【论文翻译】全同态加密指南 | A Guide to Fully Homomorphic Encryption翻
刚入门全同态加密,翻译《A Guide to Fully Homomorphic Encryption》,原文链接:https://eprint.iacr.org/2015/1192.pdf择要
全同态加密(FHE)被称为密码学的圣杯,这是一个难以实现的目标,可以解决IT天下的安全和信托标题。2009年之后,当克雷格·金特里(Craig Gentry)表明FHE原则上可以实现时,该领域的研究爆发了。自那时以来,在寻找更实际、更有效的解决方案方面取得了相当大的盼望。固然研究迅速发展,但术语和概念变得多样化和紊乱,以至于今天很难理解不同作品的实际成就。本文的目的是解决三个基本标题:
什么是FHE?FHE可以用来做什么?FHE今天的状态如何?
在对该领域进行观察的同时,我们还澄清了使用中的不同术语,并证实白不同FHE概念之间的联系。
1 介绍
同态加密的目的是允许对加密数据进行计算。因此,数据在处理时可以保密,从而可以使用不受信托情况中的数据完成任务。在分布式计算和异构网络的天下中,这是一个非常有代价的功能。自1978年Rivest、Adleman和Dertouzos提出对加密数据进行计算的通用方法以来,这不绝是密码学的一个目标。人们之以是对这个主题感兴趣,是因为它在现实天下中有许多应用。全同态加密的发展是一个革命性的进步,极大地扩展了可用于同态处理加密数据的计算范围。自从Gentry在2009年发表他的想法以来,人们对该领域的改进、实施和应用产生了巨大的兴趣。
我们在第2节中具体介绍了具体的应用步伐,但为了给人一种感觉,请考虑云计算。随着越来越多的数据被外包到云存储中,通常是未加密的,因此必要对云存储提供商给予相当大的信托。云安全同盟将数据泄漏列为云安全的主要威胁。使用传统加密对数据进行加密可以避免这个标题。然而,如今用户不能对数据进行操作,必须下载数据才能在本地执行计算。通过全同态加密,云可以代表用户执行计算,并只返回加密的结果。
1.1 什么是全同态加密?
主要来说,FHE允许对加密数据进行恣意计算。对加密数据的计算意味着,如果用户有一个函数f,并盼望对于某些输入m1,…,mn获得f(m1,…,mn),它可以使用其加密c1,…,cn来代替输入来获得一个结果,该结果解密为f(m1,…,mn)。
在某些密码系统中,输入消息(明文)位于某些代数结构中,通常是组或环。在这种情况下,密文通常也位于一些相关的结构中,这些结构可能与明文类似。在旧的同态加密方案中,函数f通常被限制为与明文结构相关的代数运算。以ElGamal为例。如果明文空间是一组G,那么密文空间是G × G的乘积,f局限于G上的群运算。2009年以前的大多数方案都得当这样的结构。完全同态加密的目的是将函数f扩展为恣意函数。如果方案对于功能完整的操作集是同态的,而且可以从该聚集迭代操作,则可以实现这一目标。
固然从理论上讲,加密方案总是被要求必要满意效率,即在安全参数的多项式时间内运行,但实际上效率并不是获得第一个FHE方案的主要考虑因素。这些方案缺乏效率的一个缘故原由是,它们使用由单个位构成的明文空间,而且对于加法和乘法模2是同态的。固然任何复杂的函数都可以从这样的基本操作建立起来,但这可能必要大量这样的操作。
为了提高效率,FHE方案的一些最新变体以不同的方式限制函数f,我们稍后将对此进行探究。
尽管FHE的理论观点只关心f的选择最大化,但实践观点也关心保持这个选择只在必要的时间大,而且对于明文和密文空间也可能更喜欢比二进制情况更丰富的结构。
1.2 FHE的关系:功能加密与步伐混淆
FHE背后的基本思想是可以或许在加密数据上应用函数。另外两个由函数构成的密码学概念是函数加密和混淆。风趣的是,正如之前已经认识到的,混淆、函数加密和完全同态加密好像在某种程度上交织在一起。
函数加密在本质上类似于基于身份的加密和基于属性的加密。Boneh, Sahai和Waters对这三个概念之间的关系进行了简明的表明,并对FHE进行了一些讨论。FHE和FE的概念确实有一些重叠,而且已经证实功能加密可以像FHE一样工作,只需稍作调解。
函数加密允许使用主密钥发布密钥,这取决于函数f。给定密文,密钥允许用户学习应用于明文的f值,而不学习其他值。加密数据上的计算函数将同态加密和函数加密这两个概念联系起来。一个明显的区别是函数的应用方式。FE通过主密钥持有者授予对哪些功能可以应用于数据的控制权,主密钥持有者根据功能的适当性决定发布密钥。密钥可以用于获得应用于加密数据的函数的明文结果。FHE允许任何拥有评估密钥的人运行函数(见第3节),但只有密钥的所有者才能将结果解密为明文。运行该函数的用户只能获得密文。
混淆最初被设计为概念上类似于黑盒计算,其中一个人获得输入到黑盒的知识,并从中输出,但没有其他知识。通过混淆处理,可以在不透露密钥知识的情况下将密钥放置在要运行的步伐中。因此,可以生成一个包罗公钥和私钥的混淆步伐,并通过首先应用解密算法,然后应用所需函数,最后对结果进行加密来处理输入。这将代替FHE中的同态运算。
这种从混淆方案和传统加密方案生成FHE方案的能力好像很有前程,但实际上还不清晰这是否比直接FHE更有优势。我们还必要考虑在已发布的步伐中隐藏密钥的安全束缚和影响。
1.3 系统化的必要
FHE的处理好像非常令人困惑。偶然,两个界说好像说的是同一件事——比方,乍一看,可以或许计算恣意一个电路和可以或许连续计算恣意多个电路好像是一回事。然而,究竟并非如此,详见表明5。
