CN101889412B - 在Boneh-Franklin方案中生成私钥的方法 - Google Patents

Abstract

本发明的目的是提出一种典型Boneh-Franklin方案的替换方案以便简化不对称密钥的生成和使用。根据本发明，提出了一种在具有可跟踪私钥的公钥如密方案中利用在乘法群Z/qZ内执行所有算术运算根据最大合并系数生成由公共分量和秘密分量形成的第j个私钥的方法，其中，Q是素数，所述公共分量被定义为：

并且所述秘密分量被定义为：

其中r_j和α_j是群Z/qZ中的随机值。

Description

在Boneh-Franklin方案中生成私钥的方法

技术领域

本发明的目的是提出一种典型Boneh-Franklin方案的替换方案以便简化不对称密钥的生成和使用。

背景技术

考虑以下情况：中心希望向l个接收机广播某些数据，而只有已授权用户(通常是已支付费用的那些)能够访问数据。在商业付费电视系统中或在安全媒体分发系统中广泛部署的可能解决方案在于使用对称密钥对数据进行加密并安全地将此密钥发送到每个已授权接收机，此密钥将被存储在类似于智能卡的防篡改硬件中。

遗憾的是，防篡改硬件非常难以设计和/或成本高昂，因为其易受到各种各样的攻击。因此，恶意用户(在下文中称为叛逆者)能够尝试从其接收机中检索解密密钥并将其分发(出售或出卖)给未授权用户(盗版者)。根据使用的加密方案的性质，我们甚至能够想象不诚实的用户将尝试将多个合法密钥混合以便构建一个新的密钥并将其嵌入盗版接收设备中的情况。

识别哪些接收机的安全受到危害和/或哪些秘密密钥被泄漏的问题称为叛逆者跟踪。通常，考虑叛逆者跟踪的两种模式：在黑匣子模式中，跟踪算法向无赖接收机发送狡诈密文并旨在在观察其行为的同时确定其使用哪些密钥；在非黑匣子模式中，我们假设可以从盗版接收机提取密钥(或其组合)并且其对于跟踪算法而言是已知的。

Flat和Naor[1]引入了广播加密的概念。在其模型中，存在一组l个已授权用户和能够动态地指定能够对所选密文(类似于例如高值内容)进行解密的已授权用户的特许子集的广播中心。其后，Chor、Flat、和Naor[2]引入了叛逆者跟踪的概念以成功地抵制广播加密方案中的解密密钥剽窃的问题；在如果存在至多k个叛逆者的情况下以非常高的概率识别至少一个叛逆者的意义上，其方案是抗k用户合谋(或k弹性)。其后，Naor、Naor和Lotspiech[3，4]提出了具有跟踪能力的更高效的广播加密方案；然而，Kiayias和Pehlivanoglu[5]显示跟踪程序的迭代性允许盗版者显著地利用几个密钥的安全危害。

Boneh和Franklin[6]提出一种基于纠错代码、更确切地说是基于里德-所罗门代码的新公钥叛逆者跟踪方案。Boneh-Franklin非黑匣子叛逆者跟踪方案在只要至多k个叛逆者合谋导出新盗版密钥、就以概率1识别所有叛逆者的意义上是抗k用户合谋和确定性的。

在出版物“Linear mode implies public-key traitor tracing”Public Key Cryptography-PKC 2002，4^th International Workshop onPractice and theory in Public Key Cryptography(2002年2月14日)中，作者Kurosawa和Yoshida已指出以下非常常见的结果：其指出可以取代在Boneh和Franklin的出版物中描述的线性代码，该线性代码被任何线性代码非常精确地定义。然而，其未指出通过例如展示出具有特殊或附加性质的与Boneh和Franklin不同的线性代码来指出其主张的实用实例。

总而言之，其结果比“实用”更加“存在主义”。

在本申请中，我们描述了线性代码的非常精确的实例，其在Boneh-Franklin叛逆者跟踪方案的上下文中具有优异性能或非常具体的安全性(相对于在我们的公开之前从未被公开的攻击)。

