2007同年出现的经典IBBE——密码学家们的默契

2007年同年，delerable和sakai提出了身份基的广播加密，两人的方案一模一样。加入了身份的IBBE和原始的BE有一点点相似但是又有本质不同。

这里$msk=(g,r)$，公钥PK包含群$G_2$中的向量$(h,h^r,...,h^{r^{m}})$用于构建指数上的关于r的多项式，$w=g^r$，加密组件$v=e(g,h)$

加密产生$Hdr=(C_1,C_2)=(w^{-k},h^{k\prod (r+H(id_i))})$，$C_2$是很常规的广播，$C_1$是带r的对k的承诺，如果g是公钥而不是msk，用常规的$g^{-k}$来承诺k那么加密组件$e(g,h)^k$可以被任何人轻松计算，而不是持有私钥的人。

私钥产生为$SK_{id}=g^{\frac{1}{r+H(id)}}$，用来消除“广播组件” $\prod (r+H(id_i))$中的一部分，参见解密部分计算的part II，$e(SK_{id},C_2)=e(g^{\frac{1}{r+H(id_i)}},h^{k\prod (r+H(id_j))})=e(g,h^{\prod_{j\neq i}^{S}(r+H(id_j))})^k$。

正是因为加密中$C_1$带r，所以在本方案的解密的绝妙核心part I 中需要去掉r，去掉r的技巧是关键。因为不知道r，所以想要直接除r是不可以的，但是可以通过多项式降阶来做到除r的效果，多项式想要可以降阶需要没有常数项。

所以part I 的$e(g^{-\frac{r}{k}},h^{\frac{1}{r}(\prod_{j\neq i}^{S}(r+H(id_j))-\prod_{j\neq i}^{S}H(id_j))})$中的第二部分真的太秀了。它同时做到了三个事情，首先通过多项式降阶在不知道r的情况下消去了r，其次这种利用多项式降阶来消去r的做法利用了“去常数项的‘广播组件’”${(\prod_{j\neq i}^{S}(r+H(id_j))-\prod_{j\neq i}^{S}H(id_j))}$，广播组件${\prod_{j\neq i}^{S}(r+H(id_j))}$刚好可以和part II 进行消去，最后还刚好能够比广播组件多一个可计算的常数项 ${\prod_{j\neq i}^{S}H(id_j))}$来构建加密组件K。