为了资助理解其中的区别,请考虑云计算示例:FHE通常作为解决方案出售。然而,如果我们只能计算恣意大小的一个电路,那么我们就不能将中心结果用于以后的进一步计算;统统都必须从头开始通过原始密文进行计算。这满意FHE的通常界说(界说9),但这是反直觉的,险些不可能得到最优解。在这种情况下所必要的是连续计算恣意多个电路的能力。
这突出了该领域的另一个标题:在某些情况下,界说并不能表达人们直觉上的假设。在其他情况下,一种直觉在不同的论文中有不同的界说。比方,一个称为紧凑性的属性就是这样,它直观地表明密文大小不应该通过同态运算来增长。Gentry通过其原作中的一个特征描述来界说它,而在随后的作品中使用了不同的特征描述。看到这两个界说是等效的并不像人们想象的那样简单,实际上必要额外的假设。
偶然,属性根本没有正确界说,偶然使用了同一篇论文中没有提到的含义。图1显示了这一大堆界说的复杂程度。从界说和性质(图中白色矩形)开始,我们可以对不同类型的同态方案(阴影圆形矩形)进行分类。此外,这些分类可以再次与跳数正确性相结合,从而产生另一组同态方案(较暗的椭圆形)。
https://img-blog.csdnimg.cn/5e0dd27c55304a95b93dfd5d6267d3ae.png
2 FHE的应用
本节将探究各种同态加密的众多应用。有些必要完全同态加密,而另一些只必要部分同态加密。区别将在第3节中明确。如今,只要知道完全同态方案可以计算加密数据上的任何内容就足够了,而部分同态的方案则受到更多限制。
本节分为三个部分。第一部分讨论当今可行的应用步伐,第二部分讨论使用同态加密作为构建块的结构,第三部分讨论FHE的当前限制。
2.1 FHE的实际应用
尽管速度仍然很慢(参见第5节),但同态加密已经被提出用于几个实际用途。本节列出了使用我们现有的技术可以想到的应用步伐。
2.1.1 广告中的消费者隐私
尽管广告通常是不必要的,但当根据用户需求进行定制时,比方通过保举系统或基于位置的广告,广告可能是有效的。然而,许多用户关心他们数据的隐私,在这种情况下他们的数据隐私就是他们的偏好或位置。有几种方法可以解决这个标题。
Jeckmans等人刻画了一个用户想要保举产物的场景。该场景是围绕社交网络设计的,在社交网络中,保举是基于用户朋友的口味,并具有保密条件。所提出的系统应用同态加密,以允许用户在不袒露保举者身份的情况下从朋友那里获得保举。
Armknecht和Strufe提出了一种保举系统,用户在不知道内容的情况下获得加密保举。该系统建立在一个非常简单但高效的同态加密方案之上,该方案是为此目的开辟的。这允许计算在广告保持加密的同时为每个用户选择广告的函数。
在个性化广告的另一种方法中,移动装备将用户的位置发送给提供商,提供商将定制广告(如附近商店的折扣券)发送回用户。当然,这可能允许提供商监控有关用户习惯和偏好的统统。然而,这个标题可以通过同态加密来解决——前提是广告来自第三方(或多个),而且不与提供商勾结。
2.1.2 医学应用
Naehrig等人提出了一种场景,即患者的医疗数据以加密的形式(连续)上传到服务提供商。这里,用户是数据所有者,因此数据在用户的公钥下加密,只有效户才能解密。然后,服务提供商根据加密数据进行计算,这些数据可以包括血压、心率、体重或血糖读数,以预测某些情况发生的可能性,或者更一般地只跟踪用户的健康状态。这里的主要好处是允许基于各种来源的读数进行及时健康分析,而不必向任何一个来源披露这些数据。Lauter描述了微软对心脏病发作预测的实际实现。
2.1.3 数据挖掘
从大型数据集中挖掘数据提供了巨大的代价,但代价是用户的隐私。固然Yang, Zhong和Wright经常被引用使用同态加密作为这个标题的解决方案,但该方案实际上使用了函数加密,这是1.2节中讨论的一个常见混淆。然而,应用同态加密肯定是一种可行的解决方案。
2.1.4 金融隐私
想象这样一个场景,一家公司拥有敏感数据和他们不想公开的专有算法,比方金融部分的股票代价预测算法。Naehrig等发起使用同态加密以加密形式上传数据和算法,以便将计算外包给云服务。
然而,保持算法的机密并不是同态加密所提供的,而是混淆电路研究的一部分(参见1.2节)。在完全同态方案中最靠近的属性被称为电路隐私,但这只是包管输出不会泄漏有关函数的信息,而不是可以加密函数本身。
同态加密提供了一个相关标题的解决方案。假设一家公司a拥有股票投资组合等敏感数据,而另一家公司B拥有对股票代价进行预测的机密算法。如果A想要使用B的算法(当然是有代价的),要么A必须将股票投资组合透露给B,要么B必须将算法给A。使用同态加密,然而,A可以用电路私有方案加密数据并将其发送给B, B运行私有算法,只发回结果,结果只能通过A的机密密钥解密。这样,B不了解A的数据,A也不了解使用的算法。
2.1.5 法医图像辨认
B¨osch等描述了如何外包法医图像辨认。警员和其他执法机构正在使用类似的工具来检测硬盘驱动器、网络数据流和其他数据集中的非法图像。警方使用一个包罗“不良”图片哈希值的数据库。一个主要的标题是,犯罪者可以获得这个数据库,查抄他们的图像是否会被检测到,如果是,就修改它们。
该方案使用Brakerski和Vaikuntanathan提出的某种同态加密方案来实现警员数据库加密的场景,同时公司的正当网络流量保持私有。该公司将经过散列和加密的图片数据流与警方创建的加密数据库进行比力。服务提供者对加密数据库本身一无所知,在给定的时间间隔或阈值之后,将临时变量发送给警员。
