Paillier 加密系统

原创已于 2024-12-19 15:50:48 修改 · 1.2k 阅读

13 ·

CC 4.0 BY-SA版权

文章标签：

#基础理论

于 2024-12-05 20:39:26 首次发布

基础理论专栏收录该内容

152 篇文章

订阅专栏

1. 引言

OpenMined团队2020年7月9日博客 What is the Paillier cryptosystem? 是其 Privacy-Preserving Data Science, Explained 系列文章的一部分。

本文介绍了Paillier加密系统：

Paillier加密系统是一种部分同态加密方案。
- 可将其作为私有集合交集（Private set intersection，PSI）协议的基础。

2. 何为同态加密？

同态加密是一种允许在加密数据上执行数学或逻辑操作的加密形式。如：

假设有两个数字 $m_1$ 和 $m_2$ ，使用某种公钥加密方案加密这些数字，公钥为 $\text{pub}$ ，私钥为 $\text{priv}$ 。
得到两个密文 $c_1 = E_{\text{pub}}(m_1)$ 和 $c_2 = E_{\text{pub}}(m_2)$ 。通常，加密的目的是使所有加密的数字对没有私钥的人来说无法区分随机数字。

然而，在同态加密中，一些关系得以保留。如：

若有一个支持加法的同态加密方案，则会有一个函数 $\text{add}$ ，任何人都可以对 $c_1$ 和 $c_2$ 执行，使得结果 $\text{add}_{\text{pub}}(c_1, c_2)$ 解密后等于 $m_1$ 和 $m_2$ 之和：

$D_{\text{priv}}(\text{add}_{\text{pub}}(E_{\text{pub}}(m_1), E_{\text{pub}}(m_2))) = m_1 + m_2$

注意，这里的 $\text{add}$ 函数不一定是字面上的加法，而是根据相关同态加密方案定义的任何执行此角色的函数。

部分同态加密方案已经存在相当长时间，可以对加密数据执行有限的操作，如仅支持加法或仅支持乘法。
全同态加密方案在过去十年左右的时间里被开发出来，支持对加密数据进行任意计算。

3. 何为Paillier 加密系统？

Paillier 加密系统由Pascal Paillier 在其1999年论文《Public-Key Cryptosystems Based on Composite Degree Residuosity Classes》（发表于EUROCRYPT ’99）中提出。

Paillier 加密系统：

是一个部分同态加密方案，
是一个公钥加密方案。

其允许执行两种类型的计算：

两个密文的加法
一个密文与明文数字的乘法

3.1 公钥加密方案

基本的公钥加密方案有三个阶段：

1）生成一对公钥和私钥
2）加密一个数字
3）解密一个数字

3.2 Paillier 加密系统的helper functions 辅助函数

Paillier 加密系统的helper functions 辅助函数有：

1） $\text{gcd}(x,y)$ ：输出 $x$ 和 $y$ 的最大公约数。
2） $\text{lcm}(x,y)$ ：输出 $x$ 和 $y$ 的最小公倍数。

3.3 Paillier 加密系统的密钥生成

Paillier 加密系统的密钥生成过程如下：

1）随机独立选择两个大素数 $p$ 和 $q$ ，确认 $\text{gcd}(p \cdot q, (p - 1)(q - 1)) = 1$ ，如果不成立，则重新选择。
2）计算 $\cdot q$ 。
3）定义函数 $\frac{x - 1}{n}$ 。
4）计算 $\lambda$ 为 $\text{lcm}(p - 1, q - 1)$ 。
5）从 $\mathbb{Z}_{n^2}^*$ 中选择一个随机整数 $g$ （即 1 到 $n^2$ 之间的整数）。
6）计算模乘逆 $\mu = \left(L(g^\lambda \mod n^2)\right)^{-1} \mod n$ ，如果 $\mu$ 不存在，则从步骤1）重新开始。
7）公钥为 $(n, g)$ ，用于加密。
8）私钥为 $(\lambda,\mu)$ ，用于解密。

