同态加密综述.docVIP

信息系统安全 题目: 同态加密综述 姓名:### 学号:2013202110076 武汉大学 二 ○ 一三年 十月 同态加密综述 概念 2009年，IBM公司的克雷格·金特里（Craig Gentry）发表了一篇文章，公布了一项关于密码学的全新发现：一项真正的突破。他发现，对加密的数据进行处理得到一个输出，将这一输出进行解密，其结果与用同一方法处理未加密的原始数据得到的输出结果是一样的。这听起来就像是不知道问题也能给出问题的答案一样。 记加密操作为 E，解密为E；明文为 m，加密得 e，即 e = E(m)，m = E(e)。已知针对明文有操作 f，针对 E 可构造 F，使得 F(e) = E(f(m))，这样 E 就是一个针对 f 的同态加密算法。 来源 2009年9月，Craig?Gentry?的论文发表于STOC。?一名IBM研究员解决了一项棘手的数学问题，该问题自从几十年前公钥加密发明以来一直困扰着科学家们。该项创新为“隐私同态（privacy?homomorphism）”或“全同态加密（fully?homomorphic?encryption）”领域的重要技术突破，使得加密信息，即刻意被打乱的数据仍能够被深入和无限的分析，而不会影响其保密性。 IBM研究员Craig?Gentry设计了这一解决方案。他使用被称为“理想格ideal?lattice”的数学对象，使人们可以充分操作加密状态的数据，而这在过去根本无法设想。经过这一突破，存储他人机密电子数据的电脑销售商就能受用户委托来充分分析数据，不用频繁与用户交互，也不必看到任何隐私数据。利用Gentry的技术，对加密信息的分析能得到同样细致的分析结果，就好像原始数据完全可见一样。 加密机理 整数上全同态加密方案有两篇非常经典的论文，一篇是《Fully Homomorphic Encryption over the Integers》以下简称DGHV方案，还有一篇是Gentry写的《Computing Arbitrary Functions of Encrypted Data》简称 CAFED论文。 1、 同态加密方案 同态加密用一句话来说就是：可以对加密数据做任意功能的运算，运算的结果解密后是相应于对明文做同样运算的结果。另外上面的那句话是不能说反的，例如：运算的结果加密后是相应于对明文做同样运算结果的加密，这样说是不对的，因为加密不是确定性的，每次加密由于引入了随机数，每次加密的结果都是不一样的，同一条明文对应的是好几条密文。而解密是确定的。 Enc(m): m+2r+pq Dec(c): (c mod p) mod 2=（c – p*「c/p」）mod 2 = Lsb(c) XOR Lsb(「c/p」) 上面这个加密方案显然是正确的，模p运算把pq消去，模2运算把2r消去，最后剩下明文m 。 公式中的p是一个正的奇数，q是一个大的正整数（没有要求是奇数，它比p要大的多），p 和q在密钥生成阶段确定，p看成是密钥。而r是加密时随机选择的一个小的整数（可以为负数）。明文m∈ {0，1}，是对“位”进行加密的，所得密文是整数。 上面方案的明文空间是{0，1}，密文空间是整数集。 同态加密方案中除了加密、解密还有一个非常重要的算法就是：Evaluate，它的作用就是对于给定的功能函数f以及密文c1，c2，…，ct等做运算f (c1，c2，…，ct)。在这里就是对密文做相应的整数加、减、乘运算。 以上方案可以看成是对称加密方案。对于公钥加密方案，其实把pq看成公钥就OK。由于q是公开的，所以如果把pq看成公钥，私钥p立刻就被知道了（p=pq/q）。怎么办呢？看上面加密算法中，当对明文0进行加密时，密文为2r+pq， 所以我们可以做一个集合{xi；xi=2ri+pqi}，公钥pk就是这个集合{xi}，加密时随机的从{xi}中选取一个子集S，按如下公式进行加密： Enc(m): m+2r+sum(S); 其中sum(S)表示对S中的xi进行求和。 由于sum(S)是一些0的加密密文之和，所以对解密并不影响，整个解密过程不变。 这个方案是安全的，就是我们所说的DGHV方案。其安全性依赖于一个困难问题“近似GCD问题”。就是给你一些xi，你求不出p来（由于整数上全同态研究热了，近似GCD也成了研究的一个点）。 为了说明方便，我们还是采取pq为公钥的方案。所以加密和解密还是按照一开始的公式，现在pq为公钥，p还是私钥，q是公开参数。再重复一遍我们的加密解密算法： Enc(m): m+2r+pq Dec(c): (c mod p) mod 2=（c – p*「c/p」）mod 2 = Lsb(c) XOR