57、通信最优的Tardos非对称指纹与DDH线性同态加密

通信最优的Tardos非对称指纹与DDH线性同态加密

1. Tardos非对称指纹协议重启的安全影响

1.1 定理与基本设定

假设存在一个用户联盟 $U_{cor}$，且 $|U_{cor}| \leq t$。在加密方案 $Enc_s$ 满足IND - CPA安全、承诺方案 $Com(\cdot)$ 具有计算隐藏性、签名方案存在不可伪造性以及哈希函数具有抗碰撞性的条件下，没有用户被指控或者被指控的用户被法官宣告无罪的概率为 $\epsilon_{1}/16 + \epsilon_{t}/4 + \epsilon_{0}$，其中 $\epsilon$ 是Tardos码的错误概率，$\epsilon_{0}$ 相对于安全参数可忽略不计。

我们考虑原始的Tardos码，其长度 $m = 100t^{2}k$，阈值 $Z = 20tk$，这里 $c$ 是合谋者的数量，$k = \log(1/\epsilon)$ 为安全参数。为简化计算，令 $t$ 等于用户数量 $n$。

1.2 合谋者策略

若合谋者被允许重启协议，他们可以采取如下策略：每个合谋者进行 $(\mu - 1)$ 次重启，总共接收 $\mu mn$ 比特。对于盗版码字，他们尽可能输出0。具体而言，对于任意 $j \in [m]$，设 $x$ 为盗版者在位置 $j$ 处总共接收到的1的数量，他们将盗版副本在位置 $j$ 处的比特 $y_{j}$ 设置为：
[
y_{j} =
\begin{cases}
1, & \text{如果 } x = \mu n \
0, & \text{否则}
\end{cases}
]

1.3 海盗逃脱概率分析

设 $p$ 表示偏差向量，$X$ 为任意海盗的码字，$Y$ 为通过上述策略生成的盗版副本。定义：
[
U_{j} =
\begin{cases}
\sqrt{\frac{1 - p_{j}}{p_{j}}}, & \text{如果 } X_{j} = 1 \
-\sqrt{\frac{p_{j}}{1 - p_{j}}}, & \text{如果 } X_{j} = 0
\end{cases}
]
海盗的得分可以表示为 $S = \sum_{j \in [m]} Y_{j}U_{j}$。我们的目标是对 $Pr[S > Z]$ 进行上界估计。利用不等式 $e^{x} \leq 1 + x + x^{2}$（当 $x \leq 1$ 时成立），由于 $|U_{j}| < \sqrt{300n}$，选择 $\alpha < \frac{1}{10n}$，可得：
[
E[e^{\alpha S}] = E[\prod e^{\alpha Y_{j}U_{j}}] = \prod E[e^{\alpha Y_{j}U_{j}}] \leq \prod E[1 + \alpha Y_{j}U_{j} + \alpha^{2}Y_{j}^{2}U_{j}^{2}] \leq \prod(1 + \alpha E[Y_{j}U_{j}] + \alpha^{2}E[U_{j}^{2}]) = \prod(1 + \alpha E[Y_{j}U_{j}] + \alpha^{2})
]
对于任意 $j \in [m]$，有：
[
E[Y_{j}U_{j}] = E_{p_{j}}[p_{j}^{\mu n}\sqrt{\frac{1 - p_{j}}{p_{j}}}] = \frac{1}{\pi/2 - 2t’}\int_{t’}^{\pi/2 - t’}\sin^{2\mu n - 1}r \cos r dr = \frac{1}{\pi/2 - 2t’} \cdot \frac{1}{2\mu n} \cdot \sin^{2\mu n}r\big|_{t’}^{\pi/2 - t’} = \frac{(1 - t)^{\mu n} - t^{\mu n}}{(\pi - 4t’)\mu n} \leq \frac{1}{3\mu n}
]
综合上述结果，并利用 $1 + x \leq e^{x}$，可得 $E[e^{\alpha S}] \leq \prod(1 + \alpha/(3\mu n) + \alpha^{2}) \leq e^{\alpha^{2}m + \alpha m/(3\mu n)}$。应用马尔可夫不等式可得：
[
Pr[S > Z] < \frac{E[e^{\alpha S}]}{e^{\alpha Z}} \leq e^{\alpha^{2}m + \alpha m/(3\mu n) - \alpha Z}
]
当 $m = 100n^{2}k$，$Z = 20nk$，$k = \log(1/\epsilon)$，$\alpha = \frac{1}{10n}(1 - \frac{5}{3\mu})$，$\mu > 1$ 时，我们得出：
[
Pr[S > Z] < \epsilon^{(1 - \frac{5}{3\mu})^{2}}
]
这表明，即使每个用户仅被允许进行一次重启，海盗也有很高的概率逃脱指控。从另一个角度看，能够处理规模为 $t$ 的联盟的Tardos码实例，对于规模为 $2t$ 的联盟是不安全的。简单的解决办法是实例化能够处理规模为 $\mu t$ 的联盟的码，并允许每个用户最多进行 $\mu - 1$ 次重启。

