郝學(xué)軒， 曹艷梅， 張方國， 陳曉峰

1. 西安電子科技大學(xué) 網(wǎng)絡(luò)與信息安全學(xué)院， 西安 710071

2. 中山大學(xué) 計(jì)算機(jī)學(xué)院， 廣州 510006

3. 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室， 廣州 510006

通信作者: 郝學(xué)軒， E-mail: haoxuexuan@stu.xidian.edu.cn

1 引言

加密技術(shù)是保障數(shù)據(jù)機(jī)密性的最常用手段. 傳統(tǒng)的加密技術(shù)提供了語義安全性，使得敵手(adversary)截獲不安全信道上的密文時(shí)， 無法獲得關(guān)于它所對應(yīng)的明文消息的任何信息. 考慮一個(gè)能力更強(qiáng)的敵手，稱為脅迫者(coercer)， 他們有能力接近發(fā)送方和(或) 接收方， 并脅迫他們交出所有的私有信息: 明文、用于加密的隨機(jī)值和私鑰. 對于一般的加密方案而言， 一旦密文、明文和加密時(shí)的隨機(jī)值(或私鑰) 同時(shí)暴露給脅迫者， 脅迫者就可以通過自己運(yùn)行一遍加密算法(或解密算法) 來驗(yàn)證當(dāng)事人是否說謊. 為了能在上述場景中仍能夠保障數(shù)據(jù)的機(jī)密性， Canetti 等人[1]在CRYPTO ’97 上給出了一個(gè)可行的解決方法， 稱為可否認(rèn)加密(deniable encryption). 可否認(rèn)加密允許發(fā)送方和(或) 接收方， 對已經(jīng)執(zhí)行了的一些加密通信， 制造“假的” (但看起來合法的) 加密時(shí)的隨機(jī)值或私鑰， 打開(open) 密文到另一條明文消息， 以抵御脅迫攻擊. 因此， 可否認(rèn)加密技術(shù)對保護(hù)脅迫場景中的隱私數(shù)據(jù)和敏感信息不被泄露具有重要的意義. 具體來說， 可否認(rèn)加密可以用于電子投票、電子拍賣、安全多方計(jì)算、云存儲(chǔ)服務(wù)等可能存在脅迫者的場景中. 目前， 已有許多工作研究了可否認(rèn)加密方案的構(gòu)造方法， 但現(xiàn)有的可否認(rèn)加密方案在效率和可否認(rèn)性方面還存在不足， 或是難以實(shí)現(xiàn). 如何設(shè)計(jì)一個(gè)高效、安全、實(shí)用的可否認(rèn)加密方案仍是一個(gè)難題.

本文主要概述了可否認(rèn)加密技術(shù)的研究進(jìn)展. 第2 節(jié)介紹了可否認(rèn)加密的不同分類方法， 給出了不同類別的可否認(rèn)加密的安全性定義. 第3 節(jié)、第4 節(jié)、第5 節(jié)分別詳細(xì)論述了可否認(rèn)公鑰加密、可否認(rèn)對稱加密和其他密碼原語中的可否認(rèn)技術(shù)的研究進(jìn)展. 第6 節(jié)闡述了可否認(rèn)加密的應(yīng)用. 第7 節(jié)闡述了與可否認(rèn)加密類似的工作. 第8 節(jié)對關(guān)鍵的研究工作和技術(shù)進(jìn)行了總結(jié)和展望.

2 可否認(rèn)加密的分類及安全性定義

Canetti 等人[1]在引入可否認(rèn)加密概念的同時(shí)， 給出了可否認(rèn)加密的不同分類方法和安全性定義， 后續(xù)的工作也對它們進(jìn)行了補(bǔ)充[2-4]. 本節(jié)將對可否認(rèn)加密的分類方法和不同類別的可否認(rèn)加密的安全性定義進(jìn)行概述.

2.1 可否認(rèn)加密的分類

文獻(xiàn)[1] 首先將可否認(rèn)加密按照被脅迫對象分為發(fā)送方可否認(rèn)加密(sender-deniable encryption)(敵手只脅迫發(fā)送方)、接收方可否認(rèn)加密(receiver-deniable encryption)(敵手只脅迫接收方)以及發(fā)送方和接收方可否認(rèn)加密(sender-and-receiver-deniable encryption)(敵手同時(shí)脅迫發(fā)送方和接收方). 他們還區(qū)分了共享密鑰可否認(rèn)加密(shared-key deniable encryption)(雙方間需要預(yù)先共享一些信息) 和公鑰可否認(rèn)加密(public-key deniable encryption)(雙方?jīng)]有預(yù)先通信). 此外， 他們引入了一個(gè)稍微弱一些的可否認(rèn)概念， 稱為“靈活的可否認(rèn)(flexible deniability)”(在該文的預(yù)備版本[5]中稱為“多分布式可否認(rèn)(multidistributional deniability)”)， 區(qū)別于一般定義的可否認(rèn)概念(又稱為“完全可否認(rèn)(full deniablility)”).

完全可否認(rèn)和多分布式可否認(rèn)可以看作是可否認(rèn)加密系統(tǒng)的兩種模型. 在完全可否認(rèn)中， 只存在一套類似于普通公鑰加密的方案， 包括密鑰生成算法KeyGen、加密算法Enc 和解密算法Dec， 發(fā)送方和接收方只需通過各自的偽造算法FakeS和FakeR對于敵手已經(jīng)截獲到的密文和一個(gè)虛假的明文來分別產(chǎn)生加密時(shí)用到的隨機(jī)值或者私鑰. 而多分布式可否認(rèn)中存在兩套方案: 誠實(shí)的方案(KeyGen，Enc，Dec) 和可用于否認(rèn)的方案(DKeyGen，DEnc，Dec)， 其中誠實(shí)的方案不能用于可否認(rèn)， 而可用于否認(rèn)的方案為實(shí)現(xiàn)否認(rèn)，不僅要通過偽造算法產(chǎn)生加密時(shí)用到的隨機(jī)值或者私鑰， 還需要當(dāng)事人聲稱始終用的是誠實(shí)的方案.

隨著可否認(rèn)加密技術(shù)的不斷發(fā)展， 可否認(rèn)加密方案按照不同分類標(biāo)準(zhǔn)有著不同的分類方法， 如圖1 所示.

圖1 可否認(rèn)加密方案分類Figure 1 Taxonomy of deniable encryption schemes

圖1 中黑體部分的文字表示同一種分類方法下的最優(yōu)類別. 也就是說一個(gè)最優(yōu)的可否認(rèn)加密方案應(yīng)是雙方可否認(rèn)的、完全模型下的、自組織的、非交互式的， 且具有可忽略不計(jì)的可否認(rèn)性. 然而， 已有研究表明， 不存在同時(shí)滿足以上幾種性質(zhì)且安全的可否認(rèn)加密方案[2]. 可否認(rèn)加密的不同分類之間存在一定的制約關(guān)系， 請參考3.4 節(jié).

2.2 可否認(rèn)加密的安全性定義

一個(gè)(完全) 可否認(rèn)公鑰加密方案(假設(shè)消息空間為M) 由一套公鑰加密方案(KeyGen，Enc，Dec)、發(fā)送方偽造算法FakeS和接收方偽造算法FakeR組成， 具體定義如下:

· KeyGen(1λ)→(pk，sk): 密鑰生成算法. 輸入安全參數(shù)λ， 輸出公鑰pk 和私鑰sk.

· Enc(pk，m;r)→c: 加密算法. 輸入公鑰pk、明文m ∈M和隨機(jī)值r， 輸出密文c.

· Dec(sk，c)→{m，⊥}: 解密算法. 輸入私鑰sk 和密文c， 輸出明文m ∈M或⊥.

· FakeS(pk，m，r，mf)→rf: 發(fā)送方偽造算法. 輸入公鑰pk、原始消息m、原始隨機(jī)值r和虛假消息mf， 輸出虛假隨機(jī)值rf， 滿足Enc(pk，m;r)=Enc(pk，mf;rf).

· FakeR(sk，c，mf)→skf: 接收方偽造算法. 輸入私鑰sk， 密文c和虛假消息mf， 輸出虛假私鑰skf， 滿足Dec(c，skf)=mf.

具體來說， 發(fā)送方可否認(rèn)加密方案ΠS= (KeyGen，Enc，Dec，F(xiàn)akeS)， 接收方可否認(rèn)加密方案ΠR=(KeyGen，Enc，Dec，F(xiàn)akeR)， 雙方可否認(rèn)加密方案ΠB=(KeyGen，Enc，Dec，F(xiàn)akeS，F(xiàn)akeR).

下面分別介紹完全模型下的可否認(rèn)加密方案的正確性、安全性和可否認(rèn)性的定義.

正確性: 若對于(pk，sk)←KeyGen(1λ)， 加密任意消息m ∈M得到密文c ←Enc(pk，m;r)， 通過m′←Dec(sk，c) 得到的解密消息m′∈M，m′/=m的概率是可忽略不計(jì)的， 則該方案是正確的.

安全性2這里的“安全性” 指的是僅考慮存在非脅迫性敵手時(shí)加密方案所要保障的安全性.一般定義為選擇明文攻擊下的不可區(qū)分性(IND-CPA)， 可以用如下敵手和挑戰(zhàn)者之間的游戲來描述:

- 初始化. 挑戰(zhàn)者運(yùn)行(pk，sk)←KeyGen(1λ)， 然后把pk 交給敵手A.

- 挑戰(zhàn). 敵手A輸出m0，m1∈M交給挑戰(zhàn)者. 挑戰(zhàn)者隨機(jī)選擇b ∈{0，1}， 對于隨機(jī)的r， 產(chǎn)生c ←Enc(pk，mb;r)， 交給敵手A.

