形式化模型
在无证书加密体制中,用户的私钥 $S_U$ 实际上由两部分组成,一部分是 KGC 生成的 $D_U$,另一部分是用户自己生成的 $x_U$,这种方法使得 KGC 不知道用户的完全私钥 $S_U$,解决了基于身份的密码体制中密钥托管问题。此外,私钥包含了 KGC 生成的部分私钥 $D_U$,消除了基于 PKI 密码体制中的公钥证书。
攻击者希望从密文 c 中恢复出明文信息 m 或者是获得接收者的私钥 $S_U$ 。
机密性游戏
类型 I 敌手
(敌手不知道主密钥,但可以任意替换用户的公钥)
在解密询问阶段,如果敌手 A 已经替换了 $ID_U$ 的公钥,那么 C 不知道公钥对应的秘密值,这种情况下,如果要求敌手 A 提供公钥对应的秘密值 $x_U$,那么称这种解密询问为弱解密询问,否则称为强解密询问。
类型 II 敌手
(敌手知道主密钥 s ,但不能替换用户的公钥)
