一种高效的同态加密方案及其应用-解读

合集 - 同态加密(37)

1.RSA2021-06-242.ElGamal算法2021-06-263.基于全同态加密的隐匿查询-洪澄2021-11-164.同态加密技术及其在FL/MPC中的应用-洪澄2021-11-125.Paillier半同态加密：原理、高效实现方法和应用2021-10-276.Paillier算法2021-06-297.CKKS Part5: CKKS的重缩放 2022-02-078.CKKS Part4: CKKS的乘法和重线性化2022-02-069.CKKS Part3: CKKS的加密和解密2022-02-0610.CKKS Part2: CKKS的编码和解码2022-02-0511.CKKS Part1：普通编码和解码2022-01-3112.MAC上安装HEAAN库2022-01-2413.DGHV同态库2022-01-0714.同态加密及其在隐私计算中应用（李增鹏）2021-11-2115.全同态加密研究：学习2022-08-2916.课程笔记：全同态加密理论与基础2022-08-2717.全同态加密-丁津泰：学习2022-08-2618.课程笔记：全同态加密的理论与构造-下篇：学习2022-08-2619.课程笔记：全同态加密的理论与构造-上篇：学习2022-08-2220.阈值同态加密在隐私计算中的应用：解读2022-07-0521.Lifted ElGamal 门限加密算法2022-06-0722.Tenseal库2022-05-1923.Packed Ciphertexts in LWE-based Homomorphic Encryption：解读2022-05-17

24.一种高效的同态加密方案及其应用-解读2022-04-25

25.Homomorphic Evaluation of the AES Circuit：解读2022-04-2426.SIMD编码2022-02-2327.SEAL库 - 安装和介绍2022-02-1528.HEAAN新版学习2022-02-1129.HEAAN库学习2022-02-1130.CKKS加密方案2022-02-0731.同态密码学原理及算法-笔记2023-05-1732.文章学习：基于AVX-512指令集的同态加密算法中大整数运算性能优化与突破2023-04-2233.全同态加密是否完美？2022-12-0634.半同态计算芯片2022-11-0135.并行同态加密算法及应用研究-20202022-09-2636.基于同态加密的生物认证研究-20152022-09-0737.论文笔记：全同态加密研究进展-白利芳等2023-12-27

收起

阅读paper"一种高效的同态加密方案及其应用"的笔记。

基础#

生成可逆矩阵对的算法#

• 输入：矩阵维数
• 输出：一对互逆矩阵($I_1,I_2$)

算法的目的是构造一对互逆矩阵, 同时由于每一步中的置换参数都是随机生成的, 所以可使矩阵的
元素不具备任何特征, 可以通过改变随机变换的次数来调整效率和随机性.

密钥交换技术#

来源于BGV方案，作用是将一组密文 - 私钥转换到一组新的密文 -私钥, 同时保证解密正确性.

• 输入：密钥$S$
• 输出：新密钥$S^{\prime }$和矩阵$M$

假设原始的密钥和密文为$S$和$c$，则经过密钥交换后输出满足：新密钥和新密文为$S^{\prime }$和$c^{\prime }=Mc+e\approx Mc$，其中$e$很小可以忽略，可以看出密钥交换产生的新密文，噪音增加了一点。

正确性#

其中$I$是$m\ast m$的单位矩阵。

同态方案#

密钥生成#

• 输入：参数m
• 输出：私钥$S$和公钥$M$

其中，矩阵$wI$视为明文向量对应的私钥进行了一次密钥转换, 得到公、私钥，所以，假设$wI$对应的明文为$c$，$S^{\prime }$对应的明文为$c^{\prime }=Mc$，则：

$$S{c}^{\prime }=SMc=wIc\to SM/w=I$$

$w$是什么？也是参数？

加密#

• 输入：公钥$M$，明文$x$
• 输出：密文$c$

加密过程中除计算新密文外, 还引入了一个噪声向量, 从而使得加密结果形式上满足 LWE 问题.