- 猜測. 敵手A輸出猜測b′∈{0，1}.IND-CPA 安全性: 對于任意概率多項(xiàng)式時(shí)間的敵手A， 其在上述游戲中的優(yōu)勢AdvA=Pr[b′=b]-1/2 是可忽略不計(jì)的， 則該方案是IND-CPA 安全的.

發(fā)送方可否認(rèn)性可以用如下敵手和挑戰(zhàn)者之間的游戲來描述:

- 初始化. 挑戰(zhàn)者運(yùn)行(pk，sk)←KeyGen(1λ)， 然后把pk 交給敵手A.

- 挑戰(zhàn). 敵手A輸出m，m′∈M交給挑戰(zhàn)者. 挑戰(zhàn)者對于隨機(jī)的r， 產(chǎn)生c ←Enc(pk，m;r) 和c′←Enc(pk，m′;r)， 并計(jì)算rf ←FakeS(pk，m，r，m′). 挑戰(zhàn)者隨機(jī)選擇b ∈{0，1}， 當(dāng)b= 0 時(shí)，輸出(c′，r); 當(dāng)b=1 時(shí)， 輸出(c，rf). 挑戰(zhàn)者把輸出結(jié)果交給敵手A.

- 猜測. 敵手A輸出猜測b′∈{0，1}.

發(fā)送方可否認(rèn)性: 對于任意概率多項(xiàng)式時(shí)間的敵手A， 其在上述游戲中的優(yōu)勢AdvA=Pr[b′=b]-1/2是可忽略不計(jì)的， 則該方案是發(fā)送方可否認(rèn)的3. 如果存在δ(λ)， 使得AdvA ≤δ(λ)+negl(λ)， 則稱該方案是δ(λ)-發(fā)送方可否認(rèn)加密方案.

接收方可否認(rèn)性可以用如下敵手和挑戰(zhàn)者之間的游戲來描述:

- 初始化. 挑戰(zhàn)者運(yùn)行(pk，sk)←KeyGen(1λ)， 然后把pk 交給敵手A.

- 挑戰(zhàn). 敵手A輸出m，m′∈M交給挑戰(zhàn)者. 挑戰(zhàn)者對于隨機(jī)的r， 產(chǎn)生c ←Enc(pk，m;r) 和c′←Enc(pk，m′;r)， 并計(jì)算skf ←FakeR(sk，c，m′). 挑戰(zhàn)者隨機(jī)選擇b ∈{0，1}， 當(dāng)b= 0 時(shí)， 輸出(c′，sk); 當(dāng)b=1 時(shí)， 輸出(c，skf). 挑戰(zhàn)者把輸出結(jié)果交給敵手A.

- 猜測. 敵手A輸出猜測b′∈{0，1}.

接收方可否認(rèn)性: 對于任意概率多項(xiàng)式時(shí)間的敵手A， 其在上述游戲中的優(yōu)勢AdvA=Pr[b′=b]-1/2是可忽略不計(jì)的， 則該方案是接收方可否認(rèn)的. 如果存在δ(λ)， 使得AdvA ≤δ(λ)+negl(λ)， 則稱該方案是δ(λ)-接收方可否認(rèn)加密方案.

雙方可否認(rèn)不僅要求同時(shí)滿足發(fā)送方可否認(rèn)和接收方可否認(rèn)， 還要求敵手無法從兩者所提供的隨機(jī)值之間的關(guān)聯(lián)中獲得額外信息， 其可以用如下游戲來描述:

- 初始化. 挑戰(zhàn)者運(yùn)行(pk，sk)←KeyGen(1λ)， 然后把pk 交給敵手A.

- 挑戰(zhàn). 敵手A輸出m，m′∈M交給挑戰(zhàn)者. 挑戰(zhàn)者對于隨機(jī)的r， 產(chǎn)生c ←Enc(pk，m;r) 和c′←Enc(pk，m′;r)， 并計(jì)算rf ←FakeS(pk，m，r，m′) 和skf ←FakeR(sk，c，m′). 挑戰(zhàn)者隨機(jī)選擇b ∈{0，1}， 當(dāng)b= 0 時(shí)， 輸出(c′，r，sk); 當(dāng)b= 1 時(shí)， 輸出(c，rf，skf). 挑戰(zhàn)者把輸出結(jié)果交給敵手A.

- 猜測. 敵手A輸出猜測b′∈{0，1}.

雙方可否認(rèn)性: 對于任意概率多項(xiàng)式時(shí)間的敵手A， 其在上述發(fā)送方可否認(rèn)性定義的游戲和接收方可否認(rèn)性定義的游戲中的優(yōu)勢都是可忽略不計(jì)的， 則該方案是雙方可否認(rèn)的.

下面介紹多分布式模型下的可否認(rèn)加密方案與完全模型下的可否認(rèn)加密方案的區(qū)別.

多分布式模型下的可否認(rèn)加密方案相比于完全可否認(rèn)加密方案， 增加了可用于否認(rèn)的密鑰生成算法DKeyGen 和可用于否認(rèn)的加密算法DEnc， 它們的算法定義分別與KeyGen 和Enc 相同. 多分布式模型下的可否認(rèn)加密方案中的正確性和IND-CPA 安全性要求誠實(shí)的方案(KeyGen，Enc，Dec) 和可用于否認(rèn)的方案(DKeyGen，DEnc，Dec) 都滿足正確性和IND-CPA 安全性. 此外， 為了保證(非脅迫性) 敵手無法判斷當(dāng)事人所使用的是誠實(shí)的算法還是可用于否認(rèn)的算法， 還要求由KeyGen(1λ) 和DKeyGen(1λ) 所產(chǎn)生的pk， 以及由Enc(pk，m;·) 和DEnc(pk，m;·) 所產(chǎn)生的c是計(jì)算不可區(qū)分的.

多分布式模型下的可否認(rèn)性要求依靠可用于否認(rèn)的算法和偽造算法產(chǎn)生的通信與依靠誠實(shí)的算法產(chǎn)生的通信不可區(qū)分， 發(fā)送方可否認(rèn)、接收方可否認(rèn)和雙方可否認(rèn)分別可以用下游戲來表示:

發(fā)送方可否認(rèn)接收方可否認(rèn)雙方可否認(rèn)(pk，sk)←KeyGen(1λ)(pk，sk0)←DKeyGen(1λ)m，m′ ∈M ←A(pk)(pk，sk0)←DKeyGen(1λ)m，m′ ∈M ←A(pk)c0 ←Enc(pk，m′;r0)m，m′ ∈M ←A(pk)c0 ←Enc(pk，m′;r0)c1 ←DEnc(pk，m;r0)c0 ←Enc(pk，m′;r)c1 ←DEnc(pk，m;r0)r1 ←FakeS(pk，m，r0，m′)c1 ←Enc(pk，m;r)r1 ←FakeS(pk，m，r0，m′)sk1 ←FakeR(sk0，c，m′)b ←r {0，1}sk1 ←FakeR(sk0，c，m′)b ←r {0，1}b′ ←A(cb，rb)b ←r {0，1}b′ ←A(cb，skb)b′ ←A(cb，rb，skb)

如果對于任意概率多項(xiàng)式時(shí)間的敵手A， 其在上述游戲中的優(yōu)勢AdvA= Pr[b′=b]-1/2 分別是可忽略不計(jì)的， 則該方案是多分布式模型下的發(fā)送方可否認(rèn)/接收方可否認(rèn)/雙方可否認(rèn)的.

事先計(jì)劃的可否認(rèn)加密(plan-ahead deniable encryption) 是一種常見的對多比特消息加密的可否認(rèn)加密方式. 相比于自組織的可否認(rèn)加密(ad-hoc deniable encryption)， 事先計(jì)劃的可否認(rèn)加密方案通常更容易設(shè)計(jì)， 且對密鑰長度沒有限制. 在事先計(jì)劃的可否認(rèn)加密中， 需要在加密前決定被敵手脅迫時(shí)可以交出的一個(gè)或多個(gè)虛假消息， 并在加密算法中做特殊處理. 具體來說， 事先計(jì)劃的可否認(rèn)加密方案的加密算法可以表示為Enc(pk，m;r，mf1，mf2，···，mft)， 其中mf1，mf2，···，mft表示事先計(jì)劃的虛假消息; 而在偽造算法Fake 中，mf只能從mf1，mf2，···，mft里選其一. 由于事先計(jì)劃的虛假消息可以看做局部隨機(jī)性的一部分， 其正確性、安全性和可否認(rèn)性定義這里不再贅述.

3 可否認(rèn)公鑰加密技術(shù)

3.1 發(fā)送方可否認(rèn)公鑰加密方案

3.1.1 Canetti 等人的方案

在CRYPTO ’97 上， Canetti 等人[1]在給出可否認(rèn)加密概念的同時(shí)， 設(shè)計(jì)了若干發(fā)送方可否認(rèn)加密方案. 首先， 他們引入了“半透明集” 的概念: 假設(shè)存在一個(gè)集合家族{St}t∈N， 其中St ?{0，1}t， 連同“陷門信息(trapdoor information)”dt， 滿足:

(1)St是小的: 對于足夠大的k(t)，|St|≤2t-k.

(2) 即使不知道陷門信息dt， 生成一個(gè)隨機(jī)元素x ∈St也是容易的.

(3) 給定x ∈{0，1}t和dt， 確定是否x ∈St是容易的.

(4) 如果不知道dt， 從St中均勻選擇的值與從{0，1}t中均勻選擇的值是不可區(qū)分的.

