CN107294718A

CN107294718A - 一种标准模型中可撤销的密钥策略基于属性加密方法

Info

Publication number: CN107294718A
Application number: CN201710686590.1A
Authority: CN
Inventors: 明洋; 乔正阳
Original assignee: Changan University
Current assignee: Changan University
Priority date: 2017-08-09
Filing date: 2017-08-09
Publication date: 2017-10-24
Anticipated expiration: 2037-08-09
Also published as: CN107294718B

Abstract

本发明公开了一种标准模型中可撤销的密钥策略基于属性加密方法：首先进行用户的私钥提取，用户私钥与指定的访问结构绑定，提取私钥后，在加密属性集合和属性撤销集合下进行基于属性的加密，然后再进行解密。当接收者收到密文进行解密时，如果密文中的属性集合满足用户私钥中的访问结构，则输出明文消息；否则输出拒绝；本发明是利用双系统加密技术和合数阶双线性对，基于静态假设下的一种可撤销的密钥策略基于属性加密方法，在标准模型中证明所提方案是选择安全的，能够实现属性撤销、加密两种功能，保护用户的隐私。

Description

一种标准模型中可撤销的密钥策略基于属性加密方法

技术领域

本发明属于计算机信息安全技术领域，涉及一种加密方法，尤其是一种标准模型中可撤销的密钥策略基于属性加密方法。

背景技术

2005年，Sahai和Waters两位学者首次提出基于属性加密(Attribute BasedEncryption，简称ABE)的思想，方案中满足(t,n)门限访问结构的接收者能够解密。2006年，Goyal等学者扩展了ABE的概念，在宏观上将ABE分为密钥策略基于属性加密(KP-ABE)及密文策略基于属性加密(CP-ABE)两类。KP-ABE方案中用户密钥与指定的访问结构绑定，密文则与加密属性集合绑定，当密文中绑定的属性集合满足用户密钥中指定的访问结构时，用户可完成解密；CP-ABE方案中密文与指定的访问结构绑定，用户密钥则与描述用户的属性集合绑定，当用户密钥中绑定的属性集合满足密文中指定的访问结构时，用户可完成解密。

通过属性定义用户符合实际，然而用户属性不是一成不变的，当用户离开系统或属性失效时，需要对相应的属性进行撤销。属性撤销是ABE实际应用中必须解决的问题，属性的撤销按照撤销执行结构的不同分为间接撤销模式和直接撤销模式。间接撤销模式中，如果撤销发生，未撤销用户的密钥或密文需要由可信机构或第三方代理进行更新。直接撤销模式中，信息发送方在加密时直接指定要撤销的用户或属性，撤销仅影响被撤销用户，其他用户不需要进行相应更新，因而直接撤销比间接撤销更加简单实用。属性的撤销按照精度的不同分为系统属性撤销、用户属性撤销和用户的撤销。系统属性撤销影响范围广，撤销后系统内所有拥有该属性的用户均受到影响；用户属性撤销是撤销用户属性集合中的某个或某些属性，属于细粒度撤销；而用户的撤销是使某用户的所有属性失效。

