學習李增鵬老師的文章:全同態加密研究,記錄筆記。
摘要
- 雲計算很重要,但存在“數據安全和隱私保護的問題”。
- 引出全同態加密,當前研究方向:(1)方案的設計和性能提升;(2)潛在應用。
- 本文內容:(1)介紹全同態發展的三個階段(三類);(2)方案設計和發展趨勢;(3)近些年的研究成果。
引言
- 雲計算存在問題:如何在保護數據安全和用戶隱私的前提下完成安全計算。
- 同態加密:起源(隱私同態)、發展(部分同態)、全同態(Gentry09)、分類(Gentry09系列、基於RLWE的FHE系列、GSW系列)
FHE的定義
-
層次全同態加密(Leveled-FHE)支持有限次的同態計算,利用電路構造而成,包含四個功能(函數):KeyGen、Enc、Dec、Eval(這裏會的是計算密鑰evk,是公開的)。
-
方案正確性:加解密正確性、計算正確性。
-
\(C\in C_{\lambda}\),其中\(C\)表示具體的計算函數,\(C_{\lambda}\)表示滿足同態計算函數的集合。
- 緊緻/緊湊性(Compactness):密文大小(長度)與計算函數大小\(|C|\)、密文層數\(l\)無關。
- 安全性,定義的是IND-CPA安全,表示給定\(0\)和\(1\)的密文,無法在多想時間內區分出對應的明文,其中\(\lambda\)是安全參數。
FHE的研究現狀
- 根據FHE基於的困難問題,即方案安全性的依據,可以分爲:(1)格上的基於Regev的LWE問題;(2)整數上的AGCD問題。
- 基於格的構造,又可分爲:(1)基於理想格的(Gentry09系列);(2)基於LWE假設,利用密鑰交換、模交換、重線性化等技術構造FHE(BV、BFV、BGV系列);(3)基於LWE假設,利用近似特徵向量而避免使用密鑰交換等降維技術來構造FHE(GSW系列);(4)基於NTRU,利用密鑰交換等技術構造FHE。
基於格基的
基於理想格的(一代)
- Gentry09方案是在理想格上計算,依賴BDDP問題和SSSP問題。
- FHE設計方式:先設計一個SWHE或者Leveled-FHE,在通過自舉(Bootstrapping)技術刷新密文,達到真正的FHE。
- 自舉需要將私鑰加密作爲公共參數公開,所以無法抵抗CCA(CCA是敵手可以根據密文獲得明文,這樣就可以獲取私鑰了),只能達到CPA安全。
- 後續又有很多優化自舉技術,但都依賴於SSSP假設,即假設(。。。),該假設目前並未被證明。
- 所以BV11出現了,不再依賴於SSSP假設,進入第二代FHE。
基於LWE的(二、三代)
- 第二代FHE是首次利用LWE假設實現的
- LWE問題是由Regev提出的,可以抵抗量子攻擊,且實現簡單。
- 隨後出現基於RLWE設計的FHE,安全性量子規約到理想格上的困難問題,利用壓縮範式(squashing)和自舉(Bootstrapping)技術實現真正的FHE。
- 同年BV11-a提出,基於LWE假設,安全性依賴於格上的SVP問題,利用重線性化(Relinearization)實現層次FHE(SWHE或Leveled-FHE),進而利用Dimension-Modulus Reduction技術實現自舉(Bootstrapping),不再使用壓縮範式(squashing),這種方法能有效縮短密文、降低解密電路的複雜性(無需額外假設)。
- BGV12方案不依賴於自舉實現層次FHE(SWHE或Leveled-FHE)
- Bra12方案利用張量積構造一個擴張因子不變的FHE,即模\(q\)與初始噪音\(B\)的比例保持不變,無需使用模交換(Modulus Switching)降噪。
- 第三代FHE,密文是矩陣,同態計算中密文的維數不會擴張,所以無需使用計算密鑰(evk)來降維,經典的就是GSW方案,並在方案中首次實現基於身份的FHE和基於屬性的FHE,當然方案只實現了Leveled-FHE,若想實現真正的FHE,還需使用自舉。
