当前,格上在适应性选择密文攻击下满足不可区分性（IND-CCA2）的加密方案主要有两个.Peikert和Waters提出损耗陷门单向函数的新型密码原语,基于该密码原语可以构造一个基于LWE问题的格基IND-CCA2加密方案[98].第二个CCA安全的加密方案是由Peikert借助混合加密的思想设计的[27].该方案借助2k 个公开矩阵实现安全证明中模拟解密预言机的方法[27]也借鉴了损耗陷门单向函数的设计思想[98].遗憾的是Peikert的方案包含2k +1 个随机矩阵充当公钥,使得方案的公钥尺寸巨大,大大增加了系统的通信、存储和计算负荷.因此如何降低格基CCA安全的加密方案的公钥尺寸成为一个重要的研究课题.

这一节中我们将Gentry提出的一个能够实现CPA安全的加密方案[29]与著名的盆景树算法结合,提出了一个高效的CCA安全的公钥加密方案.基于判定型LWE问题的困难性和一个一次签名方案的强不可伪造性,我们证明本节提出的方案满足IND-CCA2安全性.本节的构造中我们使用一个与3.4节、3.5节类似的公钥选择技术实现了方案公钥长度的大幅缩小.事实上我们仅需要k+1 个随机矩阵即可完成方案的安全证明.此外方案的明密文扩展因子也得到有效的控制,本文的明密文扩展因子仅稍大于Gentry的CPA方案[29]的扩展因子.以下首先介绍加密方案的IND-CCA2安全性[99].(www.daowen.com)