2. 基于DDH的线性同态加密

2.1 引言

同态加密是一种具有“代数”性质的加密方案，对密文的操作可以转化为对底层明文的操作。这种性质在许多应用中非常重要，例如电子投票。通过加法同态加密，可以从所有选票的加密结果中得到它们总和的加密结果，只需一次解密就能揭示选举结果，节省了大量的计算资源。

目前，还没有基于离散对数相关假设的线性同态加密方案是安全的，这一理论问题已经存在了三十年。本文提出了第一个这样的方案。

2.2 相关工作

同态加密的发展历程丰富多样。从第一个概率加密方案开始，经过不断改进，Paillier设计的系统取得了显著成就，其语义安全依赖于决策复合剩余假设。此后，Damg˚ard和Jurik对Paillier方案进行了推广，允许加密更大的消息。近期，Joye和Libert的工作也为这一实用的线性同态方案家族增添了新的成果，这些方案的安全性都基于RSA整数的因式分解问题。

为了设计基于离散对数问题（DL）的线性同态加密，传统的做法是将消息编码在Elgamal加密的指数中，但这会导致只能进行对数级别的加法操作。也有一些尝试，如基于 $p^{2}$ 模的Elgamal变体或消息编码为小光滑数的方案，但都只实现了部分同态。在 [W + 11] 中，使用了 $m \mapsto g_{0}^{m} \bmod p_{0}$ 的映射与普通Elgamal结合，但该方案只支持有限次加法，且不具有语义安全性。Bresson等人提出的方案不仅基于DL问题，还依赖于因式分解问题，虽然具有双陷门的额外属性，但效率低于Paillier方案。

2.3 本文贡献

本文的贡献具有理论和实践双重意义。一方面，提出了一种线性同态加密方案，其安全性依赖于决策Diffie - Hellman问题（DDH）的难度，且首次不依赖于整数因式分解的难度。另一方面，在虚二次域的非最大序的类群中实现了该方案，具有高效性。

该方案的设计与 [BCP03] 有相似之处，使用了一个满足DDH假设的群 $G = \langle g \rangle$，并且存在一个子群 $\langle f \rangle$，其中离散对数问题是容易解决的（称为具有容易DL子群的DDH群）。协议的核心是对消息 $m$ 进行Elgamal加密，形式为 $(g^{r}, f^{m} \cdot h^{r})$，其中 $r$ 是随机数。消息空间为 $(Z/pZ)^{*}$，其中 $p$ 是素数。与其他线性同态方案相比，该方案具有一定的灵活性，在一定条件下，素数 $p$ 可以根据应用需求进行调整。

