BGV加密方案

咸鱼菲菲

已于 2022-02-27 18:39:35 修改

阅读量5.4k

点赞数 4

文章标签：安全同态加密密码学

于 2022-01-29 19:06:25 首次发布

本文链接：https://blog.youkuaiyun.com/watqw/article/details/122741638

版权

BGV加密方案是一个整数全同态加密方案，其加密域可以是格或多项式环，基于LWE或者RLWE困难问题。BGV采用的主要思想是将明文嵌入在最低比特位，然后通过模运算取出明文。比如密文为 $\textbf{c}$ ，私钥为 $\textbf{s}$ ，那么，其解密结构为 $\textbf{c}^T\textbf{s}=m+te \mod p$ ，其中t是明文空间的模，p是密文空间的模。因为t是远远小于p的，所以只要te足够小，那么直接用t模就可以取出明文。为了便于描述，下面的都是在分圆多项式环 $R=Z[x]/(x^d+1)$ 上。

密钥的选择

设噪声分布为 $\chi$ ，s是在噪声分布中采样的一个随机数。那么私钥 $\textbf{s}=(1,s)$ 。

随机从环上选取a，和噪声e，计算 $b=as+te$ ，其中t是明文空间的模。那么公钥为 $(b,-a)$ 。

加密

假设我们要加密一个明文m。

选取噪声u, $e_1$ , $e_2$ ，计算 $c_0=bu+te_2+m$ ， $c_1=-au+te_1$ ；

密文 $\textbf{c}=(c_0,c_1)$ 。

解密

有密文 $\textbf{c}$ 和私钥 $\textbf{s}$ ， $m=c_0+c_1s \mod t$

加解密正确性证明

$m=c_0+c_1s \mod t$

$m=bu+te_2+m-asu+tse_1 \mod t$

$m=asu+teu+te_2+m-asu+tse_1 \mod t$

加法同态

有密文 $\textbf{c}_1$ 和 $\textbf{c}_2$ 分别是由 $m_1$ 和 $m_2$ 加密而来。考虑他们的解密结构 $\textbf{c}_1^T\textbf{s}=m_1+te_1$ ， $\textbf{c}_2^T\textbf{s}=m_2+te_2$ ，则 $\textbf{c}_1+\textbf{c}_2$ 与私钥的内积 $(\textbf{c}_1+\textbf{c}_2)^T\textbf{s}=m_1+m_2+t(e_1+e_2)$ 显然是 $m_1+m_2$ 的一个有效密文。

但是，噪声显然比原来要增加大概一倍，是呈现线性增加的。所以，随着加法次数的增加，噪声会越来越大，直到淹没明文，变成无效密文。

乘法同态

有密文 $\textbf{a}=(a_0,a_1)$ 和 $\textbf{b}=(b_0,b_1)$ 分别是由 $m_1$ 和 $m_2$ 加密而来。

则， $\textbf{a}\textbf{b}=(a_0b_0,a_1b_0+a_0b_1,a_1b_1)$

考虑 $(\textbf{a}^T\textbf{s})(\textbf{b}^T\textbf{s})=(\textbf{b}\textbf{a})^T\textbf{s}^2=(m_1+te_1)(m_2+te_2)=m_1m_2+te_3$ ，是 $m_1m_2$ 的一个有效密文，但是，此时，私钥为 $\textbf{s}^2$ ，比原来的私钥维度增加了。