2.2 作为构建块的同态加密方案
同态加密方案可用于构建密码工具,如零知识证实、署名、MAC和多方计算实现。
2.2.1 零知识证实
Gentry在他的论文中表明,同态加密可以用于构造小尺寸的非交互式零知识(NIZK)证实。用户想要证实对于一个布尔电路C比特π1、…、πt的令人满意的分配。NIZK证实包括生成公钥、加密πi和在这些加密上对C进行同态评估。附加了一个标准的NIZK证实,以证实每个密文加密0或1,而且计算加密1的输出。
2.2.2 计算外包
计算外包是云计算的第二大支柱,仅次于数据外包。用户盼望将函数f的计算委托给服务器。然而,服务器可能是恶意的,或者只是容易出现故障,这意味着用户可能不相信计算的结果。用户盼望有一个证实,证实计算是正确的,验证这个证实也应该比用户进行计算要有效得多。
Chung等人使用完全同态加密来设计委托计算的方案,改进了Gennaro等人的结果,而van Dijk和Juels则研究了FHE单独解决云计算中的隐私标题的不可行性。
计算委托的一个例子是消息验证器。对数据集进行外包计算的用户可能盼望查抄返回值是否确实是正确的结果。标签应该与原始数据集的大小无关,而且只对私钥持有者可验证。Gennaro和Wichs在完全同态加密方案的基础上提出了这样一种方案,可以以为是完全同态署名的对称密钥版本。但是,它只支持有限数量的验证查询。
2.2.3 署名
Gorbunov等人提出了一种水平完全同态署名方案的构造方法。该方案可以在署名数据上评估具有最大深度d的恣意电路,并同态地产生短署名,任何人都可以使用公共验证密钥来验证该短署名。用户上传署名数据x,然后服务器对数据运行函数g,得到y = g(x)。此外,服务器发布署名σg,y来验证计算结果。
这项工作还引入了同态陷门函数(HTDF)的概念,它是署名构造的构建块之一。HTDF本身是基于小整数解(SIS)标题。Boneh和Freeman给出了全同态署名的第一个界说。
2.2.4 多方计算
多方计算必要加入者之间的交互。Damgard等人描述了如何在计算过程中使用某种同态方案来构造离线乘法。玩家在预处理阶段使用某种同态方案,但在计算阶段返回到更有效的多方计算技术。
2.3 FHE的局限性
在文献和直觉上,有几个应用步伐允许完全同态加密作为解决方案。但是,在本小节中,我们将讨论FHE在现实场景中的三个主要限制。然后,我们给出了一些例子,所有这些例子都包罗前两个局限性。
第一个限制是支持多用户。假设同一系统(依赖于计算中使用的内部数据库)有许多用户,他们盼望掩护自己的个人数据不受提供商的侵害。一种解决方案是提供商为每个用户提供一个单独的数据库,在该用户的公钥下进行加密。如果这个数据库非常大而且有许多用户,这将很快变得不可行的。López-Alt等通过界说和构建多密钥FHE,为解决这一标题指明确方向。
接下来,对于涉及以同态方式运行非常大且复杂的算法的应用步伐,存在一些限制。如今,所有的全同态加密方案都有很大的计算开销,它清晰地描述了加密版本中的计算时间与计算时间的比率。尽管大小是多项式,但这种开销往往是一个相当大的多项式,这大大增长了运行时间,并使复杂函数的同态计算不切实际。即使在未来应该找到一个非常有效的FHE,其他标题仍然存在。比方,对于电路,在对加密数据进行操作时,不存在中止算法的概念。在比力的情况下,这将必要运行本身就很大的完整电路。换句话说,某些机制好像只是因为值仍然是隐藏的而变得更加重要。Goldwasser等人发起用图灵机代替电路来解决这个标题。
最后,FHE并不一定意味着机密函数的评估。在前面讨论财务数据的适用性时,我们已经碰到过这种情况。本课题属于混淆研究。
3 界说
本节概述了FHE文献中使用的术语。我们的一些界说直接来自现有的论文,而另一些界说则被重新措辞,要么是因为没有令人满意的正式界说,要么是为了将这些界说纳入我们的正式框架;在第一种情况下,我们给出了引文。
我们从一个空间P ={0,1}开始,我们称之为明文空间,以及一个从明文元组到P的函数族F。我们可以把这样一个函数表现为输入上的布尔电路。如果我们用C表现这个电路,我们用普通函数C(m1, m2,…, mn)表现电路在元组(m1,m2,…,mn)上的求值。我们的第一个界说遵循Brakerski和Vaikuntanathan。
界说1(C–求值方案)。设C是一组电路。C的C评估方案是概率多项式时间算法(Gen、Enc、Eval、Dec)的元组,使得:
Gen(1^λ,α)是关键的生成算法。它担当两个输入,安全参数λ和辅助输入α,并输出一个密钥三元组(pk,sk,evk),其中pk是用于加密的密钥,sk是用于解密的密钥,evk是用于求值的密钥。
Enc(pk,m)是加密算法。作为输入,它采用加密密钥pk和明文m。它的输出是密文c。
Eval(evk,C,c1,…,cn)是求值算法。它将求值密钥evk、电路C∈C和输入元组作为输入,这些输入元组可以是密文和先前求值结果的混合。它产生一个求值输出。
Dec(sk,c)是解密算法。它以解密密钥sk和密文或评估输出作为输入,并产生明文m。
这里,X表现包罗新密文的密文空间(见等式(1)),Y表现求值输出的空间,Z是X和Y的并集。Z*包罗由Z中的元素构成的恣意长度元组。对于pk、sk和evk,密钥空间分别由Kp、Ks和Ke表现。公钥包罗对明文和密文空间的描述。密钥生成算法Gen的输入以一元表现法给出,即1^λ。Gen还可以从空间auxs中获取另一个可选输入α,这是辅助输入,将在备注3中阐明清晰。最后,C是允许电路的聚集,即该方案可以求值的所有电路。
