同态加密(1) GSW方案

admin 2022年10月1日22:17:58评论46 views字数 3290阅读10分58秒阅读模式

GSW方案是由Craig Gentry[1], Amit Sahai与Brent Waters于2013年提出的方案, 发表于论文[GSW13]中.

GSW方案确实如论文标题一样, 概念清晰明了, 其Intuition简单到一个刚学完线性代数的大一新生也能理解. GSW还支持基于属性的加密, 但本文中我们将不介绍这一部分内容, 这一部分内容将在以后合适的时间介绍.

当然, 完全理解GSW方案仍然需要用到一些比较进阶的知识, 如LWE问题的困难性等. 我们在本文中不会对这些知识做过多的介绍, 这些知识将在今后其他的博文中介绍.

Basic Intuition

密文的基本格式

最基本的GSW同态加密方案的私钥()是一个向量, 而所有的明文都被加密一个矩阵中, 其中是以为近似特征向量并以为近似特征值的矩阵, 即我们要求

这里可以看出, 我们只需要挑选中非的位(最好是选较大的位), 如第, 并比较的值就可以解出的值.

一个需要注意的地方就是, 虽然取自, 但被视作是中的元素, 因此具体的运算也是按照的运算方式来进行.

我们也可以将噪声(error)显式地写出来, 记作

其中是非常小的向量. 因此可以看出, 如果确实是一个较小的噪声, 那么我们就可以正确地解出.

乘法同态性质

现在我们来验证该加密方案具有同态性质. 现在假设有两个密文, 对对应的明文分别是, 即

其中均为较小的噪声, 那么令, 我们检验的解密结果

这里可以看出, 确实是一个比较小的噪声项, 但是要让的噪声比较小, 那么就需要让是一个较小的矩阵(即其最大的元素较小), 我们稍后会解释如何做到这一点.

虽然说是乘法同态性质, 但是由于, 我们也可以将视作是做了同态的与(AND)运算. 与运算相对来说是比较简单的, 但是仅有与运算是不够的, 因为与运算是单调的, 单调的电路不可能是完备的, 我们需要实现一个超强的逻辑门----与非门的同态运算.

与非门的同态性质

, 其中阶单位矩阵, 则

根据之前的讨论, 如果是一个较小的项, 我们有把握能从中解出.

到这里有没有一种心情舒畅的感觉? 与非门生万物, 我们确实可以通过不断地叠加与非门来实现相当复杂的函数运算, 并且由于与非门是完备的, 仅用与非门可以实现任何一个布尔函数.

别高兴得太早!

虽然与非门非常强大, 但是每一次进行与非门运算, 都会导致新密文得噪声变得更大, 因此较多层的运算后, 噪声可能大得导致解密错误! 因此我们必须评估我们究竟能进行多少次的运算, 以及在快要达到极限的时候使用Bootstrapping技术. 这一点我们将在详细介绍方案的时候来说明.

Lattice Gadget

这里我们要首先介绍一种工具, 我们称其为Lattice Gadget, 它的本质是一些代数运算, 能够辅助我们从标准的LWE加密方案生成满足同态性质的密文.

第一个运算是, 它的作用是将一个向量的每一位按照二进制展开, 即每一个元素表示成二进制的形式, 其中. 即

即将的每一位都展开成了二进制, 变成位, 整个结果一共是位. 显然, .

类似的, 我们可以定义的反函数, 令

即将每一位的二进制表示重新组合成了表示. 但是要注意的是, 并没有要求参数一定要是只由构成的向量, 我们可以定义一个全新的函数

这个操作有什么意义? 它将那些不是全由构成的重新"抹平"成了由中的元素构成, 并且能够保持其一定的性质.

下面介绍另一个不是那么好看, 但是却非常简单的操作. 的功能也是将一个向量转换为向量, 但是却使用的是完全不一样的方式.

即将的每一位, 展开为位, 并且后一位是前一位的两倍. 使得整个向量变成. 这样做的好处是, 如果分别是中的一位, 那么

前面一部分就是中第组的第位, 而后一部分就是中第组的第位, 那么显然有

如果将直接写成的形式, 我们还有

  • 第一个等号左边, 可以通过对第一个等号右边的两项分别做操作得到
  • 第二个等号右边可以对第二个等号左边两项分别做操作得到

实际上左右两边的两项都是由中间得到的, 这样就可以将左右两边连接在一起. 这样我们发现一个惊人的事实: 如果内积的第二项是标准的结果的形式, 那么对第一项做操作不会改变内积的结果! 实际上这也不难理解, 因为Flatten操作就是把数值过高的位分到权重更高的位而已. 但是这样做有一个好处就是, 使得变成每一位都是.