要解决的问题

本申请的目的在于一种用于Boneh-Franklin的改善密钥生成和加密机制及相关方案。

本申请的直接益处是使用尤其最优化以允许更快的解密和密钥生成的里德-所罗门代码的可能性。实际上，对于大的系统和中等尺寸的合并，可获得几乎一个数量级的解密速度改善。

本申请还解决Boneh-Franlin方案的超阈值安全性：如果对手能够恢复2k或更多密钥，其中，k是在系统部署之前定义的最大合谋尺寸，则其能够计算任何其它秘密密钥(即使其安全未受到危害)，因此，系统的安全性完全崩溃。这主要是由于线性跟踪代码是公共的这一事实。在本申请中，我们提出一种针对此问题进行保护的方式。

Boneh-Franklin方案

原始Boneh-Franklin

我们现在详细地描述如[6]中通告和出版的原始Boneh-Franklin算法。此说明将是说明用于快速和安全可跟踪密钥及加密/解密机制的本发明的基础。

群参数生成

我们需要素数阶q的群G_q(即，预备了算术运算的一组元素)，其中，判定Diffie-Hellman问题是困难的。可以想到三种主要的选择，但存在其它选择：

情况1：我们可以研究群Z/pZ的q阶的子群，其中p和q是大的素数，并且其中q|p-1。通常，q是160位素数且p是1024位素数。群元素是要求1024位的存储/带宽的1024位数字；在Z/pZ的素数阶子群上实现Boneh-Franklin方案要求能够对160位和对1024位数字执行模加、模减、模乘和模逆(modular inversion)。

情况2：我们可以研究具有2¹⁶⁰数量级的元素的具有特征值2的有限域上的椭圆形曲线[3]的点群。群元素通常需要320位，但是点压缩技术允许将此数目减少至160位的存储/带宽。对此类群实现Boneh-Franklin方案要求接收机能够对160位域元素执行加法、减法、乘法和求逆(inversion)。

情况3：我们可以研究具有大的素数特征值并具有2¹⁶⁰数量级的元素的有限域上的椭圆形曲线的点群。群元素通常需要320位，但点压缩技术允许将此数目减少至160位的存储/带宽。对此类群实现Boneh-Franklin方案需要对160位数字的模加、模减、模乘和模逆。

密钥生成

现在我们描述如在[6]中执行的可跟踪密钥公共分量γ⁽ⁱ⁾生成过程。为了便于理解，我们从现在起假设我们研究如情况1所述的乘法群。基本上，Boneh和Franklin的方法是基于里德-所罗门代码的使用。

给定以下矩阵

$A={\left(\begin{array}{ccccc}1& 1& 1& \·\·\·& 1\\ 1& 2& 3& \·\·\·& l\\ 1^2& 2^2& 3^2& \·\·\·& l^3\\ \·& \·& \·& & \·\\ \·& \·& \·& & \·\\ \·& \·& \·& & \·\\ l^{l-2k-1}& 2^{l-2l-1}& 3^{l-2l-1}& \·\·\·& l^{l-2k-1}\end{array}\right)}^{15}\left(\mathrm{mod}q\right)---\left(20\right)$

并考虑A的零空间的基b₁、...、b_2k，构建新的矩阵

将

视为是B的行。因此，

包含每个长度为2k的l个代码字。通过观察到A的行的跨度中的任何矢量对应于在点1、...、l处评估的至多l-2k-1次的多项式，可以使用拉克朗日插值来构造B的行。

使k表示最大允许合并尺寸(即，在保持跟踪性质的同时潜在地可能被盗版者混合的密钥的最大数目)。使g表示我们实现Boneh-Franklin方案的素数阶q的群Gq的生成元。使l表示Boneh-Franklin系统中的接收机的最大数目。使1≤i≤l表示第i个接收机的身份。计算以下值：

1.将第i个Boneh-Franklin可跟踪密钥公共分量计算为Z/qZ上的以下2k值矢量：

γ⁽ⁱ⁾＝(u_i mod q， iu_i mod q，i²u_i mod q，...，i^2k-1u_i modq)    (1)

其中，

$u_i={(\underset{j=1}{\overset{i-1}{\mathrm{\Π}}}-j)}^{-1}\mathrm{mod}q---\left(2\right)$

并且

$u_{i+1}=\frac{i-1}{u_i(i-l)}\mathrm{mod}q$ 对于2≤i≤l-1.  (3)

2.通过生成2k个密值r_j计算公钥：

r_j∈R Z/qZ对于1≤j≤2k            (4)

并计算

对于1≤j≤2k.         (5)

生成2k个密值α_j：

α_j∈RZ/qZ对于1≤j≤2k            (6)

