"ตัวระบุ" ทำงานอย่างไรในการเข้ารหัสแบบค้นหาได้แบบสมมาตร

ฉันยังใหม่กับฟิลด์นี้ การเข้ารหัสแบบค้นหาได้แบบสมมาตร และได้อ่านบทความบางส่วนในฟิลด์นี้แล้ว สังเกตเอกสารเหล่านี้จำนวนมากเกี่ยวกับ SSE ใช้ตัวระบุเมื่อสร้างดัชนีที่เข้ารหัสและส่งคืนตัวระบุเป็นผลการค้นหาให้กับผู้ใช้

โครงร่างเหล่านี้ดูเหมือนว่าจะทำงานดังนี้: เมื่อผู้ใช้ได้รับตัวระบุ จากนั้นใช้เพื่อดาวน์โหลดไฟล์จากเซิร์ฟเวอร์ หรือเซิร์ฟเวอร์เพียงแค่ส่งไฟล์ไปพร้อมกับตัวระบุในขั้นตอนการค้นหา

สิ่งที่รบกวนจิตใจฉันคือ เมื่อได้รับผลการค้นหาเช่น $ids = \{doc1.txt,doc2.txt,doc3.txt \}$, ขั้นตอนต่อไปคืออะไร? เมื่อผู้ใช้คุยกับเซิร์ฟเวอร์และบอกว่าให้ชื่อไฟล์แก่ฉัน $doc1.txt$ เซิร์ฟเวอร์สามารถให้ไฟล์อื่นแก่ผู้ใช้ได้อย่างง่ายดายและตั้งชื่อเป็น $doc1.txt$ และส่งคืนให้กับผู้ใช้

ฉันรู้ว่ามี Verifiable Symmetric Searchable Encryption แต่ดูเหมือนว่า "ตรวจสอบได้" หมายถึงผลการค้นหาสามารถตรวจสอบได้ เช่น หากผลลัพธ์คือ $ids = \{doc1.txt,doc2.txt,doc3.txt \}$ ,เซิร์ฟเวอร์ไม่สามารถส่ง $ids = \{doc1.txt,doc3.txt \}$ เนื่องจากผู้ใช้สามารถตรวจสอบได้ แต่ถึงกระนั้นเซิร์ฟเวอร์ก็สามารถหลอกผู้ใช้ได้ด้วยการเปลี่ยนชื่อ

ปัญหาประเภทนี้แก้ไขได้อย่างไร?
ฉันคิดถึงบางสิ่งและเข้าใจผิดบางอย่างหรือไม่?

อ้างอิง
[1] บอส, ราฟาเอล. "â oÏoÏ: ส่งต่อการเข้ารหัสที่ค้นหาได้อย่างปลอดภัย" การดำเนินการของการประชุม ACM SIGSAC ประจำปี 2559 เรื่องความปลอดภัยของคอมพิวเตอร์และการสื่อสาร 2559.
[2] Demertzis, Ioannis และคณะ "การเข้ารหัสที่ค้นหาได้แบบไดนามิกพร้อมที่เก็บข้อมูลไคลเอ็นต์ขนาดเล็ก" เอกสารลับ ePrint วิทยาการเข้ารหัสลับ (2019)
[3] Bost, Raphaël, Brice Minaud และ Olga Ohrimenko "ส่งต่อและย้อนกลับการเข้ารหัสส่วนตัวที่ค้นหาได้จากการเข้ารหัสดั้งเดิมที่มีข้อจำกัด" การดำเนินการของการประชุม ACM SIGSAC ประจำปี 2560 เรื่องความปลอดภัยของคอมพิวเตอร์และการสื่อสาร 2560.
[4] Bost, Raphael, Pierre-Alain Fouque และ David Pointcheval"การเข้ารหัสที่ค้นหาได้แบบสมมาตรแบบไดนามิกที่ตรวจสอบได้: การเพิ่มประสิทธิภาพและการรักษาความปลอดภัยส่งต่อ" IACR Cryptol. ePrint Arch. 2559 (พ.ศ. 2559): 62.