介绍ABE Squared：一个比较ABE方案效率的框架

作者：Antonio de la Piedra（Kudelski安全研究团队）、Marloes Venema（内梅亨拉德堡德大学）、Greg Alpar（内梅亨拉德堡德大学和荷兰开放大学）。

属性基加密（ABE）是一种优雅的公钥密码学类型，其中密钥与属性相关联。它可用于对敏感数据进行细粒度访问控制，而云是一个完美的用例。

过去，我们已经展示了如何攻击基于属性的加密方案。这次，我们向自己提出了以下问题：鉴于已发布的无数ABE方案，我们能否准确测量它们的效率，以了解哪一个是最好的？如果是，实现这一目标的最佳方式是什么，以及“最好”是什么意思？

为了回答这个问题，我们创建了ABE Squared，一个用于比较ABE方案效率并根据设计目标优化它们的框架，同时考虑不同的优化层。

我们本周在CHES 2022上介绍了ABE Squared。

属性基加密

ABE方案通常包括4个算法：设置、密钥生成、加密和解密。在典型的ABE部署中，一方（例如Alice）希望根据基于属性的特定访问策略（例如医生或护士）保护她的敏感数据。为此，Alice将向密钥生成机构（KGA）请求系统的主公钥（MPK），并相应地加密她的数据。

只有拥有与医生、护士属性相关的密钥的各方才能满足Alice建立的访问策略并解密。在我们的示例中，Bob收到了与医生和约翰霍普金斯医院属性相关的密钥，这些密钥满足（在这种情况下是医生）Alice建立的访问策略。

如今，成熟的ABE方案主要基于配对密码学，并且实现起来具有挑战性。许多ABE方案的实现依赖于快速原型框架，如CHARM，并且通常只优化了方案的部分内容。这可能是有问题的，因为实现ABE方案需要处理许多变量，例如访问策略的实现、群运算和类型转换。所有这些领域都取决于我们设计的ABE应用程序类型。为了帮助ABE应用程序的设计过程，提高ABE方案设计者的基准测试能力，并提供能够根据设计目标获得ABE方案优化版本的启发式方法，我们创建了ABE Squared。

ABE Squared

ABE Squared考虑了所有优化层。作为输入，它接收方案的理论描述，并生成直接产生最有效实现的方案描述。

在这个过程中，我们选择设计目标，这是至关重要的。例如，某些应用程序可能需要优化的密钥生成变体，例如KGA的实现。为了实现这一点，每一层都需要优化，我们根据这些设计目标创建优化方法：

• 我们首先通过基准测试方案中使用的算术和群操作在可用的配对友好群中的效率来分析它们。
• 我们展示了在选定配对友好群中可用算法的效率下，如何优化计算顺序。
• 我们展示了如何在这些群中实例化方案，以在特定设计目标下获得最佳效率。为此，我们提供了新的手动和启发式技术，将方案从类型1转换为类型3，并获得以下方案变体：优化加密（OE）、优化密钥生成（OK）、优化解密（OD）以及平衡方法，如密钥生成/加密和加密/解密。

设计目标的重要性

为了展示在设计ABE方案时拥有设计目标的重要性，我们采用了Wat11-I方案，并使用BLS-12-381配对友好曲线进行了实现。

我们使用了所有启发式方法来获得同一方案的OD、OE和OK变体：

• 如果我们将优化的密钥生成变体与优化为加密或解密的变体进行比较，我们会发现后者比前者多需要143%的周期。
• 如果我们将优化的加密变体与优化为密钥生成的变体进行比较，我们会发现后者比前者多需要153.3%的周期。
• 最后，如果我们将优化的解密变体与优化为密钥生成的实现进行比较，我们会发现后者大约多需要8%的周期。在这种情况下，百分比很小，因为在ABE中，解密算法主要涉及配对操作，而较少的群操作。

使用ABE Squared比较ABE方案

我们可以问的另一个问题是：对于哪种操作（例如密钥生成、加密、解密）以及使用哪种配对友好曲线，哪种方案是最好的？为了说明ABE Squared的工作原理，我们选择了3个具有相同实际属性和结构的ABE方案：AC17-LU、Wat11-IV和RW13。

我们看到，通常，BLS-12-381配对友好曲线提供最佳性能。此外，AC17-LU是执行加密和解密的最佳方案，而RW13方案是密钥生成的最佳方案。

我们以询问自己测量ABE方案效率的最佳方式是什么开始了这篇文章。我们已经看到，只有首先将方案优化到相同的设计目标，我们才能公平地比较它们。如果您想了解更多关于我们的优化启发式和ABE Squared的信息，您可以在IACR ePrint服务中阅读我们的论文。