并且最后将值y计算为

$y=\underset{j=1}{\overset{2k}{\mathrm{\Π}}}{h}_j^{{\mathrm{\α}}_j}---\left(7\right)$

然后将公钥定义为是(2k+1)值的矢量

(y，h₁，...，h_2k)                 (8)

3.从第i个可跟踪密钥公共分量导出插入第i个接收机中的第i个私钥秘密分量θ_i

γ⁽ⁱ⁾＝(γ₁ ⁽ⁱ⁾，...，γ_2k ⁽ⁱ⁾)as

${\mathrm{\θ}}_i=\frac{\mathrm{\Σ}{r}_j{\mathrm{\α}}_j}{\mathrm{\Σ}{r}_j{\mathrm{\γ}}_j^{\left(i\right)}}\mathrm{mod}q---\left(9\right)$

加密

为了将消息m∈G_q加密，我们首先生成随机值a∈R Z/qZ并将密文定义为是(2k+1)值的矢量

(m·y^a，h₁ ^a，...，h_2k ^a)          (10)

解密

给定密文c＝(s，p₁，...，p_2k)，很容易看出可以通过使用第i个私钥秘密组成分量θ_i进行计算以恢复m

$m=\frac{s}{{\left({\mathrm{\Π}}_{j=1}^{2k}{p}_j^{{\mathrm{\γ}}_j^{\left(i\right)}}\right)}^{{\mathrm{\θ}}_i}}---\left(11\right)$

其中，

是用来导出θ_i的可跟踪私钥的公共分量。

发明内容

为了简化不对称密钥、特别是具有可跟踪私钥的公钥加密方案中由公共分量和秘密分量形成的私钥的生成和使用，我们提出一种在具有可跟踪私钥的公钥加密方案中利用在乘法群Z/qZ内执行所有算术运算根据最大合并系数k生成由公共分量γ⁽ⁱ⁾和秘密分量θ_i形成的第i个私钥的方法，其中，q是素数。

所述公共分量被定义为：

γ⁽ⁱ⁾＝(1，b mod q，b² mod q，...，b^2k-1 mod q)

并且所述秘密分量被定义为：

${\mathrm{\θ}}_i=\frac{\mathrm{\Σ}{r}_j{\mathrm{\α}}_j}{\mathrm{\Σ}{r}_j{\mathrm{\γ}}_j^{\left(i\right)}}\mathrm{mod}q$

其中r_j和α_j是群Z/qZ中的均匀分布的随机值，1≤j≤2k，并且其中，值b可以是公共且可容易计算的或秘密且统计上解相关的。

在上述方法中，相应的公钥被定义为：

(y，h₁，...，h_2k)

其中，对于1≤j≤2k，h_j＝r_jg，并且g是q阶的加法群G的生成元，

并且 $y={\mathrm{\Σ}}_{j=1}^{2k}{\mathrm{\α}}_j{h}_j.$

还提出一种用上述方法生成的私钥对密文c进行解密以获得消息m的方法，该密文被如下格式化：

c＝(s，c₁，...，c_2k)；s，c₁，...，c_2k是q阶加法群G的成员，所述解密如下：

$m=s-\left(\mathrm{\Σ}{c}_j{\mathrm{\γ}}_j^{\left(l\right)}\right){\mathrm{\θ}}_i$

其中，在所述q阶的加法群G中执行所有算术计算。

此外，我们提出两种可能的变体以便比具有相同跟踪和安全性质的原始Boneh-Franklin方案更快地对任何类型的消息进行加密。

具体实施方式

用于快速解密的可跟踪密钥

我们现在提出一种可跟踪私钥公共分量生成过程，其允许导出提供显著改善的解密速度的公共分量。

在前面，我们注意到可以使用递归公式Eq.(3)来计算分量γ⁽ⁱ⁾；此操作通常在广播中心中是可行的，但在接收机中不是。此外，我们可以注意到，研究2⁸⁰次运算的常见安全配置，公共分量γ⁽ⁱ⁾的元素具有160位的全部长度。

此新方法如下工作：在前述密钥生成过程中，将步骤1替换为

1’我们将第i个快速Boneh-Franklin可跟踪私钥公共分量计算为Z/qZ上的以下2k值的矢量：

γ⁽ⁱ⁾＝(1，imod q，i² mod q，...，i^2k-1 mod q).    (12)