界说了这些空间后,算法的域和范围由下式给出
https://img-blog.csdnimg.cn/a3c8d3be592444e2b63c775cf2689bf5.png
其中X∪Y=Z和A是一个辅助空间。注意,一般来说,求值空间可以与密文空间不相交。在本文中,我们将密文空间X视为加密的图像,将求值空间Y视为求值的图像。因此,Z不能包罗不是加密算法或求值算法的可能输出的元素。正式地
https://img-blog.csdnimg.cn/7c9203ffc8104868b773a78d797f9945.png
https://img-blog.csdnimg.cn/3adf5d76d304472faec0a1f2cea3b262.png
值得注意的是,求值密钥通常也是公钥的一部分。通过以这种方式界说方案,并使用单独的求值密钥,我们并不是禁止pk=evk,而是断言它不是严格必要的。分离pk和evk正在成为一种标准界说。
备注1(密文解密)。Brakerski和Vaikuntanathan提到,在加密算法的输出上运行解密算法并不是严格必要的:“……我们不要求密文ci本身是可解密的,只要求它们在同态评估后变得可解密。“他们指出,在解密之前,人们总是可以用一个空白电路(本质上是一个计算函数f(x)=x的电路)来求加密的密文,从而简化了解密算法的允许输入。从如今起,我们允许对新的密文进行解密,因为这好像是一种更天然的方法,适用于大多数已知的FHE方案。解密算法可以对密文或评估进行操作(从密文空间和评估空间中获取值)。此选择消除了对空白回路的必要。然而,一般来说,这种区分是不必要的,尤其是当评估空间和密文空间类似时。
3.1 属性
这里给出了同态加密方案的属性。一方面,我们必要诸如正确性之类的东西,甚至将其称为加密方案,另一方面我们界说了诸如紧凑性和电路私密性之类的属性,这些属性排除了同态加密标题的琐碎解决方案。
界说2(正确解密)。C–评估方案(Gen,Enc,Eval,Dec)被以为是正确解密的,如果对于所有m∈P,
https://img-blog.csdnimg.cn/7d387741c99e4bf09c07839bfd767901.png
其中sk和pk是Gen(1^λ,α)的输出。
这意味着我们必须可以或许将密文解密为正确的明文,而不会出错。
界说3(正确评估,)。C–评估方案(Gen,Enc,Eval,Dec)正确评估C中的所有电路,如果对于所有ci∈X,其中mi← Dec(sk,ci),对于每个C∈C,以及一些可忽略的函数ε,
https://img-blog.csdnimg.cn/d930d3d62a804916a1797a4a486b6fef.png其中sk和pk是Gen(1^λ,α)的输出。
这意味着,以压倒性的概率,对允许电路的同态评估的解密产生正确的结果。请注意,对于界说2和3,我们有意限制为X,而不是Y。这在第3.3节中得到了进一步的发展。
从如今开始,如果一个c -求值方案同时具有正确的求值和正确的解密属性,我们就说它是正确的。
界说4(紧凑性)。对于Gen(1λ, α)输出的恣意密钥三元组(sk, pk, evk),恣意电路C∈C,所有密文ci∈X,输出Eval(evk, C, c1,…, cn)不大于p(λ)位,与电路大小无关。
这意味着密文大小不会通过同态运算增长太多,而且输出长度仅取决于安全参数。这也排除了寻常同态方案,其中求值算法是身份函数(也就是说,它输出(C,c1,…,cn)),而且解密函数被界说为解密输入密文c1,cn,将适当的函数应用于相应的明文,并输出此结果。
备注2(关于紧凑性)。Gentry最初的界说略有不同,可以非正式地表明为:如果存在一个“合理”长度的电路CD来计算解密电路,则该方案是紧凑的。这个界说依赖于解密电路的大小。然而,我们以为第一个界说依赖于Eval输出的长度——在他的工作中直观地给出——并在接下来的工作中用作紧凑性的界说,这提供了更好的理解。我们在第4.1节中进一步研究了这两个概念之间的关系(并正式陈述了后一个概念)。
在预期以下结果的情况下,我们引入了另一个最初由Gentry使用的界说,该界说将本节中迄今为止看到的所有界说分组。
界说5(紧凑求值)。如果C求值方案紧凑且正确,则该方案(Gen、Enc、Eval、Dec)会紧凑地求值C中的所有电路。
我们如今界说电路隐私。人们可能容易将电路隐私与电路混淆在语义上混淆,因为两者好像都可以保持电路的机密或私有。然而,电路混淆处理的是电路的隐藏。如果所使用的算法本身是有代价的而且应该是机密的,那么这一点就很重要。相反,电路私密性表征了算法Eval和Enc的输出的分布。
界说6(电路私密性)。对于Gen(1^λ, α)输出的恣意密钥三元组 (sk, pk, evk),对于所有电路C∈C,所有ci∈X,使得mi←Dec(sk, ci), 可以以为C - 评估方案 (Gen, Enc, Eval, Dec)是完美的/统计的/计算私有的电路,Z上的两个分布
https://img-blog.csdnimg.cn/e83f9ce059594d1ca56290fc7c2d1257.png
https://img-blog.csdnimg.cn/b090b4288c7f443481ad799af0c9298e.png
两者都采用了每个算法的随机性,分别在统计上或计算上完全不可区分。
