2007同年出现的经典IBBE——密码学家们的默契

2007年同年，delerable和sakai提出了身份基的广播加密，两人的方案一模一样。加入了身份的IBBE和原始的BE有一点点相似但是又有本质不同。

这里\(msk=(g,r)\)，公钥PK包含群\(G_2\)中的向量\((h,h^r,...,h^{r^{m}})\)用于构建指数上的关于r的多项式，\(w=g^r\)，加密组件\(v=e(g,h)\)

加密产生\(Hdr=(C_1,C_2)=(w^{-k},h^{k\prod (r+H(id_i))})\)，\(C_2\)是很常规的广播，\(C_1\)是带r的对k的承诺，如果g是公钥而不是msk，用常规的\(g^{-k}\)来承诺k那么加密组件\(e(g,h)^k\)可以被任何人轻松计算，而不是持有私钥的人。

私钥产生为\(SK_{id}=g^{\frac{1}{r+H(id)}}\)，用来消除“广播组件” \(\prod (r+H(id_i))\)中的一部分，参见解密部分计算的part II，\(e(SK_{id},C_2)=e(g^{\frac{1}{r+H(id_i)}},h^{k\prod (r+H(id_j))})=e(g,h^{\prod_{j\neq i}^{S}(r+H(id_j))})^k\)。

正是因为加密中\(C_1\)带r，所以在本方案的解密的绝妙核心part I 中需要去掉r，去掉r的技巧是关键。因为不知道r，所以想要直接除r是不可以的，但是可以通过多项式降阶来做到除r的效果，多项式想要可以降阶需要没有常数项。

所以part I 的\(e(g^{-\frac{r}{k}},h^{\frac{1}{r}(\prod_{j\neq i}^{S}(r+H(id_j))-\prod_{j\neq i}^{S}H(id_j))})\)中的第二部分真的太秀了。它同时做到了三个事情，首先通过多项式降阶在不知道r的情况下消去了r，其次这种利用多项式降阶来消去r的做法利用了“去常数项的‘广播组件’”\({(\prod_{j\neq i}^{S}(r+H(id_j))-\prod_{j\neq i}^{S}H(id_j))}\)，广播组件\({\prod_{j\neq i}^{S}(r+H(id_j))}\)刚好可以和part II 进行消去，最后还刚好能够比广播组件多一个可计算的常数项 \({\prod_{j\neq i}^{S}H(id_j))}\)来构建加密组件K。