下文提出的方法得到相当小的幂大小，其可以急剧地加速接收机中的密文解密：将(11)重写为

$m=\frac{s}{{\left({\mathrm{\Πp}}_j^{i^{j-1}}\right)}^{{\mathrm{\θ}}_i}}=\frac{s}{{\left({\left({\left(p_{2k}^i{p}_{2k-1}\right)}^i{p}_2\right)}^i{p}_1\right)}^{{\mathrm{\θ}}_i}}---\left(13\right)$

对于例如l＝2²⁰而言，我们可以通过具有2k个20位幂的模幂和一个160位幂来变换2k+1个具有160位幂的模幂。这是多于7倍的加速。

根据本发明的特定实施例，q高于2¹²⁷以便避免产生离散对数问题的普通攻击。

本方法的另一优点是接收机能够计算解密密钥的公共分量而不需要评估等式(3)的递归公式。

用于增加安全的可跟踪密钥

在实际场景中，可能存在攻击者可能任意地具有2k个秘密分量θ_i的情况。本发明的这部分具体地描述如何能够在这种情况下保护系统。我们通过描述实际上可能发生并允许攻击者导出系统中的每个私钥的攻击。

让我们假设对于1≤s≤2k而言对手已设法获得2k个私有元素θ_i。将

假设为是公共的。然后，我们假设将Z/qZ上的等式(9)重写为：

在ω_j＝r_j/∑r_jα_j的情况下：请注意，ω_j是对手未知的系数。然而，在2k个私有元素的情况下，我们具有2k个线性等式的系统，其具有2k个变量，具有使用简单高斯消去法向对手显示ω_j的值的单一解。根据那些系数，对手可以计算系统中的任何其它私钥

对手不仅将能够创建密钥的许多不可跟踪组合，而且其还将能够分发新导出的密钥，因此无知用户(其密钥是先前从未被危及安全的)将被控告叛逆。

现在我们提出一种可跟踪密钥生成过程，其允许导出对能够收集2k或更多个密钥的盗版者具有抵抗力的可跟踪密钥。这种新方法如下工作：

1”我们将可跟踪私钥的第i个快速Boneh-Franklin公共分量计算为Z/qZ上的2k值的矢量：

γ⁽ⁱ⁾＝(1，ζmod q，ζ² mod q，...，ζ^2k-1 mod q).     (14)

其中，对于每个γ⁽ⁱ⁾而言，随机地独立并均匀地提取ζ∈_R Z/qZ。

我们注意到接收机必须将整个表示

d⁽ⁱ⁾＝(θ_iγ₁ ⁽ⁱ⁾，...，.θ_2kγ_2k ⁽ⁱ⁾        (15)

存储在防篡改存储器中，因此，上述公共分量变成秘密的。

可能的变体将在于通过用以秘密密钥为参数的密码安全伪随机函数(或排列)来处理i和/或附加信息来根据i导出ζ。

混合加密

为了对消息m∈G_q进行加密，标准Boneh-Franklin加密程序需要生成随机值a∈_R Z/qZ并将密文定义为是(2k+1)值的矢量

(m·y^a，h₁ ^a，...，h_2k ^a)        (16)

在最实际的情况下，消息m在于对称会话密钥k中，其随后被用来将某些内容加密，因为m具有有限的长度(通常不超过20字节)。此外，可能需要将群元素映射到对称密钥的散列函数。

我们提出绕过这些中间步骤并使用以下两种可能变体之一比标准Boneh-Franklin方案更快地对任何类型的消息进行加密，但保持相同的跟踪和安全性质。

1.为了对消息m ∈{0，1}*(即任意长度的位串)进行加密，我们首先生成随机值a∈R Z/qZ并将密文定义为是(2k+1)值的矢量

$(m\⊕\mathrm{PRF}(n,y^a),{h_1}^a,\·\·\·,{h_{2k}}^a)---\left(17\right)$

其中，PRF(.，.)表示密码安全伪随机函数。例如，其可以是在计数器上评估的HMAC-SHA1、HMAC-SHA256或块密码，并且其中，将y^a视为是对称密钥且n是现时值(例如，计数器足够地增值许多次以生成足够的密钥流)。这里，可以用任何群定律来替换XOR运算

2.为了对消息m∈{0，1}*进行加密，我们首先生成随机值a∈R Z/qZ并将密文定义为是(2k+1)值的矢量

(E(m，y^a)，h₁ ^a，...，h_2k ^a)        (18)