为什么这个界说意味着电路是私有的,可能不能立即弄清晰。从本质上讲,它指出,特定电路对密文求值的输出看起来像明文值v的加密输出,在这种情况下,由电路和相应的明文生成。因为v只是另一个明文(即v = C(m1, m2,…, mn)),很难确定它是如何生成的(难度品级从完美到计算)。
电路隐私在文献中也被称为“强同态性”,目前学界对电路隐私的正确界说仍存在轻微分歧。固然我们保留了Gentry给出的原始界说,但存在一个类似的稍薄弱一点的概念,即函数隐私。重要的区别是,函数隐私只要求对加密数据上的不同电路进行评估,产生统计上靠近、计算上靠近或类似的分布。另一方面,电路私密性要求这些分布与新密文的分布类似
3.2 分类
并非所有同态格式都具有类似的性质。本文的这一部分探究了界说,这些界说允许我们根据它们可以评估的电路对不同类型的方案进行分类和区分。
界说7(部分同态)。具有正确解密和正确求值的c -求值方案(Gen, Enc, Eval, Dec)称为某种同态加密方案(SHE)。
由于对密文的紧凑性没有要求,以是密文的长度可以随着每一次同态操作而大幅度增长。此外,允许电路的聚集C由一些电路构成;这里没有要求这必须包括哪些电路。
界说8(水平同态)。c -求值方案(Gen, Enc, Eval, Dec)被称为水平同态方案,如果它必要一个辅助输入α = d到Gen,它指定了可以求值的电路的最大深度。进一步的要求是正确性、紧凑性和求值输出的长度不依赖于d。
除了电路深度之外,对C没有任何限制。如果我们要求C是深度最多为d的所有二进制电路的聚集,则该方案被称为水平全同态。
在某种程度上和水平同态方案之间的差别是一个潜伏的混淆点。某种程度上同态加密可以处理的电路深度可以通过参数选择来增长——这通常意味着密文大小将随着允许的电路深度而增长。对于分级同态加密方案,最大深度是一个输入参数,密文的长度不取决于它。
备注3。在界说1中引入了参数α,专门用于指定可以求值的电路的最大深度。因此,当我们后来假设α是λ中的多项式时,这是合理的,因为在所有现有的方案中,α=d是一个常数。然而,我们的目标是尽可能使用最通用的框架,因此我们也允许α可能具有不同的功能而且大得多的情况。
界说9(全同态)。全同态加密方案是一种紧凑、正确的C求值方案(Gen、Enc、Eval、Dec),其中C是所有电路的聚集。
这个界说意味着该方案可以计算恣意大小的任何电路,在设置参数时不必要知道电路的大小。
3.3 分阶段求值
偶然我们想要在两个或多个阶段中计算一个结果,其中一个阶段的结果可以用作后面阶段的输入。在这种情况下,我们想对Eval输出的密文和Enc输出的密文求值。
正确求值的界说(界说3)仅包管算法Eval在其输入密文位于X时工作,X是可以由Enc算法输出的一组新密文。我们盼望研究在给定求值输出时,在哪些条件下我们可以盼望求值算法可以或许工作(我们在第4.2节中提出了含义)。
分阶段求值被称为i跳同态加密(,),其中i要么是整数,要么可以用“multi”、“poly”或∞代替(见下文界说12、13和14)。我们如今界说分阶段计算(也称为分阶段计算)。
宽度为n的i级中的计算Ci,n由一组电路{Ckl}界说,这些电路由1≤k≤i,1≤l≤n索引,其中Ckl具有kn输入。给定初始明文m01,m02,…,m0n,我们计算
https://img-blog.csdnimg.cn/843e617b4f3a4c95b8e61e7744966823.png
对于1≤k≤i和1≤l≤n,Eval和Dec之后的分阶段计算的输出为mi1、mi2,min.用向量m0表现初始明文,用向量mi表现输出明文,我们引入了符号向量mi=Ci,n(向量m0)。
设(pk,evk,sk)是Gen输出的关键三元组,设c01,c02,c0n是来自X的密文序列。递归计算1≤k≤i,1≤l≤n的密文{ckl}
https://img-blog.csdnimg.cn/e319d24c726f4d9f93ab8e204fad0047.png
加密的分段计算的输出是密文序列ci1、ci2、,cin。用向量c0表现新密文(fresh ciphertexts),用向量ci表现输出密文,我们引入具有多个输出的Eval的天然符号
https://img-blog.csdnimg.cn/47160b45dea5462d9b81765169ff0334.png
备注4。对阶段计算稍微狭义一点的观点是,只有一个阶段输出的密文才能被下一个阶段输入。由于通常以为可以将恒等函数应用于密文,因此这个公式通常并不弱于我们更一般的观点。
设向量c=(c1,…,cn)是密文元组,向量m=(m1,…,mn)是明文元组,使得在密钥sk下,对于1≤k≤n,Dec(sk,ck)=mk。然后我们引入天然符号
https://img-blog.csdnimg.cn/af27cdebf7424e569d31214d4af5668c.png
界说10 (i-Hop正确性)。设pk, evk, sk为Gen(1^λ)输出的密钥,设Ci,n = {Ckl}为恣意分阶段计算,其中n是λ的多项式,向量c0 = (c01,…c0n)在X^n中。一个c -求值方案(Gen, Enc, Eval, Dec)是i-跳正确的,如果
https://img-blog.csdnimg.cn/9a0542c21b2542d28f962f66f84c8418.png
其中ε是一个可忽略的函数,而且概率取决于Eval算法的调用。
固然之前对i-跳(和多跳,见下文)的界说隐含地使用了像i-跳正确性这样的结构,但在文献中从未明确界说过。此外,我们允许Eval失败,尽管只有可以忽略不计的概率。
