在上一篇就講了基礎相關的問題，而這一篇會講到密碼學應用相關的問題。

密碼學應用

問題 28.1. 對於類 NTRU 問題，是否存在最壞情況硬度歸約，或搜索到判定歸約？
自適應安全性。在標準模型下的基於身份的加密、屬性基加密和謂詞加密方案，是在一種有些人為的選擇性攻擊模型下進行分析的，在這種模型中，敵手必須在看到任何公共參數之前，先指明其意圖攻擊的身份或屬性。一個更現實的模型是自適應安全性，其中敵手可以在看到主公鑰並進行查詢後才指定其目標。雖然一些基於格的 IBE 方案可以經過調整以獲得自適應安全性（無需使用隨機預言機；例如，參見 [CHKP10]），但這會導致主公鑰尺寸大幅增加和安全歸約的緊密性降低，並且尚不清楚類似的技術是否適用於 ABE/PE。在關於雙線性對配的文獻中，Waters 的「雙系統」方法論 [Wat09]（並在許多後續工作中得到進一步發展）產生了具有自適應安全性的 IBE/ABE 系統，其效率與選擇性安全的先驅方案相當。然而，雙系統方法論的格密碼學類比物至今仍難以實現。

問題 28.2. 是否存在標準模型的、具有自適應安全性的基於格的 IBE/ABE/PE 方案，其效率和具體安全性與現有的選擇性安全方案相當？是否存在適用於格密碼學的雙系統方法論的類比物？
無界全同態加密。所有已知的全同態加密方案都遵循 Gentry 開創性工作 [Gen09b, Gen09a] 中的基本範式：首先，構造一個「部分同態」方案，該方案僅支持對新鮮密文進行有限次數的同態運算；然後，應用一個「引導」轉換，將該方案轉變為能夠處理無限次同態運算的方案。儘管取得了重大進展，但引導過程在計算上仍然相當昂貴，因為它涉及同態地評估整個解密函數。此外，實現無界 FHE 的引導需要做出一個「循環安全性」假設，即，在密文自身下加密（某種適當編碼的）私鑰是安全的。迄今為止，對此類假設的理解仍很不足，並且我們缺乏支持它們的理論證據（特別是，沒有最壞情況下的硬度證據）。

問題 28.3. 是否存在不依賴於引導的無界 FHE 方案？是否存在某種引導方式，其使用的計算比完全解密更輕量？
是否存在可以僅在最壞情況複雜性假設下被證明安全的無界 FHE 方案？
無界屬性基加密和全同態簽章。已知的適用於任意電路的屬性基加密和謂詞加密方案是「分層的」，也就是說，對於每個電路深度，都有一個方案支持可在該深度內計算的任何訪問策略。全同態簽章方案也有類似的限制。從理論可行性的角度來看，最好是能有一個單一方案可以處理任何可有效計算的訪問策略。在全同態加密的背景下，引導為分層方案提供了一種「反轉量詞」的方法。但是，儘管 FHE 與 ABE/PE/FHS 方案之間有很強的相似性，至今尚未知有適用於後者的引導技術。

參考資料
[CHKP10] D. Cash, D. Hofheinz, E. Kiltz, and C. Peikert. Bonsai trees, or how to delegate a lattice basis. J. Cryptology, 25(4):601–639, 2012. Preliminary version in Eurocrypt 2010.

[Wat09] B. Waters. Dual system encryption: Realizing fully secure IBE and HIBE under simple
assumptions. In CRYPTO, pages 619–636. 2009.

[Gen09b] C. Gentry. Fully homomorphic encryption using ideal lattices. In STOC, pages 169–178. 2009.

[Gen09a] C. Gentry. A fully homomorphic encryption scheme. Ph.D. thesis, Stanford University, 2009. http :// crypto.stanford.edu/craig.