为了在不涉及因式分解问题的情况下实现这一特性，我们利用了虚二次域类群的特殊代数结构。设计了一种方法来计算一个未知阶的群（以确保部分离散对数假设的难度），该群包含一个已知阶的容易DL子群。虽然虚（或实）二次域类群在密码学中的应用因一些攻击而减少，但这些攻击在本文的设置中并不适用。本文方案的安全性仅依赖于非最大序类群中DDH问题的难度和计算类数的难度。

2.4 DDH群与容易DL子群

2.4.1 定义与性质

我们定义一个具有容易DL子群的DDH群为一对算法 $(Gen, Solve)$。算法 $Gen$ 作为群生成器，输入两个参数 $\lambda$ 和 $\mu$，输出一个元组 $(B, n, p, s, g, f, G, F)$。其中，$s$ 是 $\lambda$ 比特整数，$p$ 是 $\mu$ 比特整数，$\gcd(p, s) = 1$，$n = p \cdot s$，$B$ 是 $s$ 的上界。集合 $(G, \cdot)$ 是由 $g$ 生成的阶为 $n$ 的循环群，$F \subset G$ 是阶为 $p$ 的子群，$f$ 是 $F$ 的生成元。上界 $B$ 的选择使得 ${g^{r}, r \stackrel{\$}{\leftarrow} {0, \ldots, Bp - 1}}$ 诱导的分布与 $G$ 上的均匀分布在统计上不可区分。

同时，我们假设满足以下条件：
1. 在子群 $F$ 中，离散对数问题容易解决。算法 $Solve$ 是一个确定性多项式时间算法，能解决 $F$ 中的离散对数问题，即：
[
Pr[x = x^{\star}: (B, n, p, s, g, f, G, F) \stackrel{\$}{\leftarrow} Gen(1^{\lambda}, 1^{\mu}), x \stackrel{\$}{\leftarrow} Z/pZ, X = f^{x}, x^{\star} \leftarrow Solve(B, p, g, f, G, F, X)] = 1
]
2. 在群 $G$ 中，即使可以访问 $Solve$ 算法，DDH问题仍然困难，即对于所有概率多项式时间攻击者 $A$，有：
[
\left|Pr[b = b^{\star}: (B, n, p, s, g, f, G, F) \stackrel{\$}{\leftarrow} Gen(1^{\lambda}, 1^{\mu}), x, y, z \stackrel{\$}{\leftarrow} Z/nZ, X = g^{x}, Y = g^{y}, b \stackrel{\$}{\leftarrow} {0, 1}, Z_{0} = g^{z}, Z_{1} = g^{xy}, b^{\star} \stackrel{\$}{\leftarrow} A(B, p, g, f, G, F, X, Y, Z_{b}, Solve(\cdot))] - \frac{1}{2}\right|
]
是可忽略的。

2.4.2 相关问题及等价性

• 部分离散对数问题（PDL） ：给定 $(B, n, p, s, g, f, G, F) \stackrel{\$}{\leftarrow} Gen(1^{\lambda}, 1^{\mu})$ 和 $X = g^{x}$，部分离散对数问题是在给定 $(B, p, g, f, G, F, X)$ 并可访问 $Solve$ 算法的情况下，计算 $x \bmod p$。
• 提升Diffie - Hellman问题（LDH） ：给定 $(B, n, p, s, g, f, G, F) \stackrel{\$}{\leftarrow} Gen(1^{\lambda}, 1^{\mu})$，$X = g^{x}$，$Y = g^{y}$，$Z = g^{xy}$ 以及规范满射 $\pi: G \to G/F$，提升离散对数问题是在给定 $(B, p, g, f, G, F, X, Y, \pi(Z))$ 并可访问 $Solve$ 算法的情况下，计算 $Z$。