在图2中,演示了i = 2和n = 2的分阶段求值,其中Eval的每次调用都会输出n个结果,但并不是所有结果都必须在Eval的下一次迭代中使用(用虚线箭头表现)。此外,Eval在整个过程中可能使用i·n = 4个不同的电路。
如今我们已经界说了i-跳正确性,我们可以界说i-跳, multi-跳, poly-跳和∞-跳。类似的i-跳和multi-跳的界说可以在Gentry等人和Rothblum的工作中找到。主要的区别是,我们允许来自以前的Eval算法以及新的密文的输入。前面的界说只允许直接前任Eval调用的输出作为输入。
界说11 (i-跳,)。设i∈n,如果j-跳正确性对所有j都成立且1≤j≤i,则c -评价方案(Gen, Enc, Eval, Dec)为i-跳。
备注5 (FHE和i-跳)。完全同态和i-跳之间的关系是另一个可能引起混淆的缘故原由。人们可能会期望,如果有可能计算恣意电路(完全同态加密),就有可能连续执行恣意多个电路。然而,究竟并非如此。Eval的输出可能看起来与新的密文非常不同,而且不能包管它们形成Eval的有效输入。比方,假设我们有一个1跳完全同态加密方案,电路C以c1,…, cn作为输入,输出c1’,…, cv’,和一个电路C’,它把c1,…, cv作为输入,输出c1’,…, cw’。如果我们运行Eval(evk, C’◦C, c1,…, cn)(其中C0◦C是两个电路的连接),这当然是一个有效的操作,因为我们正在评估一个电路(不要与阶段计算混淆)。然而,如果我们首先运行Eval(evk, C, c1,…, cn),得到c1’,…, cv’,然后实行运行Eval(evk, C’, c1’,…, cv’), 1跳方案不支持,因为c1’,…, cv’将不是有效输入。这一观察结果对于两个独立实体对一些加密数据进行计算,第二个实体计算第一个实体的输出的应用步伐非常重要。在这种情况下,第二个实体无法访问新的密文,并被迫对第一个实体给出的计算输出进行操作。这在单跳方案中是不可能的。
https://img-blog.csdnimg.cn/6fe97259ba1e46d09d93323d9e85dda5.png
跳点不是被一个整数所限定,而是被某个依赖于λ的多项式所限定,这将我们引入下一个界说。
界说12 (multi-跳,,)。设p是某个多项式。如果对于所有j,且1≤j≤p(λ), j-跳正确性成立,则我们说c -求值方案(Gen, Enc, Eval, Dec)是多跳的。
界说13 (Poly-跳)。设p是某个多项式,且设α∈A。如果j-跳正确性对所有j都成立,且1≤j≤p(λ,α),则c -求值方案(Gen, Enc, Eval, Dec)是Poly跳的。
据我们所知,这是第一个提出的poly跳界说。这好像是对i-跳和多跳现有界说的天然扩展。
这样,辅助输入可能会影响密钥的数量,从而影响可能计算的数量。
界说14(∞-跳)。我们说一个c -求值方案(Gen, Enc, Eval, Dec)是∞-跳,如果对所有j都满意j-跳正确性。
同样,据我们所知,∞-跳还没有在文献中提到。像poly-跳一样,∞-跳是现有界说的天然扩展。它允许无限跳数。因此,这对FHE有直接的影响。有关此主题的进一步讨论,请参阅第4节。
备注6(跳数和分类)。对于跳点正确性的概念,我们不必要一个完全同态的格式——这个界说适用于3.2节中的任何同态格式(有些同态、水平同态、水平完全同态和完全同态)。
备注7(poly-跳vsmulti-跳)。poly-跳和multi-跳的区别是什么?如果必要一个安全参数来输出公钥,那么安全参数的任何边界也是公钥的边界。如果用户不能独立地(或在某种程度上独立地)增长公钥的大小,这是有意义的。然而,这是界说1所允许的,作为密钥生成算法的某种形式的辅助输入。没有什么可以阻止辅助输入界说公钥大小,而不依赖于安全参数。这与poly-跳有关,因为在实践中,水平同态方案可以通过拥有几个密钥对来实现,通过这些密钥对可以执行加密操作(参见5.1节获得更具体的表明)。这意味着公钥的大小与此密钥数量相乘。当然,如果密钥对的数量是λ的多项式(或者更一般地说,如果α是λ的多项式),那么poly-跳和multi-跳是类似的。
4 含义
如今我们具体介绍上一节中给出的界说的含义。首先,我们回到紧凑性的标题及其两个看似独立的界说。
4.1 巩固紧凑性
如上所述,界说4与Gentry最初给出的紧凑性界说之间存在差别。本节将致力于和谐紧凑性的这两种界说。下面给出了Gentry给出的界说,以及紧求值的界说,这对引理1很重要。
备注8。在这里,许多结果只有当密钥生成算法的辅助输入α多项式地以λ为界时才成立。对于所有有意义的应用步伐(以及迄今为止已知的所有同态加密方案),这好像都是如此,但我们不能正式包管它(另见表明7)。因此,我们明确地阐明确什么时间我们必要这个声明才能保持。
界说15(G-紧凑)。如果存在多项式f,则C–求值方案是G-紧凑的,使得对于安全参数λ的每个值,解密算法可以表现为大小最大为f(λ)的电路CD。
界说16(G-紧凑求值)。如果C–求值方案(Gen、Enc、Eval、Dec)是G-紧凑的,而且对所有允许的电路都是正确的,则该方案被称为G-紧凑求值C中的所有允许的回路。
回想一下,电路的大小就是它所拥有的门的总数。将电路刻画为有向图,这是所有顶点的和减去输入顶点的和。目前尚不清晰紧凑性的界说是否与我们之前给出的界说类似。
定理1设α由λ中的一个多项式定界。C–求值方案(Gen,Enc,Eval,Dec)G-紧凑求值C当且仅当该方案紧凑求值C。