半透明集可以通過陷門置換或基于格的公鑰密碼系統(tǒng)[6]來構(gòu)造， 利用半透明集可以直接構(gòu)造單一方向(從1 到0) 上的可否認(rèn)加密方案. 為了實(shí)現(xiàn)0 和1 之間的雙向偽造， 他們構(gòu)造了“奇偶方案(parity scheme)”. 具體方案如下:

設(shè)St ?{0，1}t是一個(gè)半透明集. 分別稱從St中均勻抽取的元素和從{0，1}t中均勻抽取的元素為S元素和R元素. 根據(jù)半透明集的性質(zhì)， 打開加密時(shí)可以將S元素聲明為R元素， 但不能把R元素聲明為S元素.

· 加密: 加密0 時(shí)， 選擇隨機(jī)的偶數(shù)i ∈0，1，···，n; 加密1 時(shí)， 選擇隨機(jī)的奇數(shù)i ∈0，1，···，n. 構(gòu)造一個(gè)密文包含i個(gè)S元素和n-i個(gè)R元素.

· 解密: 輸出接收到的密文中S元素個(gè)數(shù)的奇偶性.

· 誠實(shí)地打開加密: 揭示用于生成密文的隨機(jī)選擇.

· 非誠實(shí)地打開加密: 設(shè)i是發(fā)送方選擇的隨機(jī)數(shù). 發(fā)送方聲明她選擇的是i-1 而不是i(相當(dāng)于翻轉(zhuǎn)i的奇偶性). 為此， 她聲稱密文中的第i個(gè)元素(原本是S元素) 是R元素. 如果密文中沒有S元素(即i=0)， 則偽造失敗.

他們證明了該方案是一個(gè)4/n-發(fā)送方可否認(rèn)加密方案. 進(jìn)一步， 他們提出了一種多分布式可否認(rèn)加密方案(文中稱為“靈活的可否認(rèn)加密”)， 該方案是可以看做奇偶方案中n=2 時(shí)的一個(gè)變種， 具體如下:

設(shè)T0={R，R}，T1=C1={S，R}，C0={S，S}.

· 加密: 加密b而不保留非誠實(shí)打開的能力時(shí)， 發(fā)送V ∈Tb. 加密b且保留非誠實(shí)打開的能力時(shí)， 發(fā)送V ∈Cb.

· 解密: 輸出V中的S元素的個(gè)數(shù)的奇偶性.

· 打開從Tb的加密: 揭示真實(shí)的隨機(jī)選擇.

· 打開從C0的加密為v: 如果v= 0 則聲明V選自{R，R}(將兩個(gè)S元素都聲明為R元素). 如果v=1 則聲明V選自{S，R}(將其中任一S元素聲明為R元素).

· 打開從C1的加密為v: 如果v=0 則聲明V選自{R，R}(將S元素聲明為R元素). 如果v=1

則揭示用于生成V的真實(shí)隨機(jī)選擇.

該方案具有較弱的可否認(rèn)模型(脅迫者會(huì)質(zhì)疑發(fā)送方為什么會(huì)使用誠實(shí)的算法)， 但可否認(rèn)性能達(dá)到可忽略不計(jì).

盡管文獻(xiàn)[1] 的方案中非常樸素， 但其思想仍被后續(xù)很多工作采用[3，7-9]. 可以說， Canetti 等人的工作不僅開創(chuàng)了可否認(rèn)加密的先河， 也是整個(gè)可否認(rèn)加密研究中的引領(lǐng)者.

3.1.2 基于不可區(qū)分混淆的方案

不可區(qū)分混淆(indistinguishability obfuscation， iO)[10-12]是一個(gè)強(qiáng)大的密碼學(xué)技術(shù)， 它要求實(shí)現(xiàn)相同功能的任意兩個(gè)不同(大小相同) 程序的混淆在計(jì)算上是不可區(qū)分的. 在STOC 2014 上， Sahai 和Waters[13]利用不可區(qū)分混淆技術(shù)給出了完全模型下的的發(fā)送方可否認(rèn)加密方案. 他們提出了“可刺穿程序(punctured programs)” 這一技術(shù)作為不可區(qū)分混淆的應(yīng)用支持. 該技術(shù)通過手術(shù)般地移除程序的一個(gè)關(guān)鍵元素來改變程序， 使得敵手不能在安全性游戲中獲勝， 但不影響程序的功能. 憑借不可區(qū)分混淆和可刺穿的偽隨機(jī)函數(shù)可以將私鑰加密方案轉(zhuǎn)化為公鑰加密方案， 且可以構(gòu)造包括可否認(rèn)加密在內(nèi)的多種密碼原語. 此外， 他們引入了“公開可否認(rèn)加密(publicly deniable encryption)” 的概念. 在公開可否認(rèn)加密方案中， “偽造(Fake)” 算法被替換為了“解釋(Explain)” 算法; 在“解釋” 算法中， 任何人能夠根據(jù)公鑰、明文和密文生成加密算法中的隨機(jī)值， 即使是虛假明文， 也無需知道原本的真實(shí)明文和隨機(jī)值. 他們利用可刺穿的偽隨機(jī)函數(shù)和偽隨機(jī)生成器來構(gòu)造“加密” 算法和“解釋” 算法， 然后將它們的不可區(qū)分混淆作為公鑰， 以構(gòu)造可否認(rèn)加密方案. 他們的方案是首個(gè)可否認(rèn)性能達(dá)到可忽略不計(jì)的完全模型下的發(fā)送方可否認(rèn)加密方案.

文獻(xiàn)[14] 指出， 為了實(shí)現(xiàn)可忽略不計(jì)的可否認(rèn)性， 一些強(qiáng)有力的假設(shè)是必要的. 事實(shí)上， 目前所有可否認(rèn)性能達(dá)到可忽略不計(jì)的完全模型下的可否認(rèn)加密方案都是基于不可區(qū)分混淆的[4，13，15]. 但不可區(qū)分混淆是一個(gè)非常強(qiáng)大的假設(shè). 雖然最近的一項(xiàng)工作[16]表明不可區(qū)分混淆可以基于有充分根據(jù)的假設(shè)來構(gòu)建， 但這種構(gòu)建依賴于四個(gè)不同假設(shè)的亞指數(shù)硬度假設(shè). 因此， 利用不可區(qū)分混淆所設(shè)計(jì)的可否認(rèn)加密方案不是基于標(biāo)準(zhǔn)多項(xiàng)式困難假設(shè)的.

3.1.3 其他發(fā)送方可否認(rèn)公鑰加密方案

目前的完全模型下的發(fā)送方可否認(rèn)公鑰(或拓展密碼原語) 加密方案中， 僅基于不可區(qū)分混淆的方案能達(dá)到可忽略不計(jì)的可否認(rèn)性， 但卻難以實(shí)現(xiàn). 因此也有部分工作研究了相較而言容易實(shí)現(xiàn)的多分布式模型下或多項(xiàng)式安全的發(fā)送方可否認(rèn)加密方案.

多分布式可否認(rèn)加密方案的缺陷是它暗含著“當(dāng)事人有極大概率會(huì)使用可用于否認(rèn)的算法”， 不易令敵手信服. 2008 年， Klonowski 等人[7]通過擴(kuò)展文獻(xiàn)[1] 中的發(fā)送方多分布式可否認(rèn)加密方案， 結(jié)合了“俄羅斯套娃(Russian doll)” 的思想， 使得真實(shí)明文被“隱藏” 得更深. 他們方案的動(dòng)機(jī)如下: 如果脅迫者知道通信時(shí)所使用的是可否認(rèn)加密方案， 當(dāng)其獲得虛假的明文后， 可能會(huì)繼續(xù)脅迫發(fā)送方交出真實(shí)的明文; 此時(shí)發(fā)送方可以承認(rèn)發(fā)送了一個(gè)“略微” 被禁止的內(nèi)容而不是原本的內(nèi)容. 該方案需要被脅迫者將外層“娃娃”(向敵手展示的加密算法) 聲明為文獻(xiàn)[1] 中的多分布式可否認(rèn)加密方案中的加密算法， 也就是說需要隱藏內(nèi)層“娃娃”(真正用于傳輸消息的加密算法) 的存在性， 并不符合傳統(tǒng)密碼體制的設(shè)計(jì)準(zhǔn)則; 而且需要接收方預(yù)先告知發(fā)送方外層“娃娃” 的私鑰， 相當(dāng)于抹消了公鑰加密的優(yōu)勢.

部分學(xué)者研究利用二次剩余假設(shè)(quadratic residuosity assumption) 構(gòu)造可否認(rèn)加密方案[8，17-19].2009 年， Ibrahim[17]基于二次剩余假設(shè)給出了若干發(fā)送方可否認(rèn)加密方案. 他們的方案相比于文獻(xiàn)[1]中的方案不存在解密錯(cuò)誤的情況， 且通信帶寬(即密文長度) 有所降低. 他們首先分別給出了兩種對單比特的加密方案和一種對多比特的加密方案， 這三種方案都假設(shè)敵手不能脅迫發(fā)送方交出用于產(chǎn)生模二次非剩余的本地隨機(jī)值(程序不會(huì)在系統(tǒng)的任何地方存儲(chǔ)這個(gè)本地隨機(jī)值， 因?yàn)樗粫?huì)在隨后的加密過程中用到)， 而僅交出明文消息和加密過程中用到的信息; 其中多比特的方案在加密的比特?cái)?shù)較少時(shí)相比于多次使用單比特方案所需帶寬較低， 但運(yùn)算量呈指數(shù)級增長， 故不實(shí)用. 此外， 他們給出了一種允許發(fā)送方偽造本地隨機(jī)值的方案， 該方案還可以轉(zhuǎn)換為利用任意陷門置換構(gòu)造的發(fā)送方可否認(rèn)加密方案. 同年， Howlader等人[8]同樣基于二次剩余假設(shè)提出了新的單比特和多比特的可否認(rèn)加密方案. 他們的方法實(shí)際上是利用二次剩余假設(shè)來構(gòu)造半透明集， 其中單比特的方案可以看做是文獻(xiàn)[1] 中奇偶方案的一個(gè)實(shí)例. 此外， 他們提出了一個(gè)事先計(jì)劃(plan-ahead) 類型的多比特加密方案， 一定能夠給出一個(gè)合法的偽造消息; 該方案實(shí)質(zhì)上是多分布式模型下的， 且并不安全. 2010 年， 孫和王[18]基于二次剩余問題， 通過借助可信第三方，運(yùn)用一比特可否認(rèn)加密算法加密， 其余比特按照傳統(tǒng)的加密算法加密， 實(shí)現(xiàn)了多比特的發(fā)送方可否認(rèn)加密.2014 年， Barakat[19]在Ibrahim[17]方案的基礎(chǔ)上進(jìn)行了修改， 他們的方案相比于文獻(xiàn)[17] 和文獻(xiàn)[8]中方案的加密和解密速度更快.

