Registered Attribute-Based Encryption with Publicly Verifiable Certified Deletion, Everlasting Security, and More

本文提出了首个支持公开可验证认证删除及认证永恒安全的注册属性基加密（RABE）方案，通过结合影子注册 ABE、见证加密、一次性签名及量子安全机制，在去中心化框架下实现了细粒度访问控制与不可逆的数据删除，确保即使密钥泄露或面对无限算力攻击者，数据隐私也能得到永久保护。

要点

这篇论文提出了一种非常前沿的加密技术，我们可以把它想象成给数字世界里的“保险箱”加上了一个**“一旦销毁，永不复原”**的魔法锁。

为了让你轻松理解，我们把这篇论文的核心内容拆解成几个有趣的故事场景：

1. 背景：为什么我们需要“带认证的删除”？

现在的困境：
想象你给朋友发了一封加密邮件。即使你后来把密码（解密密钥）给了别人，或者黑客偷走了密码，只要那封邮件的“副本”还在，黑客就能把内容读出来。在数字世界里，文件是可以无限复制的，就像复印机一样，你很难确保“彻底删除”了所有副本。

量子魔法（Certified Deletion）：
这篇论文利用了量子力学的特性（比如“不可克隆定理”）。这就像你写了一封**“量子信”**。

• 特点： 这封信一旦有人试图“看”它（测量），它就会发生不可逆的变化。
• 认证删除： 接收者可以执行一个操作，把信“烧掉”，并生成一张**“销毁证书”**。这张证书就像一张验尸报告，证明这封信确实已经被彻底销毁了。即使以后黑客拿到了所有的密码，面对这张证书，他们也永远无法恢复出原来的内容。

2. 核心难题：去中心化的“保险箱”

以前的问题：
以前的加密系统通常依赖一个“中央管理员”（比如银行或大科技公司）来发钥匙。如果这个管理员被黑客攻破，所有人的秘密都完了（这叫“托管漏洞”）。

新的方案：注册属性加密 (RABE)
这篇论文提出了一种**“去中心化”**的保险箱系统：

• 用户自己管钥匙： 每个人自己生成钥匙，不需要把私钥交给任何人。
• 属性控制： 比如，只有“来自北京”且“职位是经理”的人才能打开文件。
• 注册机制： 用户只需要把自己的“公钥”和“属性”注册到一个公开的“登记处”（Curator），登记处只负责整理，不碰私钥。

挑战： 如何在这样一个“没人管私钥”的系统中，实现上述的“量子销毁”？这就像要在一个没有管理员的社区里，确保每个人都能独立地、不可逆地销毁自己的秘密文件，并且让全世界都能相信销毁是真的。

3. 论文的四项主要成就（用比喻解释）

这篇论文就像是一个“魔法工具箱”，提供了四种不同的解决方案：

方案一：私人验证的销毁 (RABE-PriVCD)

• 比喻： 双重保险箱 + 一次性密码本。
• 原理：
  1. 发送者把真正的秘密（消息）用“一次性密码本”加密（这是量子安全的，删了就真没了）。
  2. 然后，把“一次性密码本的钥匙”放进那个“去中心化的属性保险箱”里。
  3. 结果： 只有符合属性的人才能拿到钥匙，打开保险箱，拿到“一次性密码本”，再解密秘密。
  4. 销毁： 接收者销毁“一次性密码本”并生成证书。因为密码本是量子的，一旦销毁，就算以后拿到了保险箱的钥匙，也打不开那个已经消失的密码本了。
• 验证： 只有发送者（拥有验证密钥的人）能确认销毁是真的。

方案二：公开验证的销毁 (RABE-PubVCD)

• 比喻： 只有一次的“签名笔”。
• 原理：
  1. 引入了一种神奇的“一次性签名笔”（One-shot Signature）。这支笔只能签一次名，要么签"0"，要么签"1"，不能两个都签。
  2. 加密时： 系统说：“谁能证明我签过'0'，谁就能解密。”
  3. 销毁时： 接收者用笔签了"1"，并生成证书。
  4. 魔法： 因为笔只能签一次，一旦签了"1"，就永远无法再签"0"了。所以，解密所需的条件（签过"0"）永远无法再满足。
• 验证： 任何人（不需要私钥）都可以检查这张证书，确认笔确实签了"1"，从而确认文件已不可恢复地销毁。

方案三 & 四：永恒安全 (Certified Everlasting Security)