其中，E(.，.)是块密码或基于块密码的任何对称加密方案，并且其中，将y^a视为是密钥。可能的变体将在于使用散列函数将y^a值映射成密钥。另一可能变体是需要类似于初始矢量的附加信息的加密方案E(.，.)。

应用领域

在付费电视系统中，可跟踪不对称密钥的使用在打击盗版方面是优点。付费电视接收机(或其安全模块)被加载私钥，即公共分量γ⁽ⁱ⁾和秘密分量θi。每个付费电视接收机，诸如机顶盒、多媒体设备或无线便携式设备(DVB-H)包括至少一个私钥。秘密分量优选地被存储在安全容器中，诸如SIM卡、任何类型的防篡改存储器的智能卡。

在实际示例中，将以以下方式对视频/音频数据分组PS分组进行加密，假设我们用乘法群和HMAC-SHA256作为函数PRF进行工作(参见公式(17))：

-生成均匀分布的随机值a，

-使用公钥的最后2k个元素计算h₁ ^a、h₂ ^a、...h_2k ^a(参见公式(8))，

-使用公钥的第一元素来计算y^a，

-将PC分组划分成256位的大块分组，其可能保持少于256位的残余分组，

-将指数初始化为任意常数(通常为0)，

-对于每个大块，计算具有y^a作为密钥的指数的HMAC-SHA256，该指数对于每个块被更新，并对于各块应用XOR函数(或任何群运算)

-在存在残余大块的情况下，通过在应用XOR函数之前提取对应于残余大块的位数的位数来调整HMAC-SHA256值，

-将XOR函数之后的结果值和h₁ ^a、h₂ ^a、...、h_2k ^a发送到接收机。

在接收机侧，将接收到的值h₁ ^a、h₂ ^a、...、h_2k ^a视为2k个值，即p₁、p₂、...p_2k。

为了提取音频/音频数据PS分组，将执行以下步骤：

-使用私钥的γ⁽ⁱ⁾公共分量来计算

并且θ_i是该私钥的秘密分量，

-通过以与在加密操作期间定义的相同方式定义指数，执行与在发送器侧进行的运算相同的HMAC-SHA256运算。

这样，广播中心可以向所有接收机发送音频/视频分组的全局加密版本；那些接收机使用其自己的私钥对该分组进行解密。愿意实现非官方(非法)接收机的盗版者将必须嵌入唯一私钥(或多个私钥的混合)以便对分组进行解密。有此类无赖接收机在手，付费电视运营商则可以恢复盗版私钥并可能使用另一机制将其撤消和/或可能采取针对已购买原始(损坏的)接收机采取合法或任何其它行动，假设此类链路存在的话。

作为将分组与HMAC结果混合的替代，使用密钥K用标准对称加密方案对分组进行加密，此密钥在与HMAC结果的混合步骤处使用。

根据另一实施例，通过使用y^a值作为密钥(例如CBC模式下的TDES)用对称加密方案对所述分组进行加密。根据替换实施例，首先在使用y^a值作为密钥之前对其应用散列函数。优选地当y^a值的大小与对称加密方案密钥的大小不同时情况如此。

另一种可能的应用领域涉及针对盗版的软件保护。我们可以假设将软件连同包含用于每个包的不同私钥的硬件加密狗一起出售。此加密狗能够将包含在软件中的全局密文解密并获得使用软件所需的信息片。如果盗版者愿意克隆加密狗并将其出售，则其必须至少嵌入私钥。有此类盗版加密狗在手，软件售卖者随后可以恢复所涉及的私钥并针对已购买原始(损坏的)加密狗的人采取合法或任何其它行动，假设此类链路存在。

参考文献

[1]A.Fiat and M.Naor，“Broadcast encryption”，CRYPTO’93，Lecture Notes inComputer Science 773，pp.480-491，Springer-Verlag，1994.

[2]B.Chor，A.Fiat and M.Naor，“Tracing Traitors”，CRYPTO’94，Lecture Notes inComputer Science 839，pp.257-270，Springer-Verlag，1994.

[3]J.Lotspiech，D.Naor and M.Naor，“Method for broadcast encryption and keyrevocation of stateless receivers”，US patent 7’039’803.

[4]J.Lotspiech，D.Naor and M.Naor，“Method for tracing traitor receivers in abroadcast encryption system”，US patent 7’010’125.