在可撤销KP-ABE的研究方面，2007年，Ostrovsky等学首次提出了直接撤销的KP-ABE方案，方案中使用“非”这一特殊属性标记被撤销用户，与其他属性一起构成加密属性集合，用户收到密文后，如果其属性集合中含有“非”这一特殊属性，就无法解密，实现了系统属性和用户的撤销，该方案的密钥和密文长度较大。2008年，Staddon等学者基于访问树结构和逻辑门实现了系统属性和用户的直接撤销，然而该方案的系统参数随属性全集线性增长。2008年，Boldyreva等学者基于二叉树结构，通过更新密钥实现了系统属性和用户的间接撤销，方案中将用户密钥分为两部分，一部分绑定访问结构，另一部分绑定授权机构定期发布的时间信息，撤销则是通过更新二叉树中覆盖非撤销用户的最小节点集合的密钥完成。2009年，Attrapadung等学者提出了支持直接撤销的两个KP-ABE方案和两个CP-ABE方案，其中的KP-ABE方案将用户身份标识和属性同时嵌入到密钥中，通过用户身份的撤销实现属性的撤销。同年，Attrapadung和Iami两位学者利用混合方法同时实现了系统属性和用户身份的直接和间接撤销，然而该方案不能细粒度地完成用户属性撤销，且系统参数依然随属性全集线性增长。2011年，Qian等学者基于合数阶双线性映射，通过将二叉树中的叶子节点与用户身份一一对应实现了系统属性和用户的直接撤销。2012年，Zhang等学者基于线性秘密共享结构提出了完全安全的直接撤销方案，然而其依然只能支持系统属性和用户身份的撤销。2015年，Shi等学者基于多线性映射，将线性秘密共享和路径密钥覆盖技术相结合，借助于第三方实现了用户属性的直接撤销，方案系统参数较大且限定了加密时嵌入到密文中的属性个数。2015年，Datta等学者基于多线性映射，利用与或门实现了支持布尔回路解密策略的两个用户直接撤销方案，方案中用户数量恒定，不易扩展。2016年，Datta等学者基于素数阶静态假设，结合线性秘密共享和完全二叉树技术，实现了用户的直接撤销，方案虽取得固定的系统参数长度，但用户数量固定，扩展性差。

密钥策略基于属性加密广泛应用于审计日志、付费电视和分布式传感网络等系统的安全通信中。在上述系统中，为了能够灵活地改变授予用户的访问权限，需要高效撤销用户属性。现有技术中有可撤销的密钥策略基于属性加密，但撤销效率很低，因此，如何构建高效的可撤销的密钥策略基于属性加密方法具有十分重要的现实意义。

发明内容

本发明的目的在于克服上述现有技术的缺点，提供一种标准模型中可撤销的密钥策略基于属性加密方法，其利用双系统加密技术和合数阶双线性对，基于静态假设下的一种可撤销的密钥策略基于属性加密方法，在标准模型中证明所提方案是选择安全的，能够实现属性撤销、加密两种功能，保护用户的隐私。

本发明的目的是通过以下技术方案来实现的：

这种标准模型中可撤销的密钥策略基于属性加密方法，首先提取用户私钥，所述用户私钥与指定的访问结构绑定；提取私钥后，在加密属性集合和属性撤销集合下进行基于属性的加密，然后再进行解密；当接收者收到密文进行解密时，如果密文中的属性集合满足用户私钥中的访问结构，则输出明文消息；否则输出拒绝。

进一步，以上方法具体包括以下步骤：

步骤一、系统建立

1)输入安全参数λ，属性全集Z_N，合数N＝p₁p₂p₃和双线性对e:G×G→G_T；

2)密钥生成中心PKG随机选择a,t∈Z_N，计算u＝g^t；

3)密钥生成中心PKG输出系统参数为：

Params＝{N,G,G_T,e,g,h,u,v,w,e(g,g)^a}；主密钥为MSK＝a；

步骤二、用户密钥生成

1)(A_m×n,ρ)为LSSS(线性秘密共享)方案，A_m×n为Z_N上的m×n矩阵，A_i表示矩阵A_m×n的第i行，ρ(i)∈Z_N表示行A_i经过ρ映射所得到的属性，其中i∈{1,2,···,m}；

2)密钥生成中心PKG随机选择r,α₁,···,α_m,β₁,···,β_m,v₂,···,v_n∈Z_N，定义向量计算A_i的秘密份额对i∈{1,2,···,m}，计算则属性ρ(i)对应的密钥为

步骤三、加密

1)输入消息M，加密属性集合属性撤销集合加密者随机选择s₁,s₂,···,s_r∈Z_N，计算

2)加密者随机选择r₁,r₂,···,r_l∈Z_N，计算C₀＝Me(g,g)^as，则密文为：

步骤四、解密

当接收者接收到密文时，执行如下步骤：

1)如果接收者属性集合Q满足且Z∈(A_m×n,ρ)时，对所有ρ(k)∈Z,k∈Q，计算λ_k满足Σ_ρ(k)∈Zλ_kτ_k＝a+rt；

2)用私钥来解密接收到的密文：

3)验证以下方程的有效性：

如果有效，输出明文消息M；否则输出拒绝。

本发明具有以下有益效果：

本发明针对现有基于属性加密中属性撤销效率低下和撤销精度过粗的问题，利用双系统加密技术和合数阶双线性对，基于静态假设下提出一种可撤销的密钥策略基于属性加密方法，在标准模型中证明所提方案是选择安全的，能够实现属性撤销、加密两种功能，保护用户的隐私。