我们将以上几种记号都推广到对矩阵可用, 例如对于, 令

其余几种记号也做类似的推广, 总之就是, 对矩阵的每一列的列向量做相应的操作. 这时我们发现, 如果密钥确实是某个向量进行的结果, 即, 那么就有

这可以使得变成一个较小的矩阵, 而不改变最后与的相乘的结果! 这样使得可以代替进行下一层的同态运算使得我们要求的项较小! 我们直接将的结果记作

GSW方案

现在我们开始具体介绍方案. 我们要说的是, GSW方案根据解密算法的选区不同, 实际上有构造两套方案. 第一种是选择作为解密算法, 该算法仅能解出, 因此整个同态运算中主要用与非门构建逻辑电路进行计算. 另一个解密算法可以解出, 这样就可以自然地使用加法与乘法进行运算.

首先我们要说的是, GSW并不是一个标准假设下的全同态加密方案. GSW如果要做到全同态加密, 需要用到Bootstrapping, 进而需要用到LWE加密方案的Circular Security假设(即用一对公私钥中的公钥来加密私钥相关信息的加密结果是安全的). 我们这里不介绍Bootstrapping的具体过程, 仅介绍Somewhat HE.

  • : 我们用表示安全参数, 表示同态运算的层数, 则表示模数的位数. 选择和LWE的错误分布, 选择. 设, 参数集.

这里的参数较多, 需要逐一解释一下. 首先是安全参数, 表示密码方案中基于的困难的问题的复杂程度, 所有的参数都应该(直接或间接)基于这个参数选择. 参数表示同态运算的层数, 由于同态运算的层数由噪声的占比决定, 因此想要做更多的同态运算次数, 那么噪声就不应该太快掩盖, 就应该相应地选择大一些. 而LWE问题的错误分布还有维数按理来说是应该根据来选择, 但是这两个参数是可以根据来进行权衡(tradeoff)的, 这里直接用基础参数来代替. 而参数则是为了方便我们进行表示而引入的记号, 并且他们在前面也出现过.

  • : 选择, 令,. 输出.
  • : 生成矩阵. 令. 令, 输出公钥.

实际上这里就是变相生成了一组LWE问题的实例.

  • : 生成矩阵, 输出密文

这就是整个加密的过程, 其中操作是为了保证是一个较小的矩阵, 我们知道是一个向量, 那么

也是一个小噪声, 因此密文符合我们的要求.

  • : 选择一个的系数. 设的第列, 则计算, 输出解密结果.

实际上这里的解密过程就是比较的值. 而为了使得解密出错的概率最低, 所以选择较大的一项, 这样使得错误最多可以积累到而解密不出错.

  • : 参考[MP12].

噪声分析

接下来我们看一下进行层同态运算后, 噪声的增长. 我们知道, 两个噪声为的密文行一次加法运算, 噪声增长到. (这里, 表示解密中的噪声项), 而两个噪声为的密文乘法结果的的噪声项为, 最多为. 如果初始噪声为的密文进行层运算, 则噪声最多增长为, 由这一点可以看出, 我们最多可以进行对数次数的同态运算. 但是对数次的运算已经足够用于解密运算, 因此我们可以基于Circular Security假设, 使用Bootstrapping技术实现全同态.

文中提到的论文

[GSW13] Craig Gentry, Amit Sahai and Brent Waters. Homomorphic Encryption from Learning with Errors: Conceptually-Simpler, Asymptotically-Faster, Atribute-Based. Annual Cryptology Conference. Springer, Berlin, Heidelberg, 2013.

[MP12] Daniele Micciancio and Chris Peikert. Trapdoors for lattices: Simpler, tighter, faster, smaller. In EUROCRYPT, pages 700-718, 2012.

参考资料

[1]

Craig Gentry: 第一个全同态加密方案的人,可以说是同态加密方案的鼻祖.现在的大多数同态加密方案都是在Gentry最初的方案的基础上改造而来的.

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日22:17:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   同态加密(1) GSW方案http://cn-sec.com/archives/1082911.html

发表评论

匿名网友 填写信息