在EUROCRYPT 2011 上， Dürmuth 和Freeman[20]引入了“可采樣的公鑰加密(samplable public key encryption)” 的概念用于設(shè)計(jì)可否認(rèn)加密方案. 在可采樣的公鑰加密中， 任何人都可以“不經(jīng)意地(obviously)” 生成加密一個(gè)隨機(jī)比特的密文， 并且存在可以恢復(fù)真實(shí)加密或不經(jīng)意加密中所使用的隨機(jī)值的算法. 可采樣的公鑰加密可以通過二次剩余假設(shè)或陷門置換實(shí)現(xiàn)， 進(jìn)一步可以用于構(gòu)造交互式的發(fā)送方可否認(rèn)加密方案. Dürmuth 和Freeman[20]聲稱他們的方案是首個(gè)檢測概率能達(dá)到可忽略不計(jì)的完全模型下的發(fā)送方可否認(rèn)加密方案， 但Peikert 和Water 發(fā)現(xiàn)了對該方案的一種攻擊， 能以不可忽略的概率檢測消息是否被偽造了[21].

此外， 還有一些發(fā)送方可否認(rèn)公鑰加密方案采用了不同的方法或設(shè)計(jì)理念. 如2012 年， Gao 等人[22]研究了能抵抗選擇密文攻擊(CCA) 的敵手的發(fā)送方可否認(rèn)加密方案， 通過利用擴(kuò)展的哈希證明系統(tǒng)、交叉認(rèn)證代碼等技術(shù)， 使得訪問解密預(yù)言機(jī)(oracle) 對敵手毫無幫助; 文獻(xiàn)[23] 對該工作進(jìn)行了修正. 2017年， Hata 等人[24]將秘密共享的思想與可否認(rèn)加密思想相結(jié)合， 利用門限加密隱藏加密方案中的真實(shí)密鑰， 確保對手無法恢復(fù)真實(shí)密鑰和秘密消息. 2020 年， 吳等人[25]利用LWE 問題中的不可區(qū)分性質(zhì)， 在均勻空間中構(gòu)建了一個(gè)密度很小的子集“模糊集”; 利用低密度的“模糊集” 構(gòu)造比特0 和1 的密文， 實(shí)現(xiàn)了發(fā)送方可否認(rèn)， 同時(shí)降低了解密時(shí)的誤碼率. 同年， Cao 等人[26]首先利用子群成員問題假設(shè)構(gòu)造了一種由發(fā)送方?jīng)Q定接收方是否能夠?qū)γ芪倪M(jìn)行解密的公鑰加密方案(稱為解密可控的公鑰加密方案)， 然后利用該方案和位置映射思想構(gòu)造出一個(gè)事先計(jì)劃的發(fā)送方可否認(rèn)加密方案. 這些方案要么是多分布式模型下的， 要么僅具有多項(xiàng)式可否認(rèn)性.

3.2 接收方可否認(rèn)公鑰加密方案

在某些情況下， 敵手可能會(huì)脅迫接收方而不是發(fā)送方， 這時(shí)候就需要接收方可否認(rèn)加密方案. 在可否認(rèn)加密的最初研究中， Canetti 等人[1]給出了一種通過一輪額外通信將發(fā)送方可否認(rèn)轉(zhuǎn)換為接收方可否認(rèn)的方案， 具體如下: 用S表示(原本的) 發(fā)送方，R表示(原本的) 接收方. 設(shè)b表示要從S傳送到R的比特. 首先，R選擇一個(gè)隨機(jī)的比特r， 調(diào)用發(fā)送方可否認(rèn)加密方案將r加密后發(fā)送給S; 然后，S通過解密得到r， 發(fā)送b ⊕r給R. 這樣， 當(dāng)被脅迫時(shí)，R可以令人信服地聲稱r的值為0 或1， 進(jìn)一步可以聲稱比特b的值為0 或1， 從而實(shí)現(xiàn)接收方可否認(rèn).

由于接收方可否認(rèn)加密方案可以通過發(fā)送方可否認(rèn)加密方案直接轉(zhuǎn)化得到， 所以很多工作在設(shè)計(jì)出發(fā)送方可否認(rèn)加密方案后聲明同時(shí)也實(shí)現(xiàn)了接收方可否認(rèn)方案[17，20]. 然而由于這樣的轉(zhuǎn)換需要一輪額外通信， 很多情況下不實(shí)用. 如何獨(dú)立于發(fā)送方可否認(rèn)加密方案設(shè)計(jì)接收方可否認(rèn)加密方案是一個(gè)巨大挑戰(zhàn).

2009 年， Ibrahim[27]提出了首個(gè)獨(dú)立的接收方可否認(rèn)加密方案. 在他們的方案中， 發(fā)送方和接收方之間不需要預(yù)先共享信息， 且不存在解密錯(cuò)誤的情況. 他們方案主要基于介導(dǎo)的RSA (mediated-RSA，mRSA)[28]和不經(jīng)意傳輸(oblivious transfer)[29]. 在介導(dǎo)的RSA 中， 私鑰被一分為二， 其中一份交給了Bob (接收方)， 另一份交給了安全中介(security mediator， SEM). 為了解密接收到的密文C， 雙方(Bob和SEM) 分別對C執(zhí)行部分解密， 然后將它們組合以恢復(fù)明文消息M. 因此， Bob 和SEM 都不能在未經(jīng)雙方同意的情況下對消息進(jìn)行解密或簽名， 這樣即使敵手脅迫Bob 交出他自己的私鑰也沒有意義. 此外， Bob 和SEM 之間需要通過n選1 (1-out-of-n) 的不經(jīng)意傳輸傳遞信息， 這種技術(shù)較難實(shí)現(xiàn)， 故不實(shí)用.

2010 年， Gasti 等人[30]利用多分布式模型的性質(zhì)， 提出了一種接收方可否認(rèn)理念: 在可用于否認(rèn)的密鑰生成算法中， 私鑰和公鑰是通常生成的; 而在誠實(shí)的算法中， 公鑰是不經(jīng)意生成的， 沒有對應(yīng)的私鑰.當(dāng)接收方被脅迫時(shí)， 只需要聲明自己使用的是誠實(shí)的密鑰生成算法， 沒有私鑰， 因此無法解密. 這種接收方可否認(rèn)能達(dá)到可忽略不計(jì)的可否認(rèn)性， 但由于其高度依賴多分布式模型的特性， 難以使敵手信服.

3.3 雙方可否認(rèn)公鑰加密方案

在很多場景下， 發(fā)送方和接收方都有可能受到敵手脅迫， 因此一個(gè)雙方可否認(rèn)加密方案更有應(yīng)用價(jià)值.文獻(xiàn)[1]給出了一種將發(fā)送方可否認(rèn)方案和接收方可否認(rèn)方案轉(zhuǎn)化為同時(shí)滿足發(fā)送方可否認(rèn)和接收方可否認(rèn)的方案的方法: 假設(shè)S和R可以在通信中借助其他的參與方I1，I2，···，In. 為了傳送比特b給R，S首先選擇n個(gè)比特b1b2···bn使得⊕ibi=b; 然后，S利用一個(gè)發(fā)送方可否認(rèn)加密方案傳送bi給每位中間人Ii; 接著， 每位中間人Ii利用一個(gè)接收方可否認(rèn)加密方案傳送bi給R. 最后，R計(jì)算⊕ibi=b. 這樣， 即使某位中間人Ii被攻擊并交出bi的真實(shí)值， 只要至少一位中間人Ij未被攻擊，S和R就可以令人信服地聲稱bj的值為0 或1， 從而偽造b. 然而， 在該方案中， 如果敵手同時(shí)脅迫雙方， 由于雙方無法進(jìn)行通信， 一旦雙方選擇了不同的bj進(jìn)行偽造， 敵手就能很輕易地判斷出雙方都在說謊. 因此該方案僅是一個(gè)發(fā)送方或接收方可否認(rèn)方案.