基於整數的
- 基於整數上,指的就是DGHV系列,依賴AGCD假設。
- 最初是DGHV10方案,後續方案採用公鑰壓縮、模交換、批處理等技術優化,使其解密電路的複雜度降低。
總結
- 總的來說,目前要實現真正的FHE,惟一的方法還是自舉。
- 第一代,實現真正FHE,即使用重加密刷新密文降低噪音,以此實現自舉。
- 第二代,先使用密鑰交換(重線性化)降維、模交換降噪實現Leveled-FHE,若想實現真正的FHE,還需要使用自舉。
- 第三代,先使用比特分解(BitDecomp)和2的冪算法(PowerofTwo)及時實現Leveled-FHE,若想實現真正的FHE,還需要使用自舉。
基於格的FHE
格公鑰密碼
- 格基規約算法是攻擊公鑰密碼的常用工具之一,比如LLL算法。
- AD加密是第一個基於格上困難問題設計的加密方案。
- 當前格密碼方案大都基於SIS問題和LWE問題設計,都可以規約到求解最壞情況的格困難問題。
- 規約越緊,參數選的越小,存儲和計算效率高。
- 基於格上困難問題的公鑰加密方案的優勢:(1)格問題的計算複雜(格上任意隨機實例的安全度都相同);(2)格基密碼計算高效(矩陣、向量間的乘法、線性求和、模運算等);(3)格密碼更安全(抗量子性)
LWE問題
- “一般情況下解決LWE問題並不比在最壞情況下解決一些格近似問題簡單”,意思就是解決LWE問題同樣困難。
- Regev證明了給出適合的參數,LWE問題和格上的SVP問題一樣困難。
GSW方案
- 上面介紹的是GSW系列,並不是原方案。
- 密鑰生成基於DLWE問題
- 加密時和原方案不同。
- 解密比較複雜:(1)選擇合適的\(I\),找到對應的\(C_I\);(2)計算出\(x\);(3)輸出\(u'\)。
- 解密正確性:密文\(C\)是一個\((n+1)*N\)的矩陣,選擇\(C_I\)是一個\(n+1\)維向量。
待補充。。。
問題和發展
性能
多比特加密
- 多比特就是批處理,對於單比特加密使用迭代或拼接等方式實現多比特,存在問題:密鑰尺寸更長,計算開銷大,加密噪音膨脹等。
- 針對第一代FHE,首次提出SIMD批處理技術;第二代,給出基於LWE的批處理FHE方案;第三代,構造既能實現批處理加密,也能實現一次性解密多比特的FHE方案。
計算效率
- FHE爲什麼慢?(1)自舉,因爲自舉時,每個門電路都需要同態的調用解密電路;(2)密文膨脹,體現在密文維度膨脹和噪音膨脹,使用密鑰交換或重線性化降維,使用模交換降噪,都會增加大量計算消耗。
- 自舉(Bootstrapping)技術的發展?目前自舉時間至少0.1s。
安全性
-
因爲FHE具有同態屬性,就有延展性,就不能達到CCA2安全。(適應性選擇密文攻擊是不限制敵手調用解密時間),目前大部分FHE只滿足CPA安全。
-
就算滿足CCA1安全,但方案不是緊湊的。
-
針對FHE的攻擊:(1)密鑰恢復攻擊;(2)旁路攻擊,所以提出抗泄漏的FHE方案。
應用
MPC
- FHE在MPC中的應用這裏分爲:門限FHE和多密鑰FHE。
- 門限FHE,各方共享公鑰,各自有一個私鑰份,加密時各方使用相同公鑰加密,解密時需要至少\(t\)份私鑰才能正確解密。
- 多密鑰FHE,各方擁有公私鑰,加密時各方使用自己的公鑰加密,不同公鑰加密的密文可以執行同態計算,解密時先各自解密,最後聚合得到最終結果。
密文處理
- PIR和SE的區別:PIR是保護用戶查詢(重點是保護用戶),SE是保護被查詢文件(重點是保護數據)
- PIR、PSI、聯合計算等應用
其他
- IBE、ABE、FE、WC、OPRF等都可以結合FHE
總結
- 基於格的FHE是大勢。
- FHE的應用場景目前已經火了。
- FHE的廣泛應用還需探究。
- FHE的效率研究還需多加努力。
內容量很大,學到很多,點贊~