进一步，本发明提供电子文档的标准模型中合数阶下可撤销的密钥策略基于属性加密，能够同时提供属性撤销、加密两种功能，保护了电子文档的隐私性。

具体实施方式

本发明的标准模型中可撤销的密钥策略基于属性加密方法，首先提取用户私钥，所述用户私钥与指定的访问结构绑定；提取私钥后，在加密属性集合和属性撤销集合下进行基于属性的加密，然后再进行解密；当接收者收到密文进行解密时，如果密文中的属性集合满足用户私钥中的访问结构，则输出明文消息；否则输出拒绝。该方法按照以下步骤实施：

步骤一、系统建立

2)密钥生成中心PKG随机选择a,t∈Z_N，计算u＝g^t；

3)密钥生成中心PKG输出系统参数为：

Params＝{N,G,G_T,e,g,h,u,v,w,e(g,g)^a}，主密钥为MSK＝a。

步骤二、用户密钥生成

1)(A_m×n,ρ)为LSSS方案(线性秘密共享)，A_m×n为Z_N上的m×n矩阵，A_i表示矩阵A_m×n的第i行，ρ(i)∈Z_N表示行A_i经过ρ映射所得到的属性，其中i∈{1,2,···,m}；

步骤三、加密

2)加密者随机选择r₁,r₂,···,r_l∈Z_N，计算C₀＝Me(g,g)^as，则密文为

步骤四、解密

当接收者接收到密文时，执行如下步骤：

1)如果接收者属性集合Q满足且Z∈(A_m×n,ρ)时，对所有ρ(k)∈Z,k∈Q，计算λ_k满足∑_ρ(k)∈Zλ_kτ_k＝a+rt；

2)用私钥来解密接收到的密文：

3)验证以下方程的有效性：

如果有效，输出明文消息M；否则输出拒绝。

下面分别给出本发明标准模型中合数阶下可撤销的密钥策略基于属性加密方法的正确性和安全性证明：

正确性

本发明提出的标准模型中合数阶下可撤销的密钥策略基于属性加密方法是正确性的。

接收者收到关于消息M的密文，若该密文是按如上步骤生成并且传输的过程中没有改变，不难证明：

为了证明方案的安全性，定义半功能密钥和半功能密文如下：

半功能密钥：根据密钥生成算法可得ρ(i)的正常密钥ρ(i)的半功能密钥为：

(1)如果ρ(i)∈Z^*，则

(2)如果随机选择计算

半功能密文：根据加密算法可得正常密文

随机选择σ∈Z_N，半功能密文为：

C₀＝C′₀,C₂＝C′₂,C₃＝C′₃,

定义下列游戏：

Game_KP-RABE：真实的安全游戏。

Game_C：与Game_KP-RABE相同，除了挑战密文为半功能。

Game_F：与Game_C相同，除了密钥为半功能。

满足半功能密文恒定性、半功能密钥恒定性和半功能安全性的双系统KP-RABE方案是可证安全的。

半功能密文恒定性：对任意多项式时间攻击者A，如果A在Game_C中的优势可忽略的接近于Game_KP-RABE中的优势，则采用双系统加密技术的KP-RABE方案П_D＝(Setup,KeyGen,KeyGen_F,Encrypt,Encrypt_F,Decrypt)满足半功能密文恒定性，表示为

半功能密钥恒定性：对任意多项式时间攻击者A，如果A在Game_F中的优势可忽略的接近于Game_C中的优势，则采用双系统加密技术的KP-RABE方案Ⅱ_D＝(Setup,KeyGen,KeyGen_F,Encrypt,Encrypt_F,Decrypt)满足半功能密钥恒定性，表示为

基于半功能密钥恒定性上，定义一次半功能密钥恒定性。为了说明该性质定义下面两个游戏：

Game₀：攻击者指定询问的密钥类型是正常的或半功能的，挑战者按照攻击者的具体指定回答密钥询问。在某一时刻，攻击者提出挑战密钥询问，挑战者返回正常密钥，挑战密文为半功能密文。