证据见附录A。
定理2具有完美电路私密性的C–求值方案(Gen,Enc,Eval,Dec)暗示了当α在λ中多项式有界时的紧凑性。
证据见附录B。
4.2 FHE和跳跃结果
我们如今给出了与FHE方案和跳跃正确性有关的结果,假设α由λ多项式定界。图3显示了这些结果的全面概述,也包括定理2。该图如图1所示,其中有两种不同类型的箭头。简单的黑箭头是一个要求,因此比方定理4具有完美电路私密性和全同态两个要求。每个定理都必要所有的要求。第二种箭头类型是双线的,这代表了定理的含义。至于定理4,给定的要求产生了一个无限跳方案。
定理3统计电路私有的全同态加密方案(Gen、Enc、Eval、Dec)是多跳的。
证据见附录C。
我们如今研究完全同态和i-跳之间的关系,注意到一个部分同态加密必要什么属性才能变成万全同态加密。首先,我们研究了全同态方案在哪些条件下允许无限阶段的计算(∞-跳):
https://img-blog.csdnimg.cn/de48b4ba79ee4b819c9431514f1de543.png
定理4一种具有部分同态性的加密方案(Gen, Enc, Eval, Dec)是一种完美电路私有的∞-跳加密方案。
证实。由于该方案具有完美的电路私密性,因此Eval的输出对新加密的分布是类似的。这意味着它们具有完全类似的形式(X = Y = Z)而且可以或许正确解密。以是它们是密文,构成了Eval的有效输入。无论我们多频繁地应用evaluate,这都是成立的,因为输出总是与输入类似的形式。
下面的定理考虑了另一个方向——当一个∞跳方案是完全同态的。
定理5 C中带有NAND的完全电路私有和∞-跳的某种同态加密方案(Gen, Enc, Eval, Dec)是完全同态的。
证实。由于该方案具有精良的电路私密性,根据定理2,该方案具有紧凑性。因此,我们所必要证实的是,该方案可以计算任何电路。假设情况并非如此,则存在一个电路C,该方案无法正确计算。但我们可以将C表现为一个仅由nand门构成的电路。由于方案为∞-跳,且NAND∈C,以是无论这个输入的求值迭代是什么级别,我们都可以正确地对对应输入上的每个NAND门求值。这样,我们就找到了一种用方案对该电路进行正确求值的方法,即C∈C。这与我们的假设是抵牾的,从而表明该方案是完全同态的。
推论1完全电路私有且NAND∈C的某种同态加密方案(Gen, Enc, Eval, Dec)是完全同态的。
证实。通过定理2和定理4,然后定理5。
5 现有的方案
在本节中,我们简要介绍现有的完全同态加密方案。在金特里的突破之前,朝着完全同态的方向只取得了有限的盼望。Fellows和Koblitz的Polly Cracker是完全同态的,只是它缺乏紧凑性。无论如何,这都不是为了实用。Albrecht等表明险些所有SHE方案都是Polly Cracker的变体。Boneh-Goh-Nissim方案是紧凑的,但只能处理单个乘法。显然,根据界说9或FHE的当代处理,这些格式不是完全同态的。
表1列出了各种著名的完全同态加密方案,从Gentry的2009年方案开始。对于每一种方案,表中都提到了基本的计算假设(如下所述)以及渐近或具体运行时的指示。
5.1 自举和更换
在第一个完全同态方案的发展过程中,一个关键的概念是Gentry的自举技术。基于Gentry蓝图的方案是基于噪声的,这意味着明文被噪声隐藏,可以通过解密去除噪声。但是,这种噪声会随着每次同态计算而增长,一旦凌驾一定的阈值,解密就会失败。
为了克服这个标题,Gentry引入了加密的概念,其工作原理是重新加密密文(使其成为双重加密),然后通过使用解密电路对双重加密的明文和加密的解密密钥进行同态计算来去除内部加密。只要评估算法可以或许处理解密过程,再加上一个门,就可以在评估感兴趣的电路方面取得盼望。
界说17(可自举)。如果一个c -求值方案可以或许同态地计算它自己的解密电路加上一个额外的NAND门,那么它被称为可自举的。
这个非正式的界说本质上捉住了文献中更精确的界说。如今的标题是:在自己的公钥下发布机密密钥的加密是否会损害安全性?如果我们假设在其对应的公钥下发布密钥的加密是安全的,我们实现了完全同态加密甚至i-跳。这种假设被称为循环安全。但是,如果循环安全性不成立,那么一种可能性是使用公钥/密钥对链,其中密钥总是在下一个公钥下加密。这允许部分同态方案变成水平同态,其中水平取决于密钥对的数量。
另一种实现同态加密的方法是由Brakerski等提出的。挑战仍然是如何管理噪声,但这一次是通过低落密文空间的模量和噪声来实现的。
https://img-blog.csdnimg.cn/b9f89b9300954019bc7407908117e5a0.png
一个安全参数决定了模数可以有多小,它给出了级别数量的边界。这一系列工作产生了原生水平同态方案。然而,作者通常注意到,可以将自举作为一种优化,以及一种获得全同态i-跳方案的方法,再次假设循环安全性。
5.2 安全性假设
我们如今简要概述了现有方案所基于的标题。形式界说通常直接取自相应的论文,但尽可能通过省略参数来简化。Ajtai对其中许多标题进行了研究。
下面的大多数标题都可以归结为最短向量标题(SVP)或最靠近向量标题(CVP),这非正式地要求玩家分别提供格中最短的可能向量和最靠近点的向量。这些标题也有决议变异。比方,GapSVPγ是证实有一个向量比1短,或者所有向量都比γ长的标题。此外,我们还提到了最短独立向量标题(SIVP),它本质上是计算只有短向量的格基。
