查看原文
其他

课程笔记:全同态加密的理论与构造-上篇

庄智廉 隐私计算研习社 2022-09-24

前言:本文全同态加密暑期班下午场的课程笔记。下午场课程由谢翔老师主讲,题目为《全同态加密的理论与构造》。谢翔老师是上海期智研究院研究员,主要从事高效安全多方计算协议、全同态加密算法的研究与实现。谢老师主要讲解了Gentry's 自举定理、三代全同态加密算法的构造以及面向应用的全同态加密算法。


1

基础知识
同态加密算法的简单定义如下:

同态加密的一个经典的应用是外包计算(或者说云计算)。有一个客户端计算能力很弱,而服务器计算能力很强。客户端希望云服务器执行计算任务,但又不想泄露隐私数据。此时可以考虑使用同态加密进行加密计算。这是一个非常经典的应用场景。

1.1 安全性

为了保证更强的安全性,GoldWasser和Micali在1984年提出了概率加密,引入更强的安全目标:语义安全。理论上已证明,语义安全(Semantic Security,SS)等价于密文不可区分性。semantic security 语义安全:一个密文不会泄露除了长度之外的任何明文信息。我们很少用semantic security的形式来说明算法的安全性,因为他形式化的描述比较晦涩。IND-CPA 、IND-CCA1、IND-CCA2是常见的对于公钥加密安全性的定义。这里对三者进行简单介绍。参考了下面链接的文章。

[https://blog.csdn.net/m0_47659650/article/details/125223197]

IND-CPA

IND-CPA是选择明文攻击下的不可区分性。敌手和挑战者商定目标密码体制,选定加密密钥pk,然后进行以下各阶段:
寻找阶段: 敌手选择两个等长的明文
猜测阶段: 敌手被挑战者告知其中一个明文和随机数r的加密结果, 判断还是, 其中b是保密的。


敌手的目标是以大于二分之一的概率猜对b的值。下面定义敌手的优势。

如果可以忽略,那么可以认为不可区分。

IND-CCA1

IND-CCA1是选择密文攻击下的不可区分性。相对前者,增加敌手可以在收到之前,调用一次加密或解密能力,下面是具体流程:

训练: 敌手向挑战者请求任意密文的解密(多项式有界次数),即选取密文C给挑战者,挑战者返回解密结果给敌手。

挑战: 敌手A选择两个等长的明文, ,  再从挑战者接受加密后的密文, b是随机的;
猜测: 敌手输出, 若=, 则敌手成功。
敌手的目标是以大于二分之一的概率猜对b的值。下面定义敌手的优势:

如果 可以忽略,那么认为此密码体制在非适应性选择密文攻击下具有不可区分性,称为IND-CCA1安全。

IND-CCA2

IND-CCA2是自适应选择密文攻击下的不可区分性。
相对前者,不限制敌手调用解密的时间。下面是具体流程:

训练1: 敌手向挑战者请求任意密文的解密(多项式有界次数),即选取密文C给挑战者,挑战者返回解密结果给敌手。
挑战: 敌手A选择两个等长的明文, ,  再从挑战者接受加密后的密文, b是随机的;
训练2: 敌手继续向挑战者请求任意密文的解密(多项式有界次数),即选取密文C(C不能是)给挑战者,挑战者返回解密结果给敌手。
猜测: 敌手输出, 若=, 则敌手成功。


同态算法是不能做到IND-CCA2的。IND-CCA1能做到但是比较复杂。在这个课程,只专注于IND-CPA这个级别的语义安全。

1.2 从SK-HE 到 PK-HE

在同态加密暑期班郁昱老师的课程笔记中我们也提到过,可以从一个对称同态加密算法来构造一个非对称的同态加密算法。我们接下来再简单回顾一下。
假设是一个对称同态加密算法。
定义

其中B是密文的规模上限。

假设我们要加密, 定义
Choose , such that .
Define
.
Let
定义
则得到的是一个公钥加密的同态加密算法。因此,在不考虑效率的情况下,对称的全同态算法和非对称的全同态算法是等价的。

2Gentry's Bootstrapping 理论

2.1 Augmented Decryption Circuit

假设是一个非对称同态加密方案。我们定义一个Decryption Circuit如下:

这个公式可以理解为用对密文进行解密。在这里是输入,是公开的。
=,则:
Augmented Decryption Circuit:
NAND是一个通用电路,我们可以使用NAND来构造任何逻辑电路。NAND可用如下式表达,

这个定义也有一个很好的性质,
NAND NAND

2.2 Bootstrapping Theorem

对于一个同态加密算法,如果他对密文计算支持Augmented Decryption Circuit,那么它是bootstrappable。

如果存在一个bootstrappable公钥同态加密机制,那么就一定存在全同态加密机制。

remark: 这里是对定理的一个简化版本的描述,完整版还需要加上更多的限制。但是这并不影响我们对课程的理解。

2.3 Gentry's Construction

假设是一个bootstrappable的同态加密算法。我们根据以下步骤来进行构造。

1 密钥生成

这里生成了一个BK, 方法是用PK加密SK.

2 加密

3 解密

4 Eval


这里Eval的计算,其实就是将加密后的放到AGC电路里面进行计算,得到的就是两个密文对应的明文的NAND。也就是, NAND
如下图,这个过程是可以一直做下去的。理论上就实现了一个全同态算法了!

注意

1 刚才的计算定义的明文空间是,我们需要按比特拆开来计算
2 这里用自己的公钥加密自己的私钥,这个操作是否是安全的。到目前为止,这仍是一个开放的问题。

2.4 Leveled FHE

Leveled FHE方案的定义:给定一个整数, 我们可以对电路深度不超过的电路执行同态加密操作。
假设是一个bootstrappable的同态加密算法。它的构造方法如下。
1 密钥生成
这个方案先生成对公私钥,然后的生成跟刚才不一样。是使用加密,用加密,以此类推。

2 加密

注意这里是使用来做加密

3 解密

4 Eval
对于第层,当进行Eval计算时,将放入ADC电路中,得到的结果是用加密的明文。同理,层得到的是的密文。以此类推,最终得到的密文。


可以将这个方案理解为一个链式的拓展。这样的链式方案就避免了用自己的公钥来加密私钥的问题。

END
作者简介:

庄智廉,重庆大学大数据与软件学院研究生。主要研究兴趣包括隐私保护机器学习、差分隐私、联邦学习。知乎:acai


往期精选

论文笔记:发布具有差分隐私保证的图神经网络

BFLC:带有委员会机制的基于区块链的去中心化联邦学习架构

统计视角下的差分隐私

联邦学习前沿 | 基于图神经网络的联邦推荐系统研究





欢迎投稿
邮箱:pet@openmpc.com
参与更多讨论,请添加小编微信加入交流群

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存