超级会员免费看
优化的GHV型同态加密方案:更高效的加密解决方案
1. 解密算法优化背景
在加密系统中,解密算法的效率对整个系统的性能至关重要。传统的GHV型加密方案的解密算法包含两个步骤:$C′ = TCT^t \pmod{q}$ 和 $B = T^{-1}C′(T^t)^{-1} \pmod{p}$。其中,$C$ 具有 $AS + pX + B \pmod{q}$ 的形式,计算 $TCT^t \pmod{q}$ 是为了消除 $AS$,而 $T^{-1}C′(T^t)^{-1} \pmod{p}$ 则是为了消除 $(T, T^t)$ 并恢复原始明文矩阵 $B$。然而,第二步的计算成本较高,对整个加密系统的计算成本有很大影响。
为了提高解密算法的效率,我们希望找到一个足够稀疏的矩阵来替代 $T^{-1}$,并通过一些简单的计算从 $C′$ 中间接恢复 $B$。虽然直接找到这样的矩阵在计算上不可行,但通过对 $T$ 的分析,我们发现其 $m_2 \times m_2$ 可逆分量矩阵 $U$ 满足 $N_U \ll m_2^2 - N_U$,且 $U^{-1} = diag(V_w^{-1}, \cdots, V_w^{-1}, I)$ 也满足 $N_{U^{-1}} \ll m_2^2 - N_{U^{-1}}$。基于这些观察,我们可以构造一个包含 $U^{-1}$ 的极其稀疏的矩阵 $\tilde{T}$ 来进行解密。
具体来说,在加密算法中,我们先将原始明文矩阵 $B$ 通过填充零元素扩展为 $\begin{bmatrix} 0 & 0 \ 0 & B \end{bmatrix}$,填充的零元素数量远少于 $B$ 的元素数量。在解密算法中,先执行 $C′ = TCT^t \pm
订阅专栏 解锁全文
扫一扫
48
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