3.4 Paillier 加密

Paillier 加密可以用于范围为 $\leq m < n$ 的任何数字 $m$ ：

1）从范围 $0 < r < n$ 中选择一个随机数 $r$ 。
2）计算密文 $g^m \cdot r^n \mod n^2$ 。

3.5 Paillier 解密

Paillier 解密假设密文是通过上述加密过程创建的，因此 $c$ 在范围 $0 < c < n^2$ 内：

1）计算明文 $L(c^\lambda \mod n^2) \cdot \mu \mod n$ 。

注意：

始终可以根据 $\lambda$ 和公钥重新计算 $\mu$ 。
设 $n = pq$ ，其中 $p$ 和 $q$ 是大素数：用 $\varphi(n)$ 表示Euler函数，用 $\lambda(n)$ 表示Carmichael函数，二者取自 $n$ ，即在此有：
$\varphi(n) = (p - 1)(q - 1) \quad \text{和} \quad \lambda(n) = \text{lcm}(p - 1, q - 1)$
回顾一下， $|\mathbb{Z}^*_{n^2}| = \varphi(n^2) = n\varphi(n)$ ，且对于任意 $\in \mathbb{Z}^*_{n^2}$ ，根据Carmichael定理，有以下结论：【为视觉上舒适，采用 $\lambda$ 来代替 $\lambda(n)$ 】
$w^\lambda = 1 \ (\text{mod} \ n) \quad \text{和} \quad w^{n\lambda} = 1 \ (\text{mod} \ n^2)$

3.6 Paillier 加密系统示例

Paillier 加密系统示例为：

1）密钥生成：
- 1.1）选择 $p = 13$ 和 $q = 17$ 。（它们满足条件。）
- 1.2）计算 $n = 221$ 。
- 1.3）计算 $\lambda = 48$ 。
- 1.4）选择 $g = 4886$ 。
- 1.5）计算 $\mu = 159$ （即存在）。
2）加密：
- 2.1）设置 $m_1 = 123$ 。
- 2.2）选择 $r_1 = 666$ 。
- 2.3）计算密文 $c_1 = 25889 \mod 221^2$ 。
3）解密：
- 3.1）计算解密后的明文 $m_{\text{decrypted}} = 123 \mod 221$ （与 $m_1$ 相同）。

不过需注意：

以上示例中的这些数字太小，无法提供任何实际的安全性，且所选随机值也并不完全随机。

3.7 Paillier 加密系统的同态性质

Paillier 加密系统的同态性质有：

1）两个密文的“加法”：
当两个密文相乘时，结果解密后会得到它们明文的和：
$D_{\text{priv}}\left( E_{\text{pub}}(m_1) \times E_{\text{pub}}(m_2) \mod n^2 \right) = (m_1 + m_2) \mod n \quad \Rightarrow \quad c_1 \times c_2 = m_1 + m_2$
2）一个密文与明文的乘法：
当一个密文与一个明文相乘时，结果解密后会得到它们明文的积：
$D_{\text{priv}}\left( E_{\text{pub}}(m_1)^{m_2} \mod n^2 \right) = (m_1 \times m_2) \mod n \quad \Rightarrow \quad c_1^{m_2} = m_1 \times m_2$

3.8 注意事项

有几个特殊情况需要特别小心处理：

1）第一个是与 0 相乘。 因为任何数的 0 次方都是 1，如果按上述方法将一个密文与明文 0 相乘，结果总是 1，任何看到这个“加密”值的人都会知道它解密后是 0。
- 幸运的是，可以为这种情况使用另一种方法：
  - 因为任何数与 0 相乘都得到 0，可以跳过计算，直接使用标准的公钥加密方案加密 0。由于加密步骤中引入了随机数，任何没有私钥的人都无法知道明文是什么。
2）另一个情况是与 1 相乘。 因为任何数 $x$ 的 1 次方是 $x$ ，如果按正常方法将一个密文与明文 1 相乘，输出将与输入相同。
- 这比与 0 相乘的情况不那么严重，因为在后者中加密值可以被推测出来，
- 但仍然是一个问题，因为任何监视私钥持有者与执行乘法操作的人的通信的人都可以推断出数字是与 1 相乘的。
- 解决方案是另一种变通方法：
  - 不直接与 1 相乘，而是执行一个等效的操作：加 0！直接加密一个 0，然后执行常规的加法程序来获得一个安全的密文。

