全同态加密术——从艾丽丝和鲍勃的密码空间谈起方陵生编译一种可.doc

全同态加密术 ——从艾丽丝和鲍勃的密码空间谈起 方陵生/编译 ● 一种可对无法直接读取数据信息进行计算的新颖密码术，全同态加密（FHE）技术，即对加密数据进行处理得到的一个加密输出结果，解密后其结果与用同一计算方式处理未加密原始数据得到的输出结果一样——就好像不知道问题也能给出问题的答案一样…… 艾丽丝递给鲍勃一个锁着的手提箱请他数数里面的钱有多少。“没问题，”鲍勃说道，“请把钥匙给我。”艾丽丝说没钥匙。鲍勃拎起手提箱，估量着它的重量，再来回摇晃了几下，然而，这些努力并不能让他知道手提箱里究竟有多少现金。 艾丽丝和鲍勃有着多年的合作关系，也都是密码学专家，他俩真正感兴趣的是手提箱里的“计算问题”，而不是东西本身。假设，艾丽丝给鲍勃一个安全加密的文件，然后请他计算出文件中数字列表的总和，如果没有解密钥匙，这样的任务似乎无法完成。加密文件就像锁着的手提箱一样难以渗透，鲍勃对此也可能无能为力。 的同态系统，可以将明文转换为密文，然后再恢复到原来的明文。他同时还设立了一个评价函数，用来接受密文计算的描述。这种计算不再是一种序列程序，而是一种电路或电路网络：输入的信号通过一层一层的逻辑门。这样的电路通常是由布尔数学体系的各个“门”构成的（“与”门、“或”门和“非”门等），但它们也可以规定为相加和相乘的步骤。 评价函数相当于嵌入密码系统中的一个完整的计算机，原则上它可以计算出任何可计算的函数，前提是代表函数的电路允许延伸到任意深度（电路的深度是指从输入到输出最长路径上门的数量）。一个全速运转的计算机必须能够处理任意深度的电路，同态系统在这里却遇到了一个障碍，密文数据被“数字噪声”污染。 “数字噪声”源自于概率加密过程。我们将每个密文值假设为空间中的一个点，概率加密给每个点坐标注入一点点的随机性，使得它在确定性密码系统中所占据的位置稍有偏移。解密时按照这样稍有偏移的规律，通过对每个点进行处理来过滤掉“数字噪声”。而在同态计算中，这样的“数字噪声”被“增强”了，每个点偏离它的正确位置更远，直到最后解密时出错，将它与一个不正确的明文值联系在一起。 大致来说，每一次同态相加都会令数字“噪声”翻倍，而每次同态相乘都会令“数字噪声”自乘。所以，这种操作的次数必须加以限制，否则误差就会累积起来。由于电路深度的限制，这种密码系统不能称之为完全同态，只能算是“准同态。” 以下方式可以避免深度限制的问题：每当“数字噪声”开始接近临界阈值时，对数据进行解密，然后重新加密，从而复位到原来的低“噪声”水平。麻烦的是，解密需要密钥，而FHE密码体制的关键之点就是不提供密钥，而是对加密文本进行计算。 事情至此变得古怪而美妙起来，只要不超过电路深度的噪声限制，密码系统内置的评估函数可完成任何计算。因此，我们可以要求评估函数运行解密功能，并将其设定为对加密数据起作用，在这种情况下，提供给它的密钥是正常密钥的加密版本。具体地说，所提供的在评估函数内运行的密钥是对密钥明文加密产生的密文。以此密钥解密的结果并非明文，而是重新加密后降低了“数字噪声”的新的密文。 探索更多的完善方案 艾丽丝给了鲍勃用来解锁数据所需密钥的副本，关键是，密钥被放置在“锁”着的箱子内，也只能在那个锁着的箱子里使用。事实上，用来锁箱子的密钥就在被锁住的箱子里（金特里将这种令人眼花缭乱的密码术形容为：艾丽丝在锁着的箱子中加工珠宝）。 根据需要，可以暂停运算重新加密，以此来“刷新”噪声过多的密文，以这种方式，计算机可以处理任何深度有限的电路，“准同态”系统也将变成完全同态系统，可以对加密数据进行任意复杂的计算。 这个方案的一个基本的假设是，解密电路本身较浅，以在不超过噪声阈值的情况下运行。事实上，它的深度需要比限度略浅，否则电脑会不断刷新数据，永远无法完成任何有用的工作。当金特里最初形成他的FHE方案时，他发现评价函数在运行解密步骤时总是会积累起过多的“数字噪声”，补救的办法是“挤压”解密，其代价是密钥更大更复杂，但暂停以刷新的创新思路，使问题得到了解决。 2009年，金特里的博士论文描述了他的FHE系统。其后的三年，数十种更详尽的替代方案相继出台，其中至少有三个方案进行了计算机程序实现同态加密的尝试。 2010年，麻省理工学院的马蒂恩·范迪克（Marten van Dijk ）、金特里、IBM（美国商用机器公司）的谢伊·哈勒维（Shai Halevi）和多伦多大学的维诺德·韦昆塔纳（Vinod Vaikuntanathan）发明了另一种形式的同态加密，他们的加密方式来自数论，大约相当于最大公约数（GCD），而准确的GCD是很容易计算的，但其“噪声”版本却似乎很难破解。如果两个较大数字的GCD为 p，通过加减一个很小的随机数字改变原来的数字，是很难再求出p的。在密码系统中，这个p就是密钥。 斯坦福大学的兹