在CRYPTO 2011 上， O’Neill 等人[3]設(shè)計(jì)了非交互式的雙方可否認(rèn)加密方案. 他們給出了兩種多分布式模型下的構(gòu)造. 第一種構(gòu)造是基于可模擬的公鑰加密(simulatable PKE)[31]; 在可模擬的公鑰加密中， 存在不經(jīng)意的密鑰生成算法和不經(jīng)意的加密算法， 以及它們的逆采樣算法. 他們的構(gòu)造的主要思想是并行運(yùn)行可模擬的公鑰加密方案的若干個(gè)實(shí)例. 在誠實(shí)的密鑰生成算法和加密算法中不經(jīng)意地生成公鑰或密文， 而在可用于否認(rèn)的算法中利用普通的密鑰生成算法或加密算法， 借助隨機(jī)值來生成公鑰或密文.在偽造算法中， 需要將一些借助隨機(jī)值生成的公鑰和密文聲明為不經(jīng)意生成的. 對于解密算法， 采用的是“多數(shù)派” 思想， 即解密后0 和1 的數(shù)量多的即為明文. 基于可模擬的公鑰加密的構(gòu)造是通用的， 但開銷較大. 第二種構(gòu)造中， 他們擴(kuò)展了文獻(xiàn)[1] 中的“半透明集” 的概念， 引入了“雙向半透明集(bitranslucent set)”; 在雙向半透明集中， 允許接收方生成一個(gè)新的密鑰， 使得從原本密鑰所對應(yīng)的子集合中選擇的元素看起來像是從大的集合中隨機(jī)選擇的元素. 利用雙向半透明集和文獻(xiàn)[1] 中的思想可以構(gòu)造雙方可否認(rèn)加密方案. 接著， 他們利用LWE 假設(shè)構(gòu)造出了這樣的雙向半透明集.

通常意義下的雙方可否認(rèn)要求發(fā)送方和接收方要事先協(xié)商好相同的虛假消息， 但這在很多場景下是難以實(shí)現(xiàn)的. 在CRYPTO 2020 上， Canetti 等人[4]擴(kuò)展了雙方可否認(rèn)加密的范圍， 引入了“不留記錄的可否認(rèn)(off-the-record deniability)” 的概念: 被脅迫的發(fā)送方和接收方可以宣言不同的明文， 而敵手無法確定雙方中誰說的是實(shí)話(或者都沒有說實(shí)話). 不留記錄的雙方可否認(rèn)比標(biāo)準(zhǔn)的雙方可否認(rèn)條件更強(qiáng)，也更符合現(xiàn)實(shí)情況. 他們將標(biāo)準(zhǔn)的雙方可否認(rèn)和不留記錄的雙方可否認(rèn)統(tǒng)稱為“完全雙方可否認(rèn)(fully deniability)”. 他們利用了Sahai 和Waters[13]的將不可區(qū)分混淆和可刺穿程序相結(jié)合的思想， 并且結(jié)合了層次體系(level system) 和基于比較的解密(comparison-based decryption) 等技術(shù)， 給出了完全雙方可否認(rèn)加密方案的構(gòu)造， 解決了長達(dá)20 年的難題.

3.4 可否認(rèn)公鑰加密的理論性成果

除了設(shè)計(jì)可否認(rèn)加密的具體方案外， 部分工作也對可否認(rèn)加密進(jìn)行了一些相關(guān)理論研究. 在可否認(rèn)加密最初的研究中， Canetti 等人[1]將他們所提出的奇偶方案劃歸為“可分離的(separable)” 方案， 同時(shí)指出， 如果一個(gè)發(fā)送方可否認(rèn)加密方案是可分離的， 那么它一定不具有可忽略不計(jì)的可否認(rèn)性. 他們還證明了對于任意的m-可分離、-發(fā)送方可否認(rèn)公鑰加密方案， 有2m ≥k.

在CRYPTO 2011 上， O’Neill 等人[3]指出， 實(shí)現(xiàn)一個(gè)多分布式模型下的雙方可否認(rèn)加密意味著同時(shí)實(shí)現(xiàn)了一個(gè)發(fā)送方可否認(rèn)加密， 但并不意味著實(shí)現(xiàn)了接收方可否認(rèn)加密. 這是因?yàn)樵陔p方可否認(rèn)加密中，發(fā)送方和接收方都必須執(zhí)行各自的可用于否認(rèn)的算法; 接收方可否認(rèn)可能同時(shí)依賴于自己執(zhí)行可用于否認(rèn)的密鑰生成算法和發(fā)送方執(zhí)行可用于否認(rèn)的加密算法， 但多分布式的接收方可否認(rèn)加密算法中不存在可用于否認(rèn)的加密算法. 同時(shí)， 他們指出， 即使一個(gè)方案同時(shí)是發(fā)送方可否認(rèn)和接收方可否認(rèn)的， 也不意味該方案是雙方可否認(rèn)的， 這是因?yàn)榘l(fā)送方和接收方利用各自的偽造算法產(chǎn)生的隨機(jī)值可能是相關(guān)的， 同時(shí)暴露兩者很容易被檢測到， 而只暴露其一是安全的.

在ASIACRYPT 2011 上， Bendlin 等人[2]研究了可否認(rèn)公鑰加密的下界和上界. 對于下界， 他們首先證明了一個(gè)?-接收方可否認(rèn)加密方案的n次并行自合成系統(tǒng)是n?-接收方可否認(rèn)的， 在此基礎(chǔ)上證明了一個(gè)密鑰長度為σ的公鑰密碼系統(tǒng)最多是(σ+1)-1-接收方可否認(rèn)的， 從而不存在具有可忽略不計(jì)的可否認(rèn)性的完全模型下的接收方可否認(rèn)和雙方可否認(rèn)公鑰加密方案. 對于上界， 他們通過用多分布式模型下的可否認(rèn)加密方案來構(gòu)造多項(xiàng)式可否認(rèn)性的完全模型下的可否認(rèn)加密方案， 證明了如果多分布式可否認(rèn)加密方案中的發(fā)送方隨機(jī)值(對于發(fā)送方可否認(rèn)而言) 或密鑰長度(對于接收方可否認(rèn)和雙方可否認(rèn)而言)為κ， 則存在完全模型下的1/n-發(fā)送方/接收方/雙方可否認(rèn)加密方案， 其發(fā)送方隨機(jī)值或密鑰長度分別為O(nκ)、O(n2κ)、O(n4κ). 同時(shí)， 該文給出了可否認(rèn)公鑰加密方案中的“不可能結(jié)果”， 如表1 所示.

表1 可否認(rèn)公鑰加密中的“不可能結(jié)果”Table 1 Impossible results for deniable public-key encryption

4 可否認(rèn)對稱加密技術(shù)

對稱加密雖然要求通信雙方必須預(yù)先交換密鑰， 但其相比于公鑰加密效率較高， 因此也有學(xué)者研究了可否認(rèn)的對稱加密(又稱為“共享密鑰的可否認(rèn)加密”).

Canetti 等人[1]指出， “一次一密(one-time pad)” 就是一個(gè)雙方可否認(rèn)加密方案: 假設(shè)發(fā)送方和接收方共享一個(gè)足夠長的隨機(jī)字符串(即密鑰)， 每條消息m都是用密鑰中接下來的還未使用的|m| 比特按位異或所加密的. 設(shè)k表示用來加密m的那部分隨機(jī)密鑰， 設(shè)c=m ⊕k表示對應(yīng)的密文. 這樣一來， 為了聲稱c是由消息m′/=m加密而來的， 雙方只需要聲稱所使用的共享密鑰是k′=c ⊕m′. 然而， 使用一次一密通常是不切實(shí)際的， 因?yàn)槊荑€必須與雙方之間的所有通信一樣長.

在文獻(xiàn)[1] 中， Canetti 等人還給出了一種事先計(jì)劃的共享密鑰可否認(rèn)加密思想: 給定l個(gè)要加密的替代消息， 使用l個(gè)不同的密鑰， 并構(gòu)造密文作為所有消息加密的串聯(lián)， 其中第i個(gè)消息使用第i個(gè)密鑰加密. 當(dāng)被脅迫時(shí)， 當(dāng)事人只需聲稱他使用的密鑰與他想要打開的消息相對應(yīng). 這個(gè)簡單方案的一個(gè)問題是密文的大小隨著要加密的不同消息的數(shù)量呈線性增長. 此外， 他們在該文的預(yù)備版本[5]中給出了一種基于偽隨機(jī)數(shù)生成器的方案， 這種方案的密文長度是固定的(與要加密的消息數(shù)量無關(guān))， 該方案具體如下:

假設(shè)發(fā)送方想要發(fā)送消息m1給接收方， 在通信之前， 他們共享一個(gè)脅迫者不知道的隨機(jī)密鑰k1. 為了實(shí)現(xiàn)可否認(rèn)， 發(fā)送方選擇一些假密鑰k2，k3，···，kl和假消息m2，m3，···，ml. 當(dāng)被脅迫時(shí)， 發(fā)送方可以借助任何一個(gè)假密鑰將密文打開為任何一個(gè)假消息. 具體如下:

2008 年， Klonowski 等人[7]提出了兩種共享密鑰的可否認(rèn)加密方案. 其中第一種方案可以看做是“一次一密” 的擴(kuò)展， 利用分組密碼和偽隨機(jī)數(shù)生成器來生成一次一密中的密鑰. 第二種共享密鑰可否認(rèn)加密方案是基于ElGamal 方案的: 他們將虛假明文作為通常的ElGamal 加密算法中的明文， 而將真實(shí)明文“隱藏” 在了加密時(shí)用到的隨機(jī)數(shù)中. 當(dāng)接收方被脅迫時(shí)， 只需要聲明所使用的加密方案為通常的ElGamal 方案并展示他的ElGamal 私鑰和虛假明文就可以實(shí)現(xiàn)否認(rèn).