Game₁：与Game₀相同，除了挑战者以半功能密钥回答挑战密钥询问。

一次半功能密钥恒定性：对任意PPT攻击者A，如果A在Game₀中的优势可忽略的接近于Game₁中的优势，则采用双系统加密技术的KP-RABE方案П_D＝(Setup,KeyGen,KeyGen_F,Encrypt,Encrypt_F,Decrypt)满足一次半功能密钥恒定性，表示为

半功能安全性：对任意多项式时间攻击者A，如果A在Game_F中的优势是可忽略的，则采用双系统加密技术的KP-RABE方案П_D＝(Setup,KeyGen,KeyGen_F,Encrypt,Encrypt_F,Decrypt)满足半功能安全性，表示为

定理1如果一个采用双系统加密技术的KP-RABE方案Π_D＝(Setup,KeyGen,KeyGen_F,Encrypt,Encrypt_F,Decrypt)同时满足半功能密文恒定性、半功能密钥恒定性和半功能安全性，则KP-RABE方案Π＝(Setup,KeyGen,Encrypt,Decrypt)是安全的。

引理1如果静态假设1成立，所提KP-RABE方案满足半功能密文恒定性。

证明：假设存在一个多项式时间攻击者A使得不可忽略，则可以构造一个多项式时间算法B以不可忽略的优势攻破静态假设1。

初始化：攻击者A选取挑战属性集合Z^*发送给B。

系统建立：算法B给定D＝(N,G,G_T,e,g)，由B区分T₁和T₂。算法B和攻击者A交互如下：B收到挑战参数和T，随机选择y,t,z,c,a∈Z_N，计算系统参数为：

Params＝{Γ,g,h＝g^y,u＝g^t,v＝g^z,w＝g^c,e(g,g)^a}，并返回给A。

阶段1：A询问密钥，B知道主密钥a，能够回答A的所有密钥询问。

挑战阶段：当A决定结束阶段1时，A输出两个等长挑战消息M₀，M₁以及属性撤销集合R＝{z′₁,···,z′_r}并发送给B。B计算Z^*下的挑战密文，随机选择s′₁,s′₂,···,s′_r,r₁,r₂,···,r_l∈Z_N，b∈{0,1}，计算最后B发送挑战密文给A。

阶段2：与阶段1相同，除了A不能问询使得Z^*∈AS同时成立的(ρ(i),AS)。

猜测：A输出猜测b′，如果b′＝b，则攻击者A赢得游戏。

如果定义为T的部分，隐含则密文为半功能密文，B模拟了游戏Game_C；如果则密文为正常密文，B模拟了游戏Game_KP-RABE。因此，B利用A的输出获得攻破静态假设1的优势不可忽略。

引理2：如果静态假设2成立，所提KP-RABE方案满足半功能安全性。

证明：假设存在一个多项式时间攻击者A使得不可忽略，则可构造一个多项式时间算法B以不可忽略的优势攻破静态假设2。

初始化：攻击者A选取挑战属性集合Z^*发送给B。

系统建立：算法B给定D＝(N,G,G_T,e,g,g₂,g₃,g^αX₂,g^sY₂)，T₁＝e(g,g)^αs，T₂∈G_T，由B区分T₁和T₂。算法B和攻击者A交互如下：B收到挑战参数g，g₂，g₃，g^aX₂，T，随机选择y,t,z,c∈Z_N，计算系统参数为：

Params＝{Γ,g,h＝g^y,u＝g^t,v＝g^z,w＝g^c,e(g,g^aX₂)}，并返回给A。

阶段1：B为了回答对LSSS方案(A_m×n,ρ)的密钥询问，随机选择α₁,α₂,···,α_m,β′₁,β′₂,···,β′_m,r∈Z_N。随机选择向量满足首坐标为0，其余坐标值随机选择。随机选择向量满足(1)首坐标为1，(2)如果ρ(i)∈Z^*，与A_m×n的所有行正交，隐含如果随机选择f_i∈Z_N。B按下述方式计算密钥：