我们首先考虑“带偏差学习”(Learning With Error)标题家属。所有这些标题都存在于搜索和决议变体中,就像计算Diffie-Hellman和决议Diffie-Hellman标题一样。
LWE:带偏差学习标题是“带噪声学习奇偶性”标题的推广。
https://img-blog.csdnimg.cn/ba8e21798a944b4f883313c375cce843.png
PLWE:多项式LWE标题是带偏差环学习标题(RLWE)的一个变体,与DLWE密切相关。
https://img-blog.csdnimg.cn/e4be50d420574472bfc595482a5b1e6b.png
RLWE:这与PLWE是类似的标题,其中f(x)=xd+1,d=d(λ)是2的幂。
在偏差项中也存在一种具有增强数据的变体,称为增强LWE(Augmented L WE)。对于某些参数,A-LWE和LWE一样难。
Regev存在从LWE到SVP和SIVP的量子减少。众所周知,搜索和决议变体同样困难。
SSSP:这被称为稀疏子集和标题。在他的原创作品中,Gentry“压缩了解密电路”,这减少了解密电路的大小,使其位于该方案可以同态评估的电路集中。思想:密钥被写成一些元素的总和,这些元素被“隐藏”在一组更大的元素中。这个大聚集成为公钥的一部分,而私钥包罗一个指示向量,指示哪些元素属于较小的聚集(即,与私钥相加)。这为对手提供了有关密钥的信息,因此我们必须确保它不能从公钥中提取。SSSP将这一要求正式化。由于所有遵循Gentry蓝图的论文都使用这种挤压技术,SSSP标题在表格中出现了好几次。其正式界说如下。
假设S和T是两个天然数,且S<<T,设q为质数。挑战者设置b←{0,1}。如果b = 0,则生成一个集τ,其基数为|τ| = T,由[−q/2, q/2]中的均匀随机整数构成,使得存在一个基数S的子集,其元素和为0 mod q。如果b=1,则生成集τ时不必要此要求。挑战在于猜测b。
BDD:有界间隔解码标题与近来向量标题类似,只是对于BDD,可以包管向量t非常靠近格。近来向量标题是格理论中的一个标题,它非正式地要求格上最靠近给定向量t∈Rn的点。
存在量子减少,证实GapSVP、BDD和SIVP标题同样困难,以及SVP和CVP之间的等价性。然而,SVIP和BDD之间的等价性仍然是一个悬而未决的标题。
AGCD:近似最大公约数标题是给定一个数p的近似倍数,以找到该数p。给定形式为xi=qi·p+ri的多项式多个数,其中ri远小于qi·p,输出p。
决议变量包括一个额外的整数z=x+b·α。这里,x与xi的形式类似,b为0或1,α来自一个适当的区间,具体取决于参数。任务是找到b。
PCP:多项式余弦标题是一个决议标题,可以非正式地描述为必须决定给定值是对小多项式mod p的计算,还是从Fp中随机采样。更正式地说,我们可以在一个有挑战者的场景中描述该标题:
挑战者首先选择b← {0,1}随机并运行该方案的密钥生成算法,该算法输出一个素数p和一个值α∈Fp,该值是在一些束缚条件下导出的,我们在这里不讨论这些束缚条件。如果b=0,挑战者随机选择系数在一定范围内的多项式R(x),并计算R=R(α)mod p。如果b=1,挑战者选择R← 随机Fp。
如今的标题是:给定(p,α,r),决定b=0还是b=1。
值得注意的是,这个标题与其他标题的不同之处在于,它是根据相应的方案界说的,这使得它不那么天然,也更难概括表明。PCP标题与Gentry界说的理想余弦标题有关。
5.3 实现
可以公平地说,FHE大多存在于理论上。然而,正如上表所发起的那样,也存在一些实现。其中最重要的是Halevi和Shoup的HElib,它实现了BGV方案以及优化,如密文打包,它允许在单个密文中编码多个明文。2014年,自举技术被引入库中。然而,在撰写本文时,安全的高斯随机性分布尚未实现,因此没有HElib的安全性证实。
IBM、微软和斯坦福/麻省理工学院团队在2015年iDASH安全基因组分析大赛上使用了该文库。存在另一个名为FHEW的库,该库基于Ducas和Micciancio的FHE方案。
结论
在本文中,我们对同态加密领域中的界说进行了简化和结构化。我们研究了现有的应用步伐是否必要同态加密来解决其理论和实践中的标题。此外,我们回顾了当前的技术近况,并对其进行了系统的介绍。
还有许多工作要做。目前的方案在一样寻常应用中还有一定的实用性。因此,我们可以期待继承关注提高现有计划的效率和构建新的高效计划。究竟上,考虑到一些应用步伐不必要完全同态加密,一个重要而有前程的研究方向是确定哪些应用步伐将受益于适当的同态加密方案,然后为各自的用例定制方案。
然后是更具理论性的工作门路。固然已经提出了群同态加密方案的框架,在某种程度上也提出了FHE,但对于完全(或至少在一定程度上)的同态加密方案,缺乏完全通用的等效结果。如第5节所述,所有逾越简单群同态运算的安全方案都是基于噪声的,其中一个主要挑战是控制噪声。究竟上,这通常是全同态加密方案效率明显低落的缘故原由。关于部分/完全同态加密方案的统一观点对于更好地理解预期的安全性和可能的设计空间可能非常有效。
总而言之,FHE是一个风趣且具有挑战性的研究领域,具有巨大的潜力,还有许多工作要做。然而,如果研究(特别是效率的提高)以目前的速度继承下去,我们相信现实天下的应用可能指日可待。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]