课程笔记：全同态加密理论与基础

合集 - 同态加密(37)

1.RSA2021-06-242.ElGamal算法2021-06-263.基于全同态加密的隐匿查询-洪澄2021-11-164.同态加密技术及其在FL/MPC中的应用-洪澄2021-11-125.Paillier半同态加密：原理、高效实现方法和应用2021-10-276.Paillier算法2021-06-297.CKKS Part5: CKKS的重缩放 2022-02-078.CKKS Part4: CKKS的乘法和重线性化2022-02-069.CKKS Part3: CKKS的加密和解密2022-02-0610.CKKS Part2: CKKS的编码和解码2022-02-0511.CKKS Part1：普通编码和解码2022-01-3112.MAC上安装HEAAN库2022-01-2413.DGHV同态库2022-01-0714.同态加密及其在隐私计算中应用（李增鹏）2021-11-2115.全同态加密研究：学习2022-08-29

16.课程笔记：全同态加密理论与基础2022-08-27

17.全同态加密-丁津泰：学习2022-08-2618.课程笔记：全同态加密的理论与构造-下篇：学习2022-08-2619.课程笔记：全同态加密的理论与构造-上篇：学习2022-08-2220.阈值同态加密在隐私计算中的应用：解读2022-07-0521.Lifted ElGamal 门限加密算法2022-06-0722.Tenseal库2022-05-1923.Packed Ciphertexts in LWE-based Homomorphic Encryption：解读2022-05-1724.一种高效的同态加密方案及其应用-解读2022-04-2525.Homomorphic Evaluation of the AES Circuit：解读2022-04-2426.SIMD编码2022-02-2327.SEAL库 - 安装和介绍2022-02-1528.HEAAN新版学习2022-02-1129.HEAAN库学习2022-02-1130.CKKS加密方案2022-02-0731.同态密码学原理及算法-笔记2023-05-1732.文章学习：基于AVX-512指令集的同态加密算法中大整数运算性能优化与突破2023-04-2233.全同态加密是否完美？2022-12-0634.半同态计算芯片2022-11-0135.并行同态加密算法及应用研究-20202022-09-2636.基于同态加密的生物认证研究-20152022-09-0737.论文笔记：全同态加密研究进展-白利芳等2023-12-27

收起

本节学习“课程笔记：“全同态加密理论与基础”，记录一些学习心得。

加密方案和安全分析#

一次一密#

• 一次一密，是最安全的，但无法实用。
• 参考：https://www.cnblogs.com/pam-sh/p/16382557.html#一次一密完美理想保密

公钥加密#

• 一次一密适用于对称加密，两方密钥相同（在安全通道传输密钥）。
• 公钥加密的安全性一般基于的是个数学困难问题，陷门即是私钥！

安全分析#

• 敌手的攻击方式：选择明文攻击（CPA）、选择密文攻击（CCA），CCA比CPA描述敌手能力更强。
• 若能抵抗CPA，则说明该方案是CPA安全的，通过描述一个游戏的方式来证明，该游戏的目的是证明在选择明文攻击的前提下攻破系统的不可区分性，所以这个游戏叫做IND-CPA。
• 不可区分性（IND）：敌手即使获得密文，也无法获取任何明文的信息，即敌手攻击成功的概率为50%，超出50%的即为成功概率。
• IND-CPA：定义两个角色（挑战者C和敌手A），挑战者C的任务是仲裁，主持游戏并对敌手的行为进行反馈；敌手就是攻击当前系统的人，且对应的攻击方式为：选择明文攻击，即敌手选择一些明文可以得到对应的密文。

• 确定性加密：加密方案是确定的，每个明文对应一个密文（加密时没有随机数），当敌手进行不可区分性攻击时，只需重新加密消息后与目标密文对比（这就是重放攻击！），比如RSA。
• 概率性加密：加密时加入随机数，同一个明文每次加密得到密文都是不同的，比如ElGamal。
• 存在窃听时，任何一个确定性加密方案都不是CPA安全的，因为敌手可以根据密文分析出对应的明文，不具有“不可区分性！”

基础知识#

不可区分性#

• 这里的$S$是笔误，应该为$\epsilon \in (0,1)$，即在$t$时间内区分$D(X)=1$和$D(Y=1)$相等的概率为$\epsilon$。
• 可分为：完美不可区分性（在无穷时间内判断$D(X)=1$和$D(Y=1)$相等的概率为0，即不能区分$D(X)=1$和$D(Y=1)$相等）、统计意义上的不可区分性（在无穷时间内判断$D(X)=1$和$D(Y=1)$相等的概率几乎为0，即很难区分$D(X)=1$和$D(Y=1)$相等）、计算安全性（在几乎无穷时间内判断$D(X)=1$和$D(Y=1)$相等的概率几乎为0，即很难区分$D(X)=1$和$D(Y=1)$相等）。

统计距离#

• 应该为$s\in S$，这是统计距离的定义（两种），表示两个分部之间的统计距离。

此处存疑？

哈希函数#

• 此处$h(x)=h(y)$，表示碰撞的概率$1/m$。
• $U$是键的域，$H$是可选的哈希函数的域。
• SD表示统计距离，表示$(A,h_A(X))$和$(A,U_t)$是不可区分的。

同态加密#

• 比较完整的同态加密的分类和发展流程。
• 部分同态（PHE）：支持一种同态性
• 有限次同态（SWHE或者Leveled-FHE）：支持有限次的人任意同态计算。
• 完全同态（FHE），支持任意次任意同态计算。
• 同态加密核心是$Eval()$。

• HE的应用场景：医疗、金融、政务机密数据处理。

• 对于同态加密，对称加密和公钥加密是可以转换的。
• 共钥生成中，$sk$是对称加密的密钥，将$l$个比特$b_i$用$sk$加密得到密文，将密文和$b_i$作为公钥$pk$,死要还是$sk$.
• 加密时，明文$\sigma \in [0,1]$，随机比特串$r$，使得$\sum _1^l{r}_i{b}_i=\sigma$，加密得密文$c=Enc(\sum _1^l{r}_i{b}_i)$，用到了公钥。

DGHV10方案#

• DGHV10方案是基于AGCD数学困难问题。
• 密钥生成：$sk=n,pk=x_i$。
• 加密：明文$m$，密文$c=\sum x_i+m=(\sum q_i).n+2\sum r_i+m$。
• 解密：$m=c(modn)(mod2)$。
• 同态计算：（1）加法，噪音累加；（2）乘法，噪音指数级增长，过大会影响解密结果。