(1)如果ρ(i)∈Z*，计算

(2)如果计算

令γ＝c+1mod p₂,p₃；θ＝δ＝z mod p₂,p₃。如果ρ(i)∈Z^*，则β_i＝β′_imod p₁。如果则此时应答密钥为半功能密钥。

挑战阶段：当A决定结束阶段1时，A输出两个等长挑战消息M₀，M₁以及属性撤销集合R＝{z′₁,···,z′_r}并发送给B。B计算Z*下的挑战密文，随机选择s′₁,s′₂,···,s′_r,r₁,r₂,···,r_l,σ′∈Z_N，b∈{0,1}，计算：

最后B发送挑战密文给A。

猜测：A输出猜测b′，如果b′＝b，则攻击者A赢得游戏。

如果隐含和则密文为M_b的半功能密文，B模拟了游戏Game_F；如果T∈G_T为随机值，则密文为一个随机消息的半功能密文，不包含b的任何信息，A的优势为0。由于A在Game_F中的优势不可忽略，因此，B利用A的输出获得攻破静态假设2的优势不可忽略。

接下来通过Game₀，Game₁和中间游戏来证明所提KP-RABE方案是一次半功能密钥恒定性的。这一系列游戏以Game₀(挑战密钥为正常，挑战密文为半功能)开始，以Game₁(挑战密钥和密文均为半功能)结束。在中间游戏中，询问得到的正常和半功能密钥的分布与Game₀和Game₁中的分布相同，但挑战密钥和挑战密文的分布与Game₀和Game₁中不同。中间游戏定义如下：

Game′₀：与Game₀相同，除了对挑战密钥，攻击者不能提出一个访问结构(A_m×n,ρ)，使某个i满足但当挑战密钥及密文均归约到模p₃时，ρ(i)与Z^*中的某个元素相等。

保留上述游戏的模数限制，密文为半功能密文，挑战密钥为索引i的临时半功能密钥。

保留上述游戏的模数限制，密文为临时半功能密文，挑战密钥为索引i的临时半功能密钥。

保留上述游戏的模数限制，密文为半功能密文，挑战密钥为索引i的半功能密钥。

Game′₁：与Game₁相同，除了保留上述游戏的模数限制。

从Game₀到Game₁，游戏按如下顺序进行：从Game₀开始，到Game′₀，然后进行直到进行游戏即为Game′₁，最后进行Game₁。

引理3：如果静态假设3，4成立，所提KP-RABE方案满足一次半功能密钥恒定性。

证明：在上述中间游戏中，假设攻击者A在Game′₀和Game′₁中的优势具有不可忽略的差异。因为从到的步数至多为多项式级别，故一定存在i∈{1,2,···,l}，使A至少在成对游戏和和及和中的一组游戏中取得不可忽略的优势。

初始化：攻击者A选取挑战属性集合Z*发送给B。

系统建立：算法B给定D＝(N,G,G_T,e,g,g₂,X₁X₃)，由B区分T₁和T₂；算法B给定D＝(N,G,G_T,e,g,g₃,X₁X₂,Y₂Y₃)，T₂∈G，由B区分T₁和T₂。算法B和攻击者A交互如下：假设B从预言机获得元素B随机选择a,t∈Z_N，计算系统参数为Params＝{Γ,g,h,u,v,w,e(g,g)^a}，并返回给A。

阶段1：B知道主密钥a，能够回答正常密钥询问。如果A询问访问结构(A_m×n,ρ)下的半功能密钥，B随机选择α₁,···,α_m,β′₁,···,β_m′,r∈Z_N和一个首坐标为a+rt的随机向量令计算半功能密钥(隐含t′＝t mod p₁，β＝r mod p₁)：

(1)如果ρ(i)∈Z^*，计算

(2)如果计算

如果A以访问结构(A_m×n,ρ)询问挑战密钥，B以ρ(i_j)∈Z_N作为预言机的输入并对预言机作挑战密钥类型的询问，其中i_j∈{1,2,···,n}为A_i中满足的第j行的索引值。B从预言机获得四个元素(T₁,T₂,T₃,T₄)。如果j≠i_j，j∈{1,2,···,n}，B随机选择α_j,β′_j∈Z_N和一个首坐标为a+rt的随机向量令计算挑战密钥：