这是更高级的魔法。

• 普通安全： 假设黑客现在的电脑不够快，算不出密码。但也许 10 年后，量子计算机出现了，就能算出来。
• 永恒安全： 这篇论文保证，哪怕 1000 年后，拥有无限算力的超级黑客，只要看到了“销毁证书”，也绝对、绝对无法恢复数据。
• 原理： 利用量子力学的“测不准原理”。
  • 私人版： 发送者把秘密藏在量子态里。接收者销毁时，必须用错误的“角度”去测量它。这就像试图用错误的钥匙孔去开锁，不仅打不开，还会把锁芯彻底破坏。一旦破坏，信息就永远消失了，连上帝（无限算力的黑客）也救不回来。
  • 公开版： 给这个量子态加上了“数字签名”，让全世界都能验证这个“锁芯”确实被破坏了。

4. 总结：这为什么很重要？

这篇论文就像是在构建一个**“数字世界的自毁装置”**：

1. 去中心化： 不需要信任任何大公司或政府机构，每个人都能掌控自己的数据。
2. 细粒度控制： 只有特定条件的人（如特定部门、特定地点）才能看。
3. 不可逆删除： 这是最关键的。它解决了“数据一旦生成就永远存在”的焦虑。你可以放心地发送敏感信息，并确信：“一旦我让你销毁了，就算世界末日重启，或者未来出现了超级计算机，这些数据也永远回不来了。”

一句话总结：
这就好比你在一个没有管理员的社区里，给每个人发了一把特殊的“量子保险箱”。这个保险箱不仅只有符合特定条件的人能开，而且一旦主人决定“自毁”，保险箱就会物理性地消失，并留下一张全世界都能看到的“自毁证明”，保证里面的秘密永远、永远无法被找回。

技术摘要

1. 研究背景与问题 (Problem)

核心挑战：中心化信任与数据删除的矛盾

• 认证删除 (Certified Deletion, CD)： 旨在确保加密数据在被删除后，即使未来解密密钥泄露，也无法被恢复。这通常利用量子力学的“不可克隆定理”来实现。
• 现有局限： 现有的认证删除方案（如 ABE-CD）大多依赖中心化权威机构（Central Authority）来生成和分发密钥。这引入了“密钥托管”（Key Escrow）漏洞：一旦权威机构被攻破，整个系统的安全性将崩溃。
• 去中心化需求： 注册属性基加密（Registered Attribute-Based Encryption, RABE）通过让用户自行生成密钥并仅注册公钥，消除了密钥托管问题。然而，将认证删除功能集成到去中心化的 RABE 框架中极具挑战性，因为 RABE 中的策展人（Curator）不持有用户的私钥，难以协调独立组件以确保证书生成的完整性和信息的不可逆销毁。
• 永恒安全性 (Everlasting Security)： 更进一步，研究希望实现“认证永恒删除”，即一旦删除证书生成，即使面对具有无限计算能力的未来攻击者，数据隐私也能得到信息论级别（Information-theoretic）的保护。

核心研究问题：
能否在不依赖可信中心机构的情况下，构建支持认证删除和认证永恒删除的注册属性基加密（RABE）方案？

---

2. 方法论与核心技术 (Methodology)

本文提出了一套分层构建的框架，通过引入新的原语和组合现有密码学工具来解决上述问题。

2.1 核心原语：影子注册属性基加密 (Shadow RABE, Shad-RABE)

这是本文最基础的构建模块。

• 定义： 一种具有“接收者不承诺”（Receiver Non-Committing）安全性的 RABE 变体。
• 功能： 除了标准的 RABE 算法外，还包含一组模拟算法（SimKeyGen, SimRegPK, SimCorrupt, SimCT, Reveal）。这些算法允许在安全证明中模拟密钥生成、注册和密文，而无需知道真实的秘密信息。
• 构造： 结合了注册属性基加密（RABE）、零知识论证（ZKA）和可区分混淆（iO）。
• 作用： 为后续的认证删除方案提供必要的模拟能力，使得安全证明可以在不暴露真实密钥的情况下进行。

2.2 方案一：私有可验证认证删除 (RABE-PriVCD)

• 架构： 采用混合加密策略。
  1. 生成一个对称密钥 $k$。
  2. 使用 Shad-RABE 对 $k$ 进行加密（基于属性策略）。
  3. 使用 带认证删除的对称密钥加密 (SKE-CD) 对消息 $m$ 进行加密（密钥为 $k$）。
• 验证机制： 验证密钥 $vk$ 即为对称密钥 $k$。只有拥有 $k$ 的发送者才能验证删除证书，因此是私有可验证的。
• 安全性基础： 基于格假设（LWE）的 Shad-RABE 和无条件安全的 SKE-CD（基于 BB84 态）。

2.3 方案二：公开可验证认证删除 (RABE-PubVCD)

