Paillier加密方案

数论基础

Carmichael函数：$n\in Z^+,\forall a\in Z_n^+$，若能满足$a^x \equiv 1 (\mod n)$的最小x，记为λ(n)，称为Carmichael函数

定理：$n\in Z^+$，设$n=n_1·n_2$，且$(n_1,n_2)$=1，则λ(n)=[λ($n_1$),λ($n_2$)]

证明.
$\forall a\in Z_n^+,a^{\lambda(n)} \equiv 1\mod n$
$\because n_1\mid n$
$\therefore a^{\lambda(n)} = 1\mod n_1$
$\therefore \lambda(n_1)\mid\lambda(n)$
同理，$\lambda(n_2)\mid\lambda(n)$
$\therefore [\lambda(n_1),\lambda(n_2)]\mid\lambda(n)$
设$Z_{n_1}^+ = \lbrace a_i |0 < i \le n_1\rbrace,Z_{n_2}^+ = \lbrace b_j|0 < j \le n_2\rbrace$
则$Z_n^+=\lbrace n_2a_i+n_1b_j \rbrace$
$(n_2a_i+n_1b_j)^{\lambda(n_1)} \equiv n_2^{\lambda(n_1)} \equiv 1\mod n_1$
则$(n_2a_i+n_1b_j)^{[\lambda(n_1),\lambda(n_2)]}\equiv 1\mod n_1$
同理，$(n_2a_i+n_1b_j)^{[\lambda(n_1),\lambda(n_2)]}\equiv 1\mod n_2$
$\because [n_1,n_2]=n$
$\therefore\forall a\in Z_n^+,a^{[\lambda(n_1),\lambda(n_2)]}\equiv 1\mod n$
$\therefore \lambda(n)\mid [\lambda(n_1),\lambda(n_2)]$
$\therefore [\lambda(n_1),\lambda(n_2)]=\lambda(n)$

Carmichael函数的取值：

• 当原根存在时，显然$\lambda(n)=\varphi(n)$，即当n=$2,4,p^{\alpha},2p^{\alpha}$
• 如果n = $p_1^{a_1}·p_2^{a_2}\cdots p_s^{a_s}$，根据上面的定理，则λ(n) = [$\lambda(p_1^{a_1}),\lambda(p_2^{a_2}),\cdots,\lambda(p_s^{a_s})$]
• 如果n = $2^{\alpha},\alpha\ge 3$，则λ(n) = $\frac{\varphi(n)}{2}$

定理：设$n\in Z^+,w\in Z_n^+$，则$w^{n\lambda(n)}\equiv 1\mod n^2$

证明.
$w^{\lambda(n)}\equiv 1\mod n$
$\therefore \exists k\in Z_N^+, w^{\lambda(n)} = 1+kn$
$(w^{\lambda(n)})^n=(1+kn)^n=1+\Sigma_1^n C^i_n(kn)^i=1+kn^2+\Sigma_2^n C^i_n(kn)^i\equiv 1\mod n^2$

Paillier加密方案

Paillier加密方案是欧洲通用的一种同态的公钥加密方案，其构造如下：

• Gen：取两个大素数p,q，令n=pq，λ=[p-1,q-1]，概率均匀的选择一个g$\in Z^+_{n^2}$，并且满足 n | ord(g)，则(n,g)为公钥,(p,q,λ)为私钥
• Enc：对消息m$\in Z^+_n$，概率均匀的选择一个r$\in Z^+_n$，则密文 c = $r^ng^m\mod n^2$
• Dec：解密m' = $\frac{L(c^λ\mod n^2)}{L(g^λ\mod n^2)}$，其中L(x)=$\frac{x-1}{n}$

正确性验证：
因为$g^{\lambda}\equiv 1\mod n$
不妨令$g^{\lambda}=1+kn,k\in Z^+$

m' = $\frac{\frac{c^{\lambda}-1}{n}}{\frac{g^{\lambda}-1}{n}}=\frac{\frac{(r^ng^m)^{\lambda}-1}{n}}{\frac{1+kn-1}{n}}$

$\equiv\frac{\frac{(g^{\lambda})^m-1}{n}}{k}\equiv\frac{\frac{(1+kn)^m-1}{n}}{k}\equiv\frac{\frac{1+mkn+\Sigma_2^mC_m^i(kn)^i-1}{n}}{k}$

$\equiv\frac{km}{k}\equiv m\mod n^2$