[5]A.Kiayias and S.Pehlivanoglu，“Pirate evolution：how to make the most ofyour traitor keys”，CRYPTO’07，Lecture Notes in Computer Sciences 4622，pp.448-465，Springer-Verlag，2007.

[6]D.Boneh and M.Franklin，“An efficient public-key traitor tracing scheme”，CRYPTO’99，Lectu re Notes in Computer Sciences 1666，pp.338-353，Springer-Verlag，1999.

Claims (11)

1.一种在具有可跟踪私钥的公钥加密方案中根据最大合并系数k利用在乘法群Z/qZ内执行所有算术运算生成由公共分量γ⁽ⁱ⁾和秘密分量θ_i形成的第i个私钥的方法，其中q是素数，

所述公共分量被定义为：

γ⁽ⁱ⁾＝(1，i mod q，i² mod q，...，i^2k- 1mod q)

所述秘密分量被定义为

${\mathrm{\θ}}_i=\frac{\mathrm{\Σ}{r}_j{\mathrm{\α}}_j}{\mathrm{\Σ}{r}_j{\mathrm{\γ}}_j^{\left(i\right)}}\mathrm{mod}q$

其中，r_j和α_j是群Z/qZ中的均匀分布的随机值，1≤j≤2k。

2.根据权利要求1的方法，其中，q高于2¹²⁷。

3.根据权利要求1或2的方法，其中，相应的公钥被定义为：(y、h₁、...、h_2k)，其中，对于1≤j≤2k，

并且g是q阶的乘法群G的生成元，

并且 $y={\mathrm{\Π}}_{j=1}^{2k}{h}_j^{{\mathrm{\α}}_j}$

4.根据权利要求1或2的方法，其中，相应的公钥被定义为：

(y，h₁，...，h_2k)

其中，对于1≤j≤2k，

并且g是q阶的加法群G的生成元，

并且 $y={\mathrm{\Σ}}_{j=1}^{2k}{\mathrm{\α}}_j{h}_j.$

5.根据权利要求1或2的方法，其中，i选自1至l，l是对应于给定公钥的生成的不同私钥的数目。

6.一种用如权利要求1至5中任一项所述生成的私钥对密文c进行解密以获得消息m的方法，该密文被如下格式化：

c＝(s，c₁，...，c_2k)；s，c₁，...，c_2k是q阶的乘法群G的成员，所述解密如下：

$m=\frac{s}{{\left({\mathrm{\Π}}_{c_j}^{{\mathrm{\γ}}_j^{\left(i\right)}}\right)}^{{\mathrm{\θ}}_i}},$

其中，在所述q阶的乘法群G中执行所有算术计算。

7.一种用如权利要求1至5中任一项所述生成的私钥对密文c进行解密以获得消息m的方法，该密文被如下格式化：

c＝(s，c₁，...，c_2k)；s，c₁，...，c_2k是q阶加法群G的成员，所述解密如下：

$m=s-\left(\mathrm{\Σ}{c}_j{\mathrm{\γ}}_j^{\left(l\right)}\right){\mathrm{\θ}}_l$

其中，在所述q阶的加法群G中执行所有算术计算。

8.一种用如权利要求1至5中任一项所述生成的私钥对密文c进行解密以获得消息m的方法，该密文被如下格式化：

c＝(s，c₁，...，c_2k)；c₁，...，c_2k是q阶加法群G的成员，并且s是任意位串，

所述解密如下：

m＝DK(s)，并且其中，如下计算K：

其中，在所述q阶的加法群G中执行所有算术计算，并且D是对称加密方案的对称解密方案且K是密钥。

9.一种用如权利要求1至5中任一项所述生成的私钥对密文c进行解密以获得有效负荷m的方法，该密文被如下格式化：

c＝(s，c₁，...，c_2k)；c₁，...，c_2k是q阶乘法群G的成员，并且s至少包括加密的有效负荷m，

所述解密如下：

m＝D_K(s)，并且其中，如下计算K：

其中，在所述q阶乘法群G中执行所有算术计算，并且D是对称加密方案的对称解密方案且K是密钥。

10.根据权利要求8或9的方法，其中，所述加密的有效负荷还包含对称解密方案D所需的附加信息。

11.根据权利要求8或9的方法，其中，所述对称解密方案D使用K’＝H(K)，其中，H是散列函数。