3.8.1 Paillier 加密同态运算特殊情况示例

在上面“3.6 Paillier 加密系统示例”的基础之上，介绍Paillier 加密同态运算特殊情况示例为：

1）同态加法：
- 1.1）设置 $m_2 = 37$ 。
- 1.2）选择 $r_2 = 999$ 。
- 1.3）计算密文 $c_2 = 30692 \mod 221^2$ 。
- 1.4）计算密文和 $c_{\text{sum}} = 25889 \cdot 30692 = 39800 \mod 221^2$ 。
- 1.5）计算明文和 $m_{\text{sum}} = 160 = 123 + 37 = m_1 + m_2 \mod 221$ 。
2）同态乘法：
- 2.1）设置 $m_3 = 25$ 。
- 2.2）计算密文积 $c_{\text{product}} = 25889^{25} = 15723 \mod 221^2$ 。
- 2.3）计算明文积 $m_{\text{product}} = 202 = 123 \cdot 25 = m_1 \cdot m_3 \mod 221$ 。
3）与 0 相乘：
- 3.1）设置 $m_{\text{multiply0}} = 0$ 。
- 3.2）选择 $r_{\text{multiply0}} = 444$ 。
- 3.3）计算密文 $c_{\text{multiply0}} = 46663 \mod 221^2$ 。
- 3.4）计算解密后的明文 $m_{\text{decrypted}} = 0 = 123 \cdot 0 = m_1 \cdot 0 \mod 221$ 。
4）与 1 相乘：
- 4.1）设置 $m_{\text{encrypt0}} = 0$ 。
- 4.2）选择 $r_{\text{encrypt0}} = 555$ 。
- 4.3）计算密文 $c_{\text{encrypt0}} = 653 \mod 221^2$ 。
- 4.4）计算密文 $c_{\text{multiply1}} = 25889 \cdot 653 = 6531 \mod 221^2$ 。
- 4.5）计算明文 $m_{\text{multiply1}} = 123 = 123 \cdot 1 = m_1 \cdot 1 \mod 221$ 。

4. Paillier 加密系统代码实现

以https://github.com/willclarktech/privacy-implementations/tree/ac7133a/src/cryptosystem/paillier（Node.js Typescript，仅供学习，勿用于生产）中代码为例：
假设已安装了 Git 和 Node.js（包括 npm）：

git clone https://github.com/willclarktech/privacy-implementations.git
cd privacy-implementations
npm install
npm run build

然后在一个 JavaScript 文件或 Node.js REPL 中：

const paillier = require("./build/cryptosystem/paillier");

const keys = paillier.generateKeysSync(); // 慢！ 

const plaintext1 = 1234567890n;
const plaintext2 = 55555555555n;

const ciphertext1 = paillier.encrypt(keys.pub)(plaintext1);
const ciphertext2 = paillier.encrypt(keys.pub)(plaintext2);

const ciphertextSum = paillier.add(keys.pub)(ciphertext1, ciphertext2);
const plaintextSum = paillier.decrypt(keys)(ciphertextSum); // 56790123445n = plaintext1 + plaintext2

const ciphertextProduct = paillier.multiply(keys.pub)(ciphertext1, plaintext2);
const plaintextProduct = paillier.decrypt(keys)(ciphertextProduct); // 68587104999314128950n = plaintext1 * plaintext2

const ciphertextMultiply0 = paillier.multiply(keys.pub)(ciphertext1, 0n); // != 1n
const ciphertextMultiply1 = paillier.multiply(keys.pub)(ciphertext1, 1n); // != ciphertext1