2017 年， Goldwasser 等人[32]引入了“可否認(rèn)編輯加密(encryption with deniable edits)” 概念. 在可否認(rèn)編輯加密中， 可以使用一個(gè)較短的秘密密鑰sk 加密一個(gè)較長的消息m， 得到密文c; 之后可以產(chǎn)生一個(gè)看起來合法的秘密密鑰sk(c，e)(敵手無法區(qū)分其與真實(shí)密鑰)， 將密文c解密為一個(gè)編輯過的消息m′=Edit(m，e)， 其中Edit 是該方案指定的某個(gè)“編輯函數(shù)”，e是使用的特定編輯的描述. 可否認(rèn)的編輯加密可以看作是一種特殊的共享密鑰的接收方可否認(rèn)加密. 他們的方案中， 密鑰長度只與編輯描述的大小|e| 有關(guān)， 而與消息長度|m| 無關(guān)， 在大部分情況下|e|＜|m|， 因此他們的方案比通常的可否認(rèn)加密方案中所使用的密鑰長度較小. 同時(shí)， 當(dāng)|e|=|m| 時(shí)， 該方案就相當(dāng)于一個(gè)可以將密文解密為任何明文的接收方可否認(rèn)加密方案.

2018 年， Moldovyan 等人[33]提出了共享密鑰可否認(rèn)加密的一種高級理解， 即由可否認(rèn)加密算法產(chǎn)生的密文， 與某些概率加密產(chǎn)生的密文在計(jì)算上不可區(qū)分. 他們將發(fā)送方可否認(rèn)加密方案中的加密過程構(gòu)造為使用秘密密鑰和虛假密鑰同時(shí)加密秘密消息和虛假消息的過程， 該過程與某種只使用單一密鑰對單一消息加密的概率加密算法相關(guān)聯(lián). 這種方法允許用固定大小的密鑰構(gòu)造發(fā)送方可否認(rèn)加密算法， 這為加密任意長度的消息提供了可能. 然后， 他們以具體的發(fā)送方可否認(rèn)加密方案為例進(jìn)行了說明， 該方案將哈希函數(shù)和分組密碼轉(zhuǎn)換為概率可否認(rèn)加密算法， 與一個(gè)一般的概率加密算法不可區(qū)分. Berezin 等人[34]利用類似的思想， 提出了一種可否認(rèn)的流加密方案， 該方案與一個(gè)概率計(jì)算的流加密方案是不可區(qū)分的. 這種思想實(shí)際上可以劃歸為多分布式模型下的事先計(jì)劃的可否認(rèn)加密方案.

5 其他密碼原語中的可否認(rèn)技術(shù)

傳統(tǒng)的公鑰加密可能難以適用于某些特殊場景， 這時(shí)就要用到更高級的加密原語， 如函數(shù)加密(functional encryption)、全同態(tài)加密(fully homomorphic encryption) 等. 這些密碼原語也可能遭受脅迫攻擊， 如何在這些密碼原語中實(shí)現(xiàn)可否認(rèn)也是一個(gè)挑戰(zhàn)性工作.

可否認(rèn)的函數(shù)加密允許組織中某位擁有私鑰SKk的成員被脅迫時(shí)， 允許為脅迫者提供虛假的私鑰， 該密鑰可以將密文Ctx打開為任何看起來像是F(k，x) 的值. 在PKC 2016 上， De Caro 等人[35]給出了可否認(rèn)函數(shù)加密的多種構(gòu)造. 首先， 他們提出了一種將通用電路下的任意不可區(qū)分安全(INDsecurtity) 的函數(shù)加密方案轉(zhuǎn)化為具有相同函數(shù)性的完全模型下接收方可否認(rèn)的函數(shù)加密方案的方法， 且不需要引入任何額外的假設(shè). 該方法利用了De Caro 等人[36]介紹的“陷門電路(trapdoor circuit)” 技術(shù)， 提出了一個(gè)直接黑盒轉(zhuǎn)換， 使電路下的不可區(qū)分安全能夠達(dá)到更強(qiáng)的模擬安全(SIM-security). 陷門機(jī)制的思想是用一個(gè)陷門電路Trap[C] 取代原來的電路C， 然后接收方偽造算法可以用某種方式對輸出進(jìn)行編程. 其次， 他們給出了一種基于雙線性對的布爾公式下的接收方可否認(rèn)函數(shù)加密的構(gòu)造. 然而， 上述完全模型下的方案中需要接收方得到主授權(quán)中心(master authority) 的協(xié)助以實(shí)現(xiàn)可否認(rèn)性， 這在大多數(shù)情況下是不切實(shí)際的. 因此， 文獻(xiàn)[35] 中又提出了一種多分布模型下的接收方可否認(rèn)的函數(shù)加密方案. 該方案是非交互式的， 但需要不同輸入混淆(different-inputs obfuscation) 這一較強(qiáng)的額外假設(shè)， 并依賴于一種稱為“延遲陷門電路(delayed trapdoor circuit)” 的新技術(shù). 2018 年， De Caro 等人[15]又借助不可區(qū)分混淆給出了首個(gè)發(fā)送方的可否認(rèn)函數(shù)加密方案(在完全模型下)， 其中利用了Sahai 和Waters[13]所提出的公開可否認(rèn)技術(shù). 該方案能完美嵌入他們所給出的接收方可否認(rèn)函數(shù)加密方案， 因此也可以實(shí)現(xiàn)雙向的可否認(rèn)函數(shù)加密.

基于屬性的加密是函數(shù)加密的一個(gè)子類. 在TCC 2016 上， Apon 等人[37]在標(biāo)準(zhǔn)假設(shè)下構(gòu)造出了任意多項(xiàng)式分支程序下雙向可否認(rèn)的基于屬性的加密方案， 而沒有使用混淆作為黑盒原語， 但該方案是多分布模型下的. 他們引入了“基于屬性的雙向半透明集(attribute based bitranslucent set)” 概念， 然后利用擴(kuò)展的容錯(cuò)學(xué)習(xí)(extended learning with errors， eLWE) 假設(shè)， 并提出了一種操縱高斯噪聲的新方法， 從而構(gòu)造基于屬性的雙向半透明集， 進(jìn)一步構(gòu)造雙向可否認(rèn)的基于屬性的加密方案. 此外， 在2015 年，Apon 等人的工作[38]給出了多分布模型下的雙向可否認(rèn)的內(nèi)積加密的構(gòu)造， 其中所用到的方法都涵蓋在了文獻(xiàn)[37] 中.

可否認(rèn)的全同態(tài)加密允許在不解密的情況下進(jìn)行運(yùn)算， 同時(shí)能抵御脅迫攻擊， 更適合電子投票等應(yīng)用場景. 在2020 年底， Agrawal 等人[9]引入了可否認(rèn)的全同態(tài)加密的概念， 并給出了基于符合循環(huán)安全的LWE 多項(xiàng)式假設(shè)的發(fā)送方(公鑰) 可否認(rèn)全同態(tài)加密的構(gòu)造方法. 他們分別在多分布式模型和完全模型下給出了單比特和大消息空間下的加密方可否認(rèn)函數(shù)加密方案. 他們聲明他們的構(gòu)造具有可否認(rèn)緊湊性(deniability compactness)， 即他們方案中公鑰大小和密文大小都可以用一個(gè)固定的多項(xiàng)式來限定， 這個(gè)多項(xiàng)式與可否認(rèn)性(或偽造概率) 無關(guān). 具體來說， 他們首先引入了一種特殊的全同態(tài)加密結(jié)構(gòu)， 該結(jié)構(gòu)可以通過修改Brakerski 等人[39]所給出的基于LWE 假設(shè)的全同態(tài)加密方案(BGV 方案) 來實(shí)現(xiàn)， 然后利用類似于Canetti 等人[1]所介紹的奇偶方案的思想來構(gòu)造可否認(rèn)加密方案. 由于全同態(tài)加密固有的可參與運(yùn)算的特性， 為了增強(qiáng)方案的可否認(rèn)性， 僅需要增加運(yùn)算時(shí)間， 而無需增加公鑰和密文長度. 此外， 它們的方案適合在線-離線加密模型， 其中大量運(yùn)算獨(dú)立于消息， 因此可以在離線預(yù)處理階段執(zhí)行. 這使得該方案的在線階段非常高效， 其運(yùn)行時(shí)間與偽造概率無關(guān)， 而離線加密運(yùn)行時(shí)間與偽造概率成反比.

6 可否認(rèn)加密的應(yīng)用

可否認(rèn)加密中所考慮到的脅迫性敵手在現(xiàn)實(shí)中是存在的， 如2010 年， FBI 向Google 發(fā)出了搜查令，要求Google 將用戶的數(shù)據(jù)文件等信息提供給FBI. 具體來說， 可否認(rèn)加密可以用于安全多方計(jì)算、電子投票、電子拍賣、云存儲(chǔ)服務(wù)、可搜索加密等脅迫者可能存在的場景中， 以保護(hù)數(shù)據(jù)的隱私性.

安全多方計(jì)算(secure multi-party computation) 中要同時(shí)考慮參與方被破壞和被脅迫的場景. 1996年，Canetti 等人[40]將自適應(yīng)安全多方計(jì)算與抵御脅迫攻擊的思想相結(jié)合，提出了利用可否認(rèn)加密實(shí)現(xiàn)不可脅迫的多方計(jì)算的方案: 第一步， 各參與方執(zhí)行密鑰生成算法， 利用標(biāo)準(zhǔn)的安全多方計(jì)算協(xié)議獲得公鑰和門限加密的共享私鑰; 第二步， 利用可否認(rèn)加密對自身的輸入進(jìn)行加密并進(jìn)行廣播; 第三步， 利用標(biāo)準(zhǔn)的安全多方計(jì)算協(xié)議計(jì)算函數(shù)值. 為了抵御脅迫攻擊， 只需要偽造第二步中的輸入， 并利用偽造算法產(chǎn)生新的加密時(shí)用到的隨機(jī)值. 該協(xié)議中， 最多允許敵手破壞或脅迫至多為總數(shù)一半的參與者. 此外， 如果上述協(xié)議中可否認(rèn)加密方案的可否認(rèn)性能達(dá)到可忽略不計(jì)， 協(xié)議本身也具有可忽略不計(jì)的可否認(rèn)性. 文獻(xiàn)[41，42]對該協(xié)議進(jìn)行了進(jìn)一步擴(kuò)展.