解密#

• 输入：私钥$S$，密文$c$
• 输出：明文$c$

其中${\lceil a\rfloor }_q$表示对向量或矩阵$a$中各元素在模$q$的域中取最近整数.（四舍五入）。

解密正确性的参数要求#

为保证解密的正确性, 需要对算法中的各参数做出限制. 下面分析解密过程:

要保证解密正确性需要限制$|Se/w|<1/2$ , 其中符号$|a|$表示向量或矩阵$a$的元素的最大绝对值. 将该限制条件进一步加强, 然后展开得到:

所以噪声$e$的上限：

在该限制条件下, 可以保证解密正确. 在实际应用中, 噪声往往会随着同态计算的进行而不断增大, 而
当噪声足够大时, 就会造成解密失败. 所以在实际应用中, 可以噪音上限的公式中, 得到一个密文可
以进行的同态计算深度$L$, 然后再应用中加以限制, 以此来保证同态计算的结果可以顺利解密.（Leveled-FHE）。

同态计算#

加法#

1、用同一公钥$M$加密两个等长的明文向量$x_1,x_2$有:

2、将上面两式相加有:

只需给噪声向量 $e_1,e_2$合适的限制条件即可得到:

只要满足：$|S(e_1+e_2)|<1/2$，就可以解密正确。

线性变换#

线性变换：给定整数$x$，输出$Gx$，其中$G$是一个矩阵/向量/整数等，那么如何设计：$Dec(Gc)=Gx$

1、根据解密结构$x={\lceil Sc/w\rfloor }_q$可得:$Gx=G{\lceil Sc/w\rfloor }_q={\lceil GSc/w\rfloor }_q=Dec(GS,c)$，即密文$c$可以看作是明文$Gx$在公钥$GS$下加密的。
2、然后利用密钥交换技术，将$GS$作为输出，得到新密钥$S^{\prime }$，及$M^{\prime }=Trans(GS)$，此时$S^{\prime }$对应的新密文为$c^{\prime }=M^{\prime }c+e^{\prime }$，根据密钥交换的性质有：

$$S^{\prime }{c}^{\prime }=S^{\prime }(M^{\prime }c+e^{\prime })=S^{\prime }{M}^{\prime }c+S^{\prime }{e}^{\prime }=GSc+S^{\prime }{e}^{\prime }\approx GSc$$

3、用新密钥$S^{\prime }$对新密文解密：

可以看出上面的噪音不仅有第一次加密时引入的噪声$e$, 还有密钥转换过程中引入的新噪声$e^{\prime }$以及因进行线性变换而引入的噪声$|GSe+S^{\prime }{e}^{\prime }|$. 将上面解密过程展开有:

所以解密正确的条件是：

随着计算深度的增加噪声的大小也快速增大, 直至无法正确解密.

总结一下流程：
现在给出一个密文$c$，想计算其线性变换$Gc$，然后解密后相当于对应的明文$x$做线性变换$Gx$：
1、将密文$c$，对应的私钥$S$，变为$GS$，作为密钥交换的输入
2、密钥交换输出新私钥$S^{\prime }$，得到新密文$c^{\prime }$
3、用新私钥$S^{\prime }$解密新密文$c^{\prime }$得到明文$Gx$

加权内积#

什么是加权内积？
两向量内积:$<X,Y>=x_1{y}_1+x_2{y}_2+...+x_n{y}_n$
两向量加权内积：$<X,Y,H>=x_1{y}_1{h}_1+x_2{y}_2{h}_2+...+x_n{y}_n{h}_n$，其中$H$是权值向量

关于加权内积没看太懂。

安全性分析#

密钥安全#

回想方案的公私钥{$M,S$}

密钥安全就是不能根据公钥$M$推测出私钥$S$或者在一定程度上模拟出解密过程，即不能仅从公钥和密文就可以解出明文！

分析#

观察公钥$M=P_m{M}_t$，是否能从$M$中推断出$P_m$或者$M_t$?
因为$P_m$是一个随机可逆矩阵，想直接构造出$P_m$是困难的。可行的办法就是$P_m^{-1}M=M_t$，即需要知道$P_s$，可以尝试随机取$P_s$，但矩阵规模很大时，很难选取，所以选择合适的矩阵规模，是影响方案安全性的重要参数。

语义安全#

模拟方案是否满足IND-CPA（不可区分的选择明文攻击）：

若攻击者能以概率为$Pr=1/2+\epsilon$获胜，则攻击者同样也可以以相同的概率求出$x$：
已知$c_i,M_i,c_i=M_{i}x+e_i,0\le i<n$
该问题明显就是LWE问题了，LWE问题被Regev证明是困难的，所以该方案的安全性规约到LWE困难问题上