑰生成算法、重加密算法、加密算法、解密算法^[9]。

涉及三種對象，即委託者，第三方代理，受委託者^[2]。

根據代理重加密密鑰的性質，代理重加密分為雙向和單向兩種^[2]。在雙向代理重加密中，代理服務器利用重加密代理鑰^{[note 2]}可以將委託者的密文轉換成針對受委託者的密文，也可以將受委託者的密文轉換成針對委託者的密文, 但這需要委託者和受委託者的私鑰；在單向代理重加密中，代理服務器利用重加密密鑰只能將委託者的密文轉換成針對受委託者的密文，只需委託者的私鑰，但無法進行反向轉換^[9]。

根據密文是否可以被多次轉換，代理重加密還分為多跳和單跳兩種^[10]。多跳代理重加密允許密文被多次轉換，而單跳代理重加密只允許密文被轉換一次。

代理重加密可以用於多種場景，如數據內容共享、加密電子郵件轉發、分布式文件系統、雲計算等^[11]。

假設數據所有者（如愛麗絲）打算將存儲在雲中的敏感數據共享給另一個授權用戶（如鮑勃）。理想情況下，除了鮑勃之外，任何人都無法訪問請求的數據。

愛麗絲可以在上傳共享數據到半信任的雲服務器之前，用她自己的公鑰加密敏感數據。在收到鮑勃的數據共享請求後，愛麗絲使用自己的私鑰和鮑勃的公鑰生成一個代理重加密密鑰，並將該密鑰發送給半信任的雲服務器。有了這個代理重加密密鑰，雲服務器可以將用愛麗絲公鑰加密的密文轉換成用鮑勃公鑰加密的密文。轉換後的密文只能由鮑勃解密，而雲服務器無法得知明文或愛麗絲和鮑勃的私鑰。最終，鮑勃可以使用自己的私鑰下載並解密請求的數據。^[9]

在一般的郵件加密中，發送給用戶的電子郵件都會用用戶的公鑰加密，要閱讀郵件必須先用用戶的私鑰解密。假設用戶愛麗絲要出差一段時間，她希望秘書鮑勃在此期間幫助處理解密郵件。直接將愛麗絲的私鑰交給鮑勃顯然不是一個好的辦法。

通過使用代理重加密技術，愛麗絲可以將代理重加密密鑰交給郵件服務器。這樣，郵件服務器在無法獲知愛麗絲郵件內容的情況下，可以將這些郵件轉換為針對鮑勃加密的郵件。鮑勃收到這些郵件後，只需使用他自己的私鑰即可解密，從而幫助愛麗絲處理郵件^[12]。

愛麗絲想將消息${\displaystyle M}$通過代理重加密方式傳遞給鮑勃，如下是一個基於ElGamal加密算法的代理重加密方案：

初始設置

根據公鑰（${\displaystyle pk}$）和私鑰（${\displaystyle sk}$）生成規則： ${\displaystyle sk\leftarrow \mathbb {Z} _{p},\quad pk=g^{sk}}$。

假設愛麗絲和鮑勃已經生成了他們自己的密鑰對，${\displaystyle g}$ 是該橢圓曲線${\displaystyle G}$的生成元；${\displaystyle p}$ 是一個大質數，同時也是 ${\displaystyle G}$ 的階。

• 愛麗絲創建其私鑰與公鑰：${\displaystyle sk_{A},pk_{A}}$
• 鮑勃創建其其私鑰與公鑰：${\displaystyle sk_{B},pk_{B}}$

創建重加密密鑰

愛麗絲使用鮑勃的公鑰創建重加密密鑰 ${\displaystyle {\text{rk}}}$ ： ${\displaystyle {\text{rk}}={\frac {a}{H(({\text{pk}}_{B})^{{\text{sk}}_{A}})}}={\frac {a}{H(g^{ab})}}}$

其中，${\displaystyle H}$ 是一個哈希函數，${\displaystyle {\text{pk}}_{B}=g^{b}}$ 是鮑勃的公鑰，${\displaystyle {\text{sk}}_{A}=a}$ 是愛麗絲的私鑰。

因此，我們有： ${\displaystyle H(({\text{pk}}_{B})^{{\text{sk}}_{A}})=H((g^{b})^{a})=H(g^{ab})}$

愛麗絲加密消息

愛麗絲將消息 ${\displaystyle M}$進行加密的得到密文，密文是： ${\displaystyle C_{A}=(g^{r},M\cdot g^{ar})}$ 其中 ${\displaystyle r}$ 是一個隨機數。

代理進行重加密

代理使用重加密密鑰 ${\displaystyle {\text{rk}}}$ 對 ${\displaystyle C_{A}}$ 進行重加密： ${\displaystyle C_{B}=((g^{r})^{\text{rk}},M\cdot g^{ar})=\left(g^{\frac {ar}{H(g^{ab})}},M\cdot g^{ar}\right)}$

鮑勃解密過程

• 鮑勃使用他的私鑰 ${\displaystyle b}$ 解密：

計算 ${\displaystyle x=(C_{B,1})^{H(({\text{pk}}_{A})^{{\text{sk}}_{B}})}=\left(g^{\frac {ar}{H(g^{ab})}}\right)^{H((g^{a})^{b})}=\left(g^{\frac {ar}{H(g^{ab})}}\right)^{H(g^{ab})}=g^{ar}}$

• 提取消息:

${\displaystyle M={\frac {C_{A,2}}{x}}={\frac {M\cdot g^{ar}}{g^{ar}}}=M}$

由此，鮑勃成功解密了原始消息 ${\displaystyle M}$。

1. ^ Ran Canetti 在ACM CCS 2007 上提出了一個重要的公開性問題：如何構建一個無需雙線性配對的 CCA 安全代理重加密方案？
2. ^ 即代理重加密密鑰，意為第三方代理對委託者密文進行再次加密的密鑰。

• 周德華. 代理重加密体制的研究. 代理重加密體制的研究（博士論文） (上海交通大學). [2024-06-13]. （原始內容存檔於2024-06-13）. 
• David Nuñez. Umbral: a threshold proxy re-encryption scheme (PDF). 2018 [2024-06-13]. （原始內容存檔 (PDF)於2024-03-31）. 
• Zachary Scott. Re-encryption (PDF). Lecture 17: Re-encryption (技術報告) (600.641 Special Topics in Theoretical Cryptography). [2024-06-13].