全同态加密发展与现状的综述-CommunicationsoftheCCISA.PDF

Special Issue – Security Issues and Solutions in Cloud Computing Communications of the CCISA Vol. 20 No. 1 Jan. 20 14 全同態加密發展與現狀的綜述 胡予濮，陳虎，連至助 西安電子科技大學 西安 yphu@ 摘要 全同態密碼加密體制能對密文的任意函數進行同態計算。全同態加密長期被尊爲密 碼學的 “聖杯” ，有著極其豐富的應用。自Gentry 於 2009 年突破性實現了全同態加密體 制（FHE ）構造，開啓了這困擾密碼學家 30餘年的大門。 Gentry 這一突破性的工作和 FHE 不成熟的現狀極大激發了密碼學家的研究熱情，大批高水平的研究成果相繼湧現。 本文主要對全同態加密取得突破以來的進展做一個粗線條的回顧，側重 於介紹構造全同 態方案中所 湧現出的各種新方法和新技術。 關鍵字 ：全同態加密；Bootstrapping ；Squashing 1引言 Rivset ，Adleman和 Dertouzos在 1978 年提出一個具有挑戰性的問題[45] ：在不使用 私鑰解密的情况下，我們能否對密文進行任意計算，且運算結果的解密值等 於對應的明 文運算的結果。具有這種性質的加密稱爲同態加密，如教科書式-RSA和 ElGamal體制屬 乘法同態體制，可以支持任意次乘法同態操作，但不支持加法同態操作並且方案也不是 語義安全的。這種同態性本來被視爲一種安全性缺陷，卻能夠提供一種極爲重要的服務： 無信任委托計算，支持電子投票系統，保密信息檢索等。這個新穎獨特，但確如海市蜃 樓般的困難問題被譽爲密碼學的“聖杯” 。 1984 年，Goldwasser和 Micali提出第一個具有語義安全的加法同態密碼體制 GM ， 支持任意次加法（模 2 ）同態操作。2005 年Boneh-Goh-Nissm提出 BGN同態加密體制 [4] ， 可以支持任意次加法和一次乘法同態。 2006 年，Fellows和 Koblitz 提出“Polly Cracker” 體制支持任意電路 [20,37-39] ，但是誤差隨密文尺寸指數增長。Sanders ，Young和 Yung ， 使用保密電路（ circuit-private ）加法同態加密構造的保密電路體制SYY能處理 NC 電 1 路 [47,3] 。Ishai和 Paskin使用線路圖（ braching programs ），能同態處理NC 電路 [35] 。 1 儘管歷經 30餘年的艱辛探索，但是上述方案距離真正全同態方案還很遠。直到 2009 年Gentry實現了全同態加密構造的重大突破，使用理想格構造了可以支持任意深度電路 KeyGen Encrypt Decrypt 的同態計算 [21,22] 。他所構造的方案 有四個算法： , ， 和 E E E E Evaluate Evaluate pk C E 。其中 E算法以公鑰 ，屬允許電路集 的電路 C ，和一組密文 E c , ,c 爲輸入，輸