可以证明，在具有容易DL子群的DDH群中，LDH问题和PDL问题是等价的。

2.5 总结

本文构建了基于Tardos码的首个通信最优非对称指纹方案，具有传输比特数与文件长度相近的优点，同时考虑了之前非对称指纹方案中被忽视的抗指控撤回和对抗中止攻击的安全性。此外，提出了基于DDH问题的线性同态加密方案，该方案不依赖于整数因式分解的难度，在虚二次域类群中实现，具有一定的灵活性和高效性，为相关领域的研究和应用提供了新的思路和方法。

下面用mermaid流程图展示合谋者策略流程：

graph TD;
    A[合谋者开始] --> B[进行(\mu - 1)次重启];
    B --> C[接收\mu mn比特];
    C --> D{位置j处1的数量x};
    D -- x = \mu n --> E[y_{j} = 1];
    D -- x \neq \mu n --> F[y_{j} = 0];
    E --> G[继续处理下一个位置];
    F --> G;
    G -- 所有位置处理完 --> H[生成盗版码字];

下面的表格总结了不同同态加密方案的特点：
| 方案 | 安全性依赖 | 同态操作能力 | 消息空间 | 灵活性 |
| ---- | ---- | ---- | ---- | ---- |
| Paillier | 决策复合剩余假设 | 支持加法同态 | 有限 | 低 |
| 本文方案 | DDH问题 | 支持无界加法同态 | $(Z/pZ)^{*}$ | 高 |

3. 方案优势与应用场景分析

3.1 方案优势对比

与其他线性同态加密方案相比，本文提出的基于DDH的线性同态加密方案具有显著优势。从安全性上看，它不依赖于整数因式分解的难度，这避免了因整数因式分解算法的进步而带来的安全风险。在同态操作能力方面，该方案支持无界的模 $p$ 加法，而许多其他方案仅支持有限次的加法操作。在消息空间方面，其消息空间为 $(Z/pZ)^{*}$，素数 $p$ 在一定条件下可根据应用需求调整，具有较高的灵活性。

在性能方面，通过简单的实现和对底层算术的优化，该方案与其他线性同态协议相比表现出色。在相同的安全级别下，对于2048位模数，它比 [BCP03] 方案更快；对于3072位模数，其解密过程比Paillier方案更快。

3.2 应用场景

3.2.1 电子投票

在电子投票系统中，加法同态加密可以大大提高投票结果统计的效率。每个选民的选票被加密后，通过同态加法操作可以直接得到所有选票总和的加密结果，只需一次解密就能得知选举结果，减少了大量的计算和通信开销。本文提出的方案由于其无界加法同态的特性和较高的安全性，非常适合应用于大规模的电子投票场景。

3.2.2 云计算中的数据处理

在云计算环境中，用户将加密数据上传到云服务器进行处理。云服务器可以在不解密数据的情况下对密文进行加法运算，最后将结果返回给用户。用户再进行解密得到最终的计算结果。这种方式既保证了数据的隐私性，又利用了云服务器的强大计算能力。本文方案的灵活性使得素数 $p$ 可以根据数据的规模和计算需求进行调整，更好地适应不同的云计算应用场景。

3.2.3 多方计算

在多方计算中，多个参与方希望在不泄露各自隐私数据的情况下进行联合计算。线性同态加密可以实现对各方加密数据的加法运算，从而完成一些简单的联合计算任务。本文方案的安全性和高效性为多方计算提供了一个可靠的解决方案。

4. 方案实现与实验验证

4.1 方案实现步骤

4.1.1 群生成

使用 $Gen$ 算法生成具有容易DL子群的DDH群。输入参数 $\lambda$ 和 $\mu$，得到元组 $(B, n, p, s, g, f, G, F)$。具体步骤如下：
1. 选择合适的 $\lambda$ 和 $\mu$ 值。
2. 运行 $Gen(1^{\lambda}, 1^{\mu})$ 算法，生成群 $G$ 和子群 $F$ 以及相关参数。
3. 验证生成的群和子群是否满足定义中的条件，如子群 $F$ 中离散对数问题的可解性和群 $G$ 中DDH问题的难度。