(1)如果ρ(i)∈Z^*，计算

(2)如果i＝i_j，随机选择r′,μ′∈Z_N，计算 (3)如果计算

如果B模拟(T₁,T₂,T₃,T₄)的分布为(w^β′,g^β′,v^β′(u^jh)^α,g^α)，其中α,β′∈Z_N随机选择，密钥为正常密钥。如果B模拟或(T₁,T₂,T₃,T₄)的分布为(w^β′,g^β′,v^β′(u^jh)^αX₂X₃,g^αY₂Y₃)，其中α,β′∈Z_N，均随机选择，密钥为临时半功能密钥。如果B模拟(T₁,T₂,T₃,T₄)的分布为(w^β′(g₂g₃)^β′γ,(gg₂g₃)^β′,v^β′(g₂g₃)^β′θ(u^jh)^α,g^α)，其中α,β′∈Z_N随机选择，密钥为半功能密钥。

挑战：如果A对M₀，M₁，Z^*＝{z₁,···,z_l}，R＝{z₁′,···,z_r′}询问挑战密文，B以z_j(所有z_j模p₃的值不能等于生成挑战密钥的ρ(i_j))作为预言机的输入并对预言机作挑战密文类型的询问。B从预言机获得三个元素随机选择s′₁,s′₂,···,s′_r∈Z_N，b∈{0,1}，计算：

最后B发送挑战密文给A。

猜测：A输出猜测b′，如果b′＝b，则攻击者A赢得游戏。

隐含如果B模拟或的分布为其中r_j∈Z_N随机选择，密文为半功能密文。如果B模拟的分布为其中r_j,x′,y′∈Z_N随机选择且x′,y′不随j的变化而改变，密文为临时半功能密文。

由于A至少在上述成对游戏中的一组中取得不可忽略的优势，故B能够以不可忽略的优势区分对应的预言机。而在静态假设3，4成立的条件下，不存在多项式时间攻击者能够以不可忽略的优势区分相应预言机。综上，在静态假设3，4成立的条件下，所提KP-RABE方案满足一次半功能密钥恒定性。

实施例：

标准模型中合数阶下一种可撤销的密钥策略基于属性加密方法

步骤1.系统建立

2)密钥生成中心PKG随机选择a，t∈Z_N，计算u＝g^t；

3)密钥生成中心PKG输出系统参数为：

Params＝{N,G,G_T,e,g,h,u,v,w,e(g,g)^a}，主密钥为MSK＝a。

步骤2.用户密钥生成

1)(A_m×n,ρ)为LSSS方案，A_m×n为Z_N上的m×n矩阵，A_i表示矩阵A_m×n的第i行，ρ(i)∈Z_N表示行A_i经过ρ映射所得到的属性，其中i∈{1,2,···,m}；

步骤3.加密

步骤4.解密

当接收者接收到密文时，执行如下步骤：

2)用私钥来解密接收到的密文：

3)验证以下方程的有效性：

如果有效，输出明文消息M；否则输出拒绝。

综上所述，本发明提供电子文档的标准模型中合数阶下可撤销的密钥策略基于属性加密，能够同时提供属性撤销、加密两种功能，保护了电子文档的隐私性。

Claims

1.一种标准模型中可撤销的密钥策略基于属性加密方法，其特征在于，首先提取用户私钥，所述用户私钥与指定的访问结构绑定；提取私钥后，在加密属性集合和属性撤销集合下进行基于属性的加密，然后再进行解密；当接收者收到密文进行解密时，如果密文中的属性集合满足用户私钥中的访问结构，则输出明文消息；否则输出拒绝。

2.根据权利要求1所述的标准模型中可撤销的密钥策略基于属性加密方法，具体包括以下步骤：

步骤一、系统建立

2)密钥生成中心PKG随机选择a,t∈Z_N，计算u＝g^t；

3)密钥生成中心PKG输出系统参数为：

Params＝{N,G,G_T,e,g,h,u,v,w,e(g,g)^a}；主密钥为MSK＝a；

步骤二、用户密钥生成

1)(A_m×n,ρ)为LSSS方案，A_m×n为Z_N上的m×n矩阵，A_i表示矩阵A_m×n的第i行，ρ(i)∈Z_N表示行A_i经过ρ映射所得到的属性，其中i∈{1,2,…,m}；