• 挑战： 私有验证中 $vk$ 是密钥，无法公开。
• 解决方案： 引入一次性签名 (One-Shot Signatures, OSS) 和 见证加密 (Witness Encryption, WE)。
  1. 接收者生成 OSS 密钥对 $(pk, sk)$，其中 $sk$ 是量子态。
  2. 发送者使用见证加密加密消息，见证语句为“存在对消息 0 的有效签名”。
  3. 使用 Shad-RABE 对见证加密的密文进行封装。
  4. 删除： 接收者对消息 1 进行签名（OSS 签名）。由于 OSS 的一次性特性，一旦签了 1，就无法再签 0，导致见证加密无法解密。
• 验证机制： 任何第三方都可以公开验证对消息 1 的签名，从而实现公开可验证。

2.4 永恒安全性扩展 (RABE-CED)

• 原理： 利用量子不确定性原理。
  • 私有版 (RABE-PriVCED)： 消息被编码在 BB84 量子态 $|x\rangle_\theta$ 中，基 $\theta$ 和掩码信息通过 RABE 加密。删除时测量量子态，若测量基错误，信息永久丢失。
  • 公开版 (RABE-PubVCED)： 在 BB84 态上应用相干签名（Coherent Signature），生成可公开验证的删除证书。
• 安全性： 一旦删除证书生成，即使攻击者拥有无限计算能力（包括未来的量子计算机），也无法恢复信息（信息论安全）。

---

3. 主要贡献 (Key Contributions)

1. 首创性： 提出了世界上首个支持认证删除和认证永恒删除的注册属性基加密 (RABE) 方案，填补了去中心化框架下量子安全删除的空白。
2. 新原语 (Shad-RABE)： 设计了“影子注册属性基加密”原语，成功将接收者不承诺安全性引入去中心化环境，解决了 RABE 中策展人无密钥导致的模拟难题。
3. 双重验证模型：
   • 构建了私有可验证方案 (RABE-PriVCD)，利用混合加密和对称密钥验证。
   • 构建了公开可验证方案 (RABE-PubVCD)，利用一次性签名和见证加密，实现了无需秘密信息的第三方审计。
4. 永恒安全性实现： 将认证删除升级为认证永恒删除 (RABE-CED)，确保在删除后，即使面对计算能力无限的攻击者，数据依然安全。
5. 后量子安全性： 所有方案均基于格 (Lattice) 假设（如 LWE, $\ell$-succinct LWE, Equivocal LWE）构建，能够抵抗量子计算机攻击。

---

4. 实验结果与安全性分析 (Results)

• 安全性证明：
  • 通过一系列混合实验（Hybrid Experiments），证明了方案在量子多项式时间（QPT）攻击者下的安全性。
  • RABE-PriVCD/PubVCD： 证明了认证删除安全性（Certified Deletion Security），即删除后无法恢复。
  • RABE-PriVCED/PubVCED： 证明了认证永恒安全性（Certified Everlasting Security），即删除后即使面对无界攻击者，信息也是不可区分的（Trace Distance 可忽略）。
• 实现基础：
  • 利用 Champion 等人 [CHW25] 的格基 RABE。
  • 利用 Bitansky 等人 [BS20] 的零知识论证。
  • 利用 Cini 等人 [CLW25] 的格基可区分混淆 (iO)。
  • 利用 Broadbent & Islam [BI20] 的无条件安全 SKE-CD。
• 效率： 方案保持了 RABE 的紧凑性（Ciphertext 大小与用户数量无关，仅与策略深度相关），并实现了亚线性更新效率。

---

5. 意义与影响 (Significance)

1. 消除密钥托管风险： 将认证删除从依赖中心化权威的传统模型中解放出来，使其适用于大规模、去中心化的云存储和物联网场景，解决了单点故障问题。
2. 合规性与隐私保护： 公开可验证的删除证书使得监管机构或第三方审计员可以在不接触密钥的情况下，验证数据是否被彻底销毁，满足了 GDPR 等法规中“被遗忘权”（Right to be Forgotten）的严格要求。
3. 面向未来的安全： 引入“永恒安全性”概念，为数据提供了超越计算假设的保护。即使未来出现破解当前加密算法的超级计算机或量子算法，只要删除操作已执行，数据依然安全。
4. 理论突破： 成功融合了属性基加密（细粒度访问控制）、注册加密（去中心化密钥管理）和量子密码学（不可克隆与认证删除），为后量子时代的隐私保护协议设计提供了新的范式。

总结：
该论文通过创新的“影子注册”架构和巧妙的量子密码学组合，成功解决了去中心化环境下数据不可逆删除的难题，并进一步实现了信息论级别的永恒安全，是后量子密码学和隐私保护领域的重要里程碑。