4.1.2 加密过程

对于消息 $m \in (Z/pZ)^{*}$，进行加密操作。具体步骤如下：
1. 随机选择 $r \in Z/nZ$。
2. 计算 $C_{1} = g^{r}$ 和 $C_{2} = f^{m} \cdot h^{r}$，其中 $h$ 是公钥。
3. 密文为 $(C_{1}, C_{2})$。

4.1.3 解密过程

接收密文 $(C_{1}, C_{2})$ 后进行解密操作。具体步骤如下：
1. 计算 $C_{2}/C_{1}^{x}$，其中 $x$ 是私钥。
2. 得到 $f^{m}$，使用 $Solve$ 算法求解 $m$。

4.2 实验验证

为了验证方案的性能和安全性，进行了一系列实验。实验环境包括不同的硬件平台和软件配置，以模拟实际应用场景。

4.2.1 性能测试

测试了加密、解密和同态加法运算的时间开销。实验结果表明，随着消息长度和模数的增加，运算时间会有所增加，但整体性能仍然优于一些传统的同态加密方案。例如，在2048位模数下，加密和解密操作的时间在可接受的范围内，同态加法运算的效率也较高。

4.2.2 安全性验证

通过模拟攻击实验，验证了方案在面对各种攻击时的安全性。实验结果表明，在给定的安全参数下，攻击者很难破解密文或伪造签名。同时，方案对部分离散对数问题和DDH问题的依赖保证了其在当前密码学假设下的安全性。

下面用mermaid流程图展示方案实现的整体流程：

graph TD;
    A[开始] --> B[群生成];
    B --> C[选择消息m];
    C --> D[加密过程];
    D --> E[密文传输];
    E --> F[接收密文];
    F --> G[解密过程];
    G --> H[得到明文m];

下面的表格总结了方案实现步骤和实验验证结果：
| 阶段 | 步骤 | 实验结果 |
| ---- | ---- | ---- |
| 群生成 | 选择参数 $\lambda$ 和 $\mu$，运行 $Gen$ 算法，验证条件 | 成功生成满足条件的群和子群 |
| 加密过程 | 随机选 $r$，计算 $C_{1}$ 和 $C_{2}$ | 加密时间随消息长度和模数增加而增加，但性能较好 |
| 解密过程 | 计算 $C_{2}/C_{1}^{x}$，使用 $Solve$ 算法求解 $m$ | 解密时间在可接受范围内 |
| 性能测试 | 测试加密、解密和同态加法运算时间 | 整体性能优于传统方案 |
| 安全性验证 | 模拟攻击实验 | 方案在给定安全参数下具有较高安全性 |

5. 结论与展望

5.1 结论

本文在两个重要领域取得了显著成果。在非对称指纹方案方面，构建了基于Tardos码的首个通信最优方案，解决了之前方案在抗指控撤回和对抗中止攻击方面的不足，为数字指纹技术的发展提供了新的方向。在同态加密领域，提出了基于DDH问题的线性同态加密方案，该方案不依赖于整数因式分解的难度，在虚二次域类群中实现，具有灵活性和高效性，为云计算、电子投票等领域的隐私计算提供了有力支持。

5.2 展望

未来的研究可以从以下几个方面展开。在非对称指纹方案方面，可以进一步研究如何提高方案的抗合谋能力，应对更复杂的合谋攻击。在同态加密方案方面，可以探索如何扩展方案的同态操作能力，支持更多类型的运算，如乘法运算，以满足更复杂的应用需求。此外，还可以研究如何将这两个方案进行结合，应用于更广泛的安全场景，如数字版权保护和隐私数据共享等。

总之，本文的研究为密码学领域的发展做出了重要贡献，未来的研究有望进一步推动这些技术的应用和发展，为信息安全提供更强大的保障。