6、整数上的全同态加密技术解析

整数上的全同态加密技术解析

1. 密文压缩

在加密系统中，即使经过前期优化，评估后的密文长度虽与原始密文相同，但大小仍然非常大。在建议参数下，密文大小约为 $\tilde{\theta}(\lambda^5)$ 比特。为了降低通信复杂度，我们可以对密文进行“压缩”或后处理，使其渐近达到 RSA 模数的大小。

不过，这种优化也有代价，即无法对压缩后的密文进行任何评估操作。因此，该压缩技术只能应用于评估算法所有应用完成后的最终输出密文。同时，此技术还引入了一个类似 Cachin 等人提出的 $\varphi$ - 隐藏假设的新困难假设。

具体操作步骤如下：
1. 补充公钥：在公钥中加入一个群 $G$ 的描述以及群中的一个元素 $g$，且 $g$ 的阶是私钥 $p$ 的倍数。
2. 生成压缩密文：对于原方案中的密文 $c$，压缩密文为 $c^ \leftarrow g^c$。
3. 解密操作：先计算 $y \leftarrow DL_g(c^ ) \bmod p$，再计算 $m \leftarrow y \bmod 2$。

为了实现上述操作，需要满足以下条件：
- 选择私钥 $p$ 为光滑数，例如将其选为随机不同的 $\lambda^2 / \log \lambda$ 个小素数（如都小于 $\lambda^3$）的乘积，以便在解密时计算 $(DL_g(c^ ) \bmod p)$。
- 确保公布 $G$ 和 $g$ 不会破坏方案的安全性。可以通过公布一个 RSA 模数 $N$（满足 $p | \varphi(N)$ 且 $\log N$ 足够大于 $4 \log p$）以及一个随机元素