门限 Paillier 加密方案_门限加密-优快云博客

本文链接：https://blog.youkuaiyun.com/Rax12/article/details/145837276

1.Paillier同态加密算法

1.1 加解密过程：

1.1.1密钥生成

1.随机选择两个大素数 $p,q$ ,满足 $gcd(pq,(p-1)(q-1))=1$ 且 $p,q$ 长度相等。

2.计算 $n=pq$ 以及 $\lambda =lcm(p-1,q-1)$ ,这里 $lcm$ 表示最小公倍数。

3.随机选择 $g \in Z_{n^{2}}^{*}$ ,也可令 $g = n+1$ ，优化计算速度

4.定义L函数 $L(x)=\frac{x-1}{n}$ ,计算 $\mu$

$\mu =(L(g^{\lambda} mod\ n^{2} ))^{-1} mod\ n=\frac{n}{g^{\lambda}mod \ n^{2} -1}mod \ n=\frac{n}{g^{\lambda }-1\ mod \ n^{2}}mod\ n$

公钥 $(n,g)$ ,私钥 $(\lambda ,\mu )$

1.1.2 加密

1.输入明文信息 $m$ ,满足 $0\leqslant m\leqslant n$

2.选择随机数 $r \in Z_{n}^{*}$ 且 $gcd(r,n)=1$

3.计算密文 $c=g^{m}r^{n} \ mod \ n^{2}$ ,若 $g = n+1$ ，则：

$g^{m}=(n+1)^{m}=\binom{m}{0}n^{m}+\binom{m}{1}n^{m-1}+...+\binom{m}{m-1}n^{2}+mn+1 mod \ n^{2}=mn+1\ mod \ n^{2}$

1.1.3 解密

1.输入密文 $c$ ,满足 $c\in Z_{n^{2}}^{*}$

2.计算 $m=L(c^{\lambda}\ mod n^{2})\cdot \mu \ mod\ n$

1.2 正确性与安全性

1.2.1 解密正确性

当 $g \in Z_{n^{2}}^{*}$ 时， $\lambda =k_{1}(p-1)=k_{2}(q-1)$ ,根据费马小定理， $g^{\lambda }= g^{k_{1}(p-1)}\equiv 1 \ mod \ p$ ，同理， $g^{\lambda }= g^{k_{2}(q-1)}\equiv 1 \ mod \ q$ ，所以 $g^{\lambda }= k_{3}\cdot p+1=k_{4}\cdot q+1$ ，所以 $k_{3}\cdot p=k_{4}\cdot q$ ，又因为 $p,q$ 互素，所以 $k_{3}=t\cdot q , k_{4}=t\cdot p$ ，所以 $g^{\lambda }= t\cdot p\cdot q+1$ ，所以 $g^{\lambda }= t\cdot p\cdot q+1=t\cdot n+1\equiv 1\ mod\ n$ ，而

$g^{\lambda n}=(tn+1)^{n}=\binom{n}{0}(tn)^{n}+\binom{n}{1}(tn)^{n-1}+...+\binom{n}{n-1}(tn)^{2}+tn\cdot n+1 mod \ n^{2}=1\ mod \ n^{2}$

所以

$d(c)=L(c^{\lambda}\ mod n^{2})\cdot \mu \ mod\ n\equiv \frac{(g^{m}r^{n})^{\lambda }mod\ n^{2}-1}{n}\cdot \frac{n}{g^{\lambda }-1\ mod \ n^{2}}mod\ n\equiv \frac{g^{\lambda m}-1mod\ n^{2}}{g^{\lambda }-1\ mod \ n^{2}}mod\ n\equiv \frac{tmn\ mod\ n^{2}}{tn\ mod\ n^{2}}mod\ n\equiv m$