電子投票和電子拍賣可以看做安全多方計(jì)算的實(shí)例. 對于用于選舉的電子投票來說， 能夠抵御脅迫攻擊是有必要的. 1997 年， Cramer 等人[43]指出， 可以利用文獻(xiàn)[40] 中的不可脅迫的多方計(jì)算協(xié)議來實(shí)現(xiàn)能抵抗脅迫攻擊的電子投票. 在這個(gè)模型中， 所有的選民都具有抵抗脅迫攻擊的能力， 且最多有一半的參與者可以完全被脅迫. 電子投票中另一個(gè)概念是“無收據(jù)(receipt-free)”， 它能夠阻止選民證明它的票， 從而阻止賄選和脅迫. 具體如圖2 所示. 然而， 2000 年， Hirt 和Sako[44]指出， 不可脅迫的概念比無收據(jù)的概念弱， 它允許選民對自己的選票撒謊， 但它無法幫助反對那些想讓自己的加密不可否認(rèn)的選民， 因此無法阻止賄選. 具體來說， 選民只需要展示自己加密時(shí)所用的隨機(jī)值無法通過偽造算法產(chǎn)生， 就可以證明他們沒有用過偽造算法， 而多分布式可否認(rèn)方案或多項(xiàng)式可否認(rèn)性的完全模型下的可否認(rèn)加密方案中都存在這樣的隨機(jī)值. 2011 年， Howlader 等人[45]提出了利用可否認(rèn)加密代替電子投票和電子拍賣協(xié)議中不可訪問的信道的技術(shù). 由于電子選舉和拍賣中的有效明文數(shù)量較少， 所以適合采用事先計(jì)劃的可否認(rèn)加密.他們采用了文獻(xiàn)[8] 中事先計(jì)劃的可否認(rèn)加密， 并對其進(jìn)行了改進(jìn): 通過將有效明文映射到兩兩之間比特差異不大的明文空間， 使得偽造后的隨機(jī)值符合均勻分布. 2013 年， Howlader 等人[46]利用事先計(jì)劃的可否認(rèn)加密、抗脅迫的MIX， 以及分布式密鑰生成中心三個(gè)組件構(gòu)建了密封式投標(biāo)拍賣中的無收據(jù)機(jī)制.

圖2 可否認(rèn)加密在電子投票中的應(yīng)用[43]Figure 2 Deniable encryption applied in E-voting

在云存儲(chǔ)中使用加密可以保護(hù)通信和存儲(chǔ)的數(shù)據(jù)不受未經(jīng)授權(quán)的訪問， 包括云服務(wù)提供商在內(nèi). 而很多情況下需要考慮敵手可以脅迫用戶打開他們的加密內(nèi)容， 因此需要考慮可否認(rèn)的云存儲(chǔ). 云存儲(chǔ)可以看作是通信的一個(gè)變種: 可以將云存儲(chǔ)空間看作是公開信道， 將數(shù)據(jù)擁有者和用戶(可能相同或不同) 分別看作是通信的發(fā)送方和接收方， 將惡意的云服務(wù)提供商看作是敵手. 這樣， 實(shí)現(xiàn)了雙向可否認(rèn)加密也就意味著實(shí)現(xiàn)了可否認(rèn)的云存儲(chǔ). 2010 年， Gasti 等人[30]研究了可否認(rèn)的云存儲(chǔ)， 他們基于他們所提出的雙向可否認(rèn)加密方案設(shè)計(jì)了一個(gè)可否認(rèn)的共享文件系統(tǒng)(DenFS). 他們的方案中密文分為不可否認(rèn)和可否認(rèn)兩個(gè)部分. DenFS 可以以兩種操作模式之一掛載: 可否認(rèn)和不可否認(rèn). 當(dāng)以不可否認(rèn)模式掛載文件系統(tǒng)時(shí)， 使用隨機(jī)數(shù)據(jù)填充密文的可否認(rèn)部分. 在可否認(rèn)模式下， 不可否認(rèn)部分由不可否認(rèn)池中選擇的文件的加密填充. 2018 年， Chi 和Lei[47]基于他們所提出的可否認(rèn)的密文策略的基于屬性的加密方案構(gòu)建了一個(gè)新的可否認(rèn)的云存儲(chǔ)服務(wù)方案， 基于屬性的加密的特性通過細(xì)粒度的訪問控制機(jī)制確保了云數(shù)據(jù)的安全共享.

可搜索加密(searchable encryption， SE) 是云計(jì)算領(lǐng)域研究的熱點(diǎn)之一. 在通常的可搜索加密中， 如果對敵手脅迫用戶公開搜索令牌， 敵手就會(huì)看到搜索的是哪個(gè)關(guān)鍵字， 從而導(dǎo)致用戶數(shù)據(jù)的隱私泄露， 因此需要在可搜索加密中引入可否認(rèn)性. 2017 年， Li 等人[48]考慮可搜索對稱加密中存在脅迫者的場景， 基于文獻(xiàn)[1] 中的共享密鑰的發(fā)送方事先計(jì)劃的可否認(rèn)加密， 給出了可否認(rèn)的可搜索對稱加密(searchable symmetric encryption， SSE) 的構(gòu)造. 他們分別考慮了內(nèi)部脅迫者(服務(wù)器) 和外部脅迫者(數(shù)據(jù)擁有者、用戶和服務(wù)器之外的人) 存在的場景， 給出了三種不同構(gòu)造. 他們的方案在搜索時(shí)間上與其他SSE 方案相同，但空間復(fù)雜度較高. 2021 年，Chi 和Wang[49]構(gòu)建了可否認(rèn)的屬性搜索加密方案. 相比于Li 等人[48]的方案， 他們的方案中數(shù)據(jù)所有者不需要參與否認(rèn)過程， 因此密文大小只與搜索條件有關(guān). 同年， Chi 和Change[50]將Bloom 過濾器和CP-ABE 技術(shù)相結(jié)合， 構(gòu)建了一個(gè)索引可否認(rèn)加密方案， 該方案中密文大小不會(huì)隨著事件計(jì)劃的虛假明文的個(gè)數(shù)而增長.

7 可否認(rèn)加密的相關(guān)工作

可否認(rèn)加密的主要目標(biāo)是產(chǎn)生虛假的隨機(jī)值， 打開密文到另一個(gè)消息， 以抵御脅迫攻擊. 除了可否認(rèn)加密外， 也有一些工作致力于在通信中抵御脅迫攻擊， 或是將密文打開為與原本明文不同的消息， 如非承諾加密[51]、抗選擇打開攻擊安全性[52]、“加糠與簸揚(yáng)”[53]、不留記錄的通信[54]等.

為了實(shí)現(xiàn)安全多方協(xié)議中的適應(yīng)性安全， Canetti 等人[51]在1996 年引入了非承諾加密(noncommitting encryption). 在安全多方計(jì)算模型中， 根據(jù)選擇腐敗對象的自適應(yīng)性， 可以將敵手分為靜態(tài)敵手(在協(xié)議執(zhí)行之前就選定了腐敗的參與方， 但是未腐敗方并不知道腐敗方的身份)和適應(yīng)性敵手(可以在協(xié)議執(zhí)行的任何時(shí)候腐敗任何可以腐敗的參與者)， 后者能更精確的反映現(xiàn)實(shí)世界中的情況. 如果在每對參與方之間提供私有信道， 則多方計(jì)算對于自適應(yīng)的對手是安全的. 非承諾加密就是能夠模擬這種私有信道的密碼原語. 在非承諾加密中， 可以生成一個(gè)與真實(shí)密文難以區(qū)分的特殊的密文， 之后可以通過生成密鑰和加密時(shí)用到的隨機(jī)值將該密文“打開” 成任何明文. 總的來說， 非承諾加密和(雙方) 可否認(rèn)加密概念類似， 但相較而言模型較弱: 非承諾加密和可否認(rèn)加密都存在能以兩種方式打開的密文， 但在非承諾加密中加密方卻無法產(chǎn)生這樣的密文， 這種密文只能在協(xié)議的模擬執(zhí)行中由模擬者產(chǎn)生， 且這個(gè)模擬器允許使用與協(xié)議中正常加密時(shí)不同分布的公鑰; 此外， 非承諾加密中的解密是不需要有意義的.

抗選擇打開攻擊安全性由 Bellare 等人[52]在 EUROCRYPT 2009 上首次提出. 選擇打開攻擊(selective-opening attack， SOA) 考慮如下場景: 假設(shè)一個(gè)公鑰為pk 的接收方收到一個(gè)密文向量c= (c[1]，c[2]，···，c[n])， 其中密文c[i](1≤i ≤n) 是發(fā)送方i利用pk 和隨機(jī)值r[i] 加密消息m[i] 所產(chǎn)生的. 注意消息m[1]，m[2]，···，m[n] 可能是相關(guān)的， 但加密時(shí)用到的隨機(jī)值r[1]，r[2]，···，r[n] 都是隨機(jī)且相互獨(dú)立的. 現(xiàn)在敵手不僅僅能獲得密文c， 也能腐敗至多t=n/2 個(gè)發(fā)送方I ?{1，2，···，n}， 使他們交出明文消息和加密時(shí)用到的隨機(jī)值， 也就是獲得所有的m[i] 和c[i]， 對于i ∈I. 抗選擇打開攻擊安全性的要求是， 那些未被打開的消息依然是保密的， 即對于{i1，i2，···，in-t}={1，2，···，n}I， 消息m[i1]，m[i2]，···，m[in-t] 被保護(hù). 由于在可否認(rèn)加密中， 密文可以以不止一種方式打開， 被腐敗的發(fā)送方所交出的明文消息和加密時(shí)的隨機(jī)值不一定是真實(shí)的， 所以可否認(rèn)加密可以作為具有抗選擇打開攻擊安全性的加密算法的一種解決方案.

