全同态发展简介与PackingMessagesandOptimizingBootstrapping报告.docxVIP

全同态加密发展简介与Packing Messages and Optimizing Bootstrapping报告 全同态大体背景 历史背景—主要是应用，后面详细介绍 定义 FHE={Gen,Enc,Dec,Eval} Gen: Enc: Dec: Eval: 要求： 对于任意概率多项式时间（PPT）的对手A，{Gen，Enc，Dec} 必须是CPA-安全的，即攻击者首先选择明文，然后使用加密算法（公开的）产生相应的密文，期望用得到的明-密文来降低密码体制安全性。 （选择密文攻击CCA：攻击者选择密文并可以使用解密服务产生相应的明文，攻击者期望在不使用解密服务的情况下用所得到的明文来猜测其余的密文对应的明文。） 对任意算术电路，算法Eval输出的密文长度最多是，应该与输入变量的数量和无关。 应该要求。 主要FHE Gentry框架（Gentry’ Blueprint）： = 1 \* ROMAN I 建立一个somewhat的homomorphic encryption方案，即能够同态计算一步或有限几步的同态方案。 = 2 \* ROMAN II 利用Bootstrapping定理将上述somewhat的同态方案转化为全同态加密方案。 = 3 \* ROMAN III 压缩解密电路。 基于LWE困难的方案：（Bv11b，GSW13）。 = 1 \* ROMAN I Bv11b方案： 加密：。其中m∈{0，1}为明文，S∈Zqn是解密私钥，a 为随机向量，且a 解密：。 注：1) 该方案显然是符合加法同态的，但据有人分析，只支持一次乘法同态操作，因为乘法操作使得密文膨胀很巨大。 2) 为解决上述问题，引入重线性化技术。即将两个密文相乘得到的一次项和二次项均用一个新密钥t加密，再做一定处理，就会将原乘积变为关于新密钥t的一次多项式。再用密钥t解密，即可得到原来两个密文的乘积。 3) 又引入模交换技术。将参数为(n,logq)的密文C变为参数为(k,logp)的密文C‘，且C与C = 2 \* ROMAN II GSW13方案。 2013 年 8 月，Gentry 在 Crypto 会议上提出了一个基于近似特征向量的全同态加密新方案。该方案也可以推广到环-LWE 上，但是其效率不如目前环-LWE 上的其它方案（例如：BGV 方案）。 该方案的一个最大特点就是解决了密文乘积所带来的密文维数膨胀问题（该方案的密文是矩阵，矩阵的乘积并不会导致矩阵维数的改变），从而消除了使用密钥交换技术。尽管密钥交换技术直接导致了 LWE 上的全同态加密方案的出现，但是使用密钥交换技术的代价是巨大的，需要在公钥中加入许多用于密钥交换的矩阵，而且每次密文计算后都需要做密钥交换计算。 基本加密方案。本方案中，密文C是取值在Zq上的一个N×N的方阵。其元素较小（远小于q）。密钥v是一个Zq上的N维向量，具有至少一个大的分量。明文μ是一个小的整数。e是一个小的误差向量。基本加密方案为：C?v=μ? 基本解密方案。从方阵C中提取第i行Ci，计算：x← 同态加法。设C1和C2分别为对应于明文μ1和μ2的两个密文。令C+为C1与C2 同态乘法。设C1和C2分别为对应于明文μ1和μ2的两个密文。令C×为C1与C2 注意到该操作得到的噪音与μ2，C1和原噪音e1，e2有关。为控制μ2对噪音增长的效果， 所谓密文平化处理，即使用三个算法： = 1 \* GB3 ① Powersof2b=(b1,2 = 2 \* GB3 ② Bitdecompa：一个N维向量：(a1,0,a1,1,?a1,l 这两个算法满足： = 3 \* GB3 ③平化算法：Flattena=BitDecompBitComp-1a。该算法得到一个N维 该算法满足：对N×N矩阵C和N维向量v=Powersof2s，有FlattenC?v= BGV方案。 = 1 \* ROMAN I Ring-LWE问题。 设安全参数为n，多函数，这里为2的幂。令为整数。又设，，为上的一个分布。则问题的目标是区分下列两个分布：第一个分布是从中均匀随机选择。第二个分布是首先从中随机选择向量和，从上随机选择，然后计算并构造。已经证明，对上述模型，如果存在一个有效解决算法，则必存在一个有效的量子算法能够解决R上理想格的dω(1)?(q/B)近似最坏情况的最短向量问题（SVP）。 = 2 \* ROMAN II BGV方案。 参数设置：，其余各参数同RLWE问题。 私钥产生：均匀随机选取s←χ 公钥产生：均匀随机产生向量和，并设置。令。注意到：A?s=2e。取A作为公钥。 加密：对于明文，设，随机选择向量，计算得到密文：。 解密：