2)密钥生成中心PKG随机选择r,α₁,…,α_m,β₁,…,β_m,v₂,…,v_n∈Z_N，定义向量计算A_i的秘密份额对i∈{1,2,···,m}，计算则属性ρ(i)对应的密钥为

步骤三、加密

1)输入消息M，加密属性集合属性撤销集合加密者随机选择s₁,s₂,…,s_r∈Z_N，计算

2)加密者随机选择r₁,r₂,…,r_l∈Z_N，计算C₀＝Me(g,g)^as，则密文为：

步骤四、解密

当接收者接收到密文时，执行如下步骤：

2)用私钥来解密接收到的密文：

3)验证以下方程的有效性：

<mrow> <mfrac> <mrow> <msub> <mi>C</mi> <mn>0</mn> </msub> <mo>&CenterDot;</mo> <munderover> <mo>&Pi;</mo> <mrow> <mi>x</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>r</mi> </munderover> <msup> <mrow> <mo>(</mo> <mfrac> <mrow> <mi>e</mi> <mrow> <mo>(</mo> <msubsup> <mi>C</mi> <mi>x</mi> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> </msubsup> <mo>,</mo> <msub> <mi>d</mi> <msub> <mi>k</mi> <mn>5</mn> </msub> </msub> <mo>)</mo> </mrow> </mrow> <mrow> <mi>e</mi> <mrow> <mo>(</mo> <msubsup> <mi>C</mi> <mi>x</mi> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> </msubsup> <mo>,</mo> <msub> <mi>d</mi> <msub> <mi>k</mi> <mn>6</mn> </msub> </msub> <mo>)</mo> </mrow> </mrow> </mfrac> <mo>)</mo> </mrow> <mfrac> <mn>1</mn> <mrow> <mi>&rho;</mi> <mrow> <mo>(</mo> <mi>k</mi> <mo>)</mo> </mrow> <mo>-</mo> <msubsup> <mi>z</mi> <mi>x</mi> <mo>&prime;</mo> </msubsup> </mrow> </mfrac> </msup> </mrow> <mrow> <munder> <mo>&Pi;</mo> <mrow> <mi>&rho;</mi> <mrow> <mo>(</mo> <mi>k</mi> <mo>)</mo> </mrow> <mo>&Element;</mo> <mi>Z</mi> </mrow> </munder> <msup> <mrow> <mo>(</mo> <mfrac> <mrow> <mi>e</mi> <mrow> <mo>(</mo> <munderover> <mo>&Pi;</mo> <mrow> <mi>x</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>r</mi> </munderover> <msubsup> <mi>C</mi> <mi>x</mi> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> </msubsup> <mo>,</mo> <msub> <mi>d</mi> <msub> <mi>k</mi> <mn>1</mn> </msub> </msub> <mo>)</mo> </mrow> <mi>e</mi> <mrow> <mo>(</mo> <msub> <mi>C</mi> <mn>2</mn> </msub> <mo>,</mo> <msub> <mi>d</mi> <msub> <mi>k</mi> <mn>3</mn> </msub> </msub> <mo>)</mo> </mrow> </mrow> <mrow> <mi>e</mi> <mrow> <mo>(</mo> <msub> <mi>C</mi> <mn>1</mn> </msub> <mo>,</mo> <msub> <mi>d</mi> <msub> <mi>k</mi> <mn>2</mn> </msub> </msub> <mo>)</mo> </mrow> <mi>e</mi> <mrow> <mo>(</mo> <msub> <mi>C</mi> <mn>3</mn> </msub> <mo>,</mo> <msub> <mi>d</mi> <msub> <mi>k</mi> <mn>4</mn> </msub> </msub> <mo>)</mo> </mrow> </mrow> </mfrac> <mo>)</mo> </mrow> <msub> <mi>&lambda;</mi> <mi>k</mi> </msub> </msup> </mrow> </mfrac> <mo>=</mo> <mi>M</mi> <mo>,</mo> </mrow>

如果有效，输出明文消息M；否则输出拒绝。