加糠與簸揚(yáng)(chaffing and winnowing) 由Rivest[53]在1998 年提出， 它的特點(diǎn)是不通過加密來保障通信的機(jī)密性， 具體方案如下: 假設(shè)發(fā)送方和接收方預(yù)先共享一個(gè)用于生成消息認(rèn)證碼(message authentication code， MAC) 的秘密認(rèn)證密鑰(secret authentication key). 首先， 發(fā)送方將消息分成若干個(gè)數(shù)據(jù)包(packet)， 為每個(gè)包添加序號(hào)， 然后根據(jù)序號(hào)、消息和認(rèn)證密鑰計(jì)算MAC， 每個(gè)包由(序號(hào)， 消息， MAC) 組成， 這些包稱為“好包”; 然后， 發(fā)送方(或任意第三方) 添加一些虛假的包， 這些包中包含序號(hào)(可以和好包相同)、無關(guān)的消息和隨機(jī)的MAC， 稱為“糠包(chaffpacket)”， 將糠包與好包任意混合后形成傳輸數(shù)據(jù)包序列， 這一步稱為“加糠(chaffing)”; 接收方收到數(shù)據(jù)包序列后， 通過驗(yàn)證包中的MAC 是否匹配來判斷一個(gè)包是好包還是糠包， 然后舍棄所有糠包， 根據(jù)序號(hào)對包排序后恢復(fù)出真實(shí)消息， 這一步稱為“簸揚(yáng)(winnowing)”. 加糠與簸揚(yáng)可以有效地抵御脅迫攻擊: 一方面， 整個(gè)方案中不涉及加密， 沒有加密密鑰或解密密鑰， 只有秘密認(rèn)證密鑰， 而認(rèn)證本身并不提供機(jī)密性， 它的機(jī)密性是通過認(rèn)證和加糠共同來實(shí)現(xiàn)的， 然而加糠這一步不需要任何密鑰， 甚至可以完全由一個(gè)無關(guān)第三方來完成; 也就是說， 通信雙方可能本來不想在通信中獲得機(jī)密性， 僅僅是想在通信中加入認(rèn)證(加糠不是他們的意愿)， 要求其交出秘密認(rèn)證密鑰是不合理的. 另一方面， 如果發(fā)送方有意地生成一些包， 這些包中包含事先計(jì)劃的虛假消息和利用一個(gè)虛假的認(rèn)證密鑰產(chǎn)生的MAC， 將這些包和包含真實(shí)消息的包以及若干糠包混合; 當(dāng)被敵手脅迫時(shí)，發(fā)送方可以交出虛假認(rèn)證密鑰和包含虛假消息的包， 并聲稱其他包都是糠包; 這樣這個(gè)方案就類似于一個(gè)事先計(jì)劃的可否認(rèn)加密方案， 但它通常情況下不滿足語義安全性， 也算不上是一個(gè)加密方案.

不留記錄的通信(off-the-record messaging) 由Borisov 等人[54]在2003 年提出， 它致力于在網(wǎng)絡(luò)環(huán)境中提供與面對面交談相同的安全. 不留記錄的通信提供了“看似合理的可否認(rèn)性(plausible deniability)”: 任何人都可以在通信結(jié)束后偽造消息， 讓它們看起來像是來自發(fā)送方; 而在通信時(shí)， 接收方仍可以認(rèn)證消息確實(shí)來源于真實(shí)的發(fā)送方且未經(jīng)篡改. 具體來說， 為實(shí)現(xiàn)看似合理的可否認(rèn)主要采用了以下手段:第一， 在該協(xié)議中利用“可延展加密(malleable encryption)”(如流密碼) 對消息加密， 使得任何人在猜出一部分明文的前提下， 很容易地對密文進(jìn)行有意義的修改; 第二， 用消息認(rèn)證碼來代替數(shù)字簽名， 使得在獲得認(rèn)證的同時(shí)確保發(fā)送方身份不被暴露; 第三， 當(dāng)MAC 的認(rèn)證密鑰作廢后， 主動(dòng)揭示該密鑰， 使任何人都可以偽造過去消息的MAC. 利用這三點(diǎn)可以保證通信中的任何一條消息都可以由接收方或任意第三方來偽造， 從而無法作為證據(jù). 此外， 在該協(xié)議中為了實(shí)現(xiàn)完全前向保密(perfect forward secrecy)， 需要不斷更新加密密鑰并丟棄舊密鑰， 這樣當(dāng)被脅迫時(shí)就簡單地聲稱用于產(chǎn)生過去密文的密鑰已被遺忘.

8 總結(jié)與展望

盡管對可否認(rèn)加密的研究從1997 年就開始了， 但目前還沒有真正投入實(shí)際使用的可否認(rèn)加密方案，因此可以說對于可否認(rèn)加密的研究仍在起步階段. 對可否認(rèn)加密技術(shù)研究的展望如下:

· 完全模型下的可否認(rèn)加密方案的構(gòu)造. 目前大部分的可否認(rèn)加密方案是多分布式模型下的. 然而，多分布式模型存在以下缺點(diǎn): 首先， 當(dāng)事人必須事先決定他們之后是否要否認(rèn); 其次， 當(dāng)事人聲稱他們使用了誠實(shí)的方案時(shí)， 為什么脅迫者應(yīng)該相信他們[2]. 因此， 研究完全模型下的可否認(rèn)加密方案意義更大. 然而， 目前大多數(shù)完全模型下的可否認(rèn)加密方案， 主要思想都是利用半透明集和奇偶方案來構(gòu)造[1，2，8，9]. 但這樣構(gòu)造出的加密方案密文擴(kuò)展嚴(yán)重， 且只能達(dá)到多項(xiàng)式可否認(rèn)性， 故不實(shí)用. 而目前可否認(rèn)性能達(dá)到可忽略不計(jì)的完全模型下的可否認(rèn)加密方案都是基于不可區(qū)分混淆的[4，13，35]， 這是一個(gè)非常強(qiáng)的假設(shè). 盡管文獻(xiàn)[14] 指出， 為設(shè)計(jì)可否認(rèn)性能達(dá)到可忽略不計(jì)的完全模型下的可否認(rèn)加密方案， 一些強(qiáng)有力的假設(shè)是有必要的， 但是否存在不可區(qū)分混淆以外的假設(shè)也可以用于構(gòu)造符合上述條件的可否認(rèn)加密方案， 目前仍然是一個(gè)開放性問題.

· 探索可否認(rèn)加密設(shè)計(jì)新理念. 盡管Canetti 等人最初給出的可否認(rèn)加密定義是偽造隨機(jī)值， 使得誠實(shí)通信和利用偽造算法產(chǎn)生的通信不可區(qū)分. 但也有部分文章“跳出” 這個(gè)設(shè)計(jì)理念， 特別是在多分布式模型下， 如文獻(xiàn)[7，30] 將可否認(rèn)性定義為隱藏真實(shí)消息的能力; 文獻(xiàn)[17，47] 巧妙利用多分布式模型的性質(zhì)， 打開時(shí)將密文中的原本通過可用于否認(rèn)的算法加密真實(shí)消息時(shí)所產(chǎn)生的參數(shù)聲明為通過誠實(shí)算法隨機(jī)產(chǎn)生的; 文獻(xiàn)[26] 利用了解密可控的公鑰加密方案， 打開時(shí)將真實(shí)消息對應(yīng)的密文聲明為不可解密. 利用這些理念所設(shè)計(jì)的可否認(rèn)加密方案， 通常情況下更容易實(shí)現(xiàn)， 或是在密鑰或密文長度上有優(yōu)勢. 這些理念拓寬了可否認(rèn)加密的設(shè)計(jì)， 探索新的可否認(rèn)加密的理念也是一個(gè)重要且有趣的研究方向.

· 可否認(rèn)的其他加密原語研究. 將可否認(rèn)性與其他加密原語結(jié)合是一個(gè)有趣的研究問題， 目前已有可否認(rèn)的函數(shù)加密[15，35]、可否認(rèn)的基于屬性的加密[37，47]、可否認(rèn)的內(nèi)積加密[38]和可否認(rèn)的全同態(tài)加密[9]等方面的研究. 如何設(shè)計(jì)可否認(rèn)的其他高級加密原語， 如可否認(rèn)的群加密、可否認(rèn)的廣播加密等， 也是一個(gè)具有挑戰(zhàn)性的工作.

· 可否認(rèn)加密的應(yīng)用研究. 目前可否認(rèn)加密的應(yīng)用研究有安全多方計(jì)算[40-42]、電子投票[43-45]、電子簽名[45，46]、云存儲(chǔ)[30，47]、可搜索加密[48]等. 將可否認(rèn)加密應(yīng)用于其他領(lǐng)域也是一個(gè)非常有意義的研究方向， 如可否認(rèn)的外包計(jì)算等. 此外， 如前文所述， 目前還無法實(shí)現(xiàn)可否認(rèn)性能達(dá)到可忽略不計(jì)的完全模型下的可否認(rèn)加密方案. 因此， 考慮現(xiàn)有的多項(xiàng)式可否認(rèn)性的方案， 或是多分布式模型下的可否認(rèn)加密方案能否應(yīng)用到實(shí)際中(如通信次數(shù)較少的情況下) 也十分具有現(xiàn)實(shí)意義.