超级会员免费看
更快的全同态加密方案解析
1. 引言
同态加密方案允许任何一方将一些明文 $\pi_1, \cdots, \pi_n$ 的密文集合公开转换为这些明文的某个函数/电路 $f(\pi_1, \cdots, \pi_n)$ 的密文,而该方无需知道明文本身。这种方案在构建隐私保护协议方面非常有用,例如在“云计算”应用中,用户可以将加密数据存储在服务器上,并允许服务器处理这些加密数据,而不向服务器泄露数据。
在过去的30多年里,所有已知的同态加密方案仅支持有限的函数 $f$,这限制了它们的适用性。直到最近,Gentry的突破性工作才解决了构建支持任意函数 $f$ 的全同态加密方案这一理论问题。随后,又有两个全同态方案在Gentry的框架下被提出。这些方案的底层工具是欧几里得格,它在设计许多密码原语方面已被证明非常强大。
Gentry的全同态方案(以及后续方案)的一个核心方面是密文刷新(Recrypt)操作。在Gentry的方案中,密文包含一个随机的“噪声”分量,随着对密文进行同态评估其明文上的函数 $f$,噪声的大小会不断增长。一旦密文中的噪声大小超过某个阈值,密文就无法正确解密,这限制了可以执行的同态操作的数量。为了克服这个限制,Recrypt操作允许“刷新”密文,即给定某个明文 $\pi$ 的密文 $\psi$,计算 $\pi$ 的新密文 $\psi’$(可能使用不同的密钥),使得 $\psi’$ 中的噪声大小小于 $\psi$ 中的噪声大小。通过定期刷新密文(例如,在计算 $f$ 中的每个门之后),就可以评估任意大的电路 $f$。
然而,Gentry方案的解密电路复杂度相对较高,加上可引导性条件与底层难题的安全性之间的矛盾,导致需要使用大参数,从而使得加密方案的比
订阅专栏 解锁全文
扫一扫
724
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
