陈智罡全同态加密释疑.pdfVIP

全同态加密释疑（一）：四个算法（1） 陈智罡 2009 年全同态加密（Fully Homomorphic Encryption）的诞生，不仅 是密码学界的一个大的突破（Breakthrough）,而且是计算机理论界的一 个突破。自从 2011 年创建了全同态加密 QQ 群，从几十号人到现在的 将近 200 人，来自各个大学，包括国外。可见人们对全同态加密研究 的热情。 另外在网上有 多同学问我一些问题，有些问题很雷同，可能也 是初学者必经之路。全同态加密的入 门确实比较难。作为一个过来者， 非常愿意分享我的一些心得，所以这里我会把一些共性的问题，用一 种深入浅出的方法讲述，希望每个人都能看懂。 其实在全同态加密论文的背后，有 多可以说出来的秘密，只不 过这个秘密在论文里没空间也不适合讲，那么这里就搞一个专题“全同 态加密释疑”，细说从头每个让你困惑的秘密。如果有愿意加入的朋 友，可以一起分享心得体会。 今天说说全同态加密的四个算法。可能有些人会说，这个谁不知 道，但是知道并不意味着清楚，只有深刻理解了这四个算法的含义，尤 其是第四个算法的含义，才能清楚什么是部分同态加密方案，什么是 执行自己的解密 电路等等概念。 通常一个公钥加密方案有三个算法：KeyGen 算法（密钥生成），Enc 算法（加密），Dec 算法（解密）。但是在全同态加密中，除了上述三个算 法之外，还包含第四个算法：Evaluate 算法（密文计算），这个算法的功 能是对输入的密文进行计算。 首先说说 KeyGen 算法（密钥生成）。该算法用于生成公钥和密钥， 公钥用于加密，私钥用于解密，这个地球人都知道。但是还可能生成 另外一种公钥，即密文计算公钥，我们把它称之为 Evk。 密文计算公钥 Evk 的作用是在执行 Evaluate 算法时用到，而且 Evk 的形式与使用的全同态方案直接相关。例如，如果是通过启动技 术（Bootstrapple）获得全同态加密，即每次密文计算前要用同态解密约 减密文的噪音，这时 Evk 就是对密钥的每一位加密后生成的密文，即 密钥有多少位，Evk 里包含的公钥就有多少个。Evk 中每个公钥的大 小就是使用 Enc 加密后产生密文的大小。典型的代表就是 Gentry 的理 想格方案以及后续的整数上的方案。 当然还有其他情况，例如，如果使用密钥交换与模交换技术获得 全同态加密，典型代表就是 BGV 方案。这时Evk 中包含的就是L–1 个 矩阵，L 是方案中电路的深度，该矩阵用于密钥转换。每次密文计算后， 都需要使用 Evk 中的公钥将维数扩张的密文向量转换成正常维数的 密文向量。 当然还有一种情况就是不需要 Evk，例如在 Crypto13 会议的论 文 GSW13 中，Gentry 使用的密文是矩阵（方阵），所以密文乘积或相加 不会产生密文维数改变的事情，所以在密文计算时没有用到公钥，这 也是该论文可以产生基于身份或基于属性全同态加密方案的根本原 因。 关于 Evk 就说了这么多，你觉得简单么？一个成功男人的背后， 有多少……，那么一个概念的背后就有多少个概念在支撑。千万别小 看了概念，只有善于抓概念，才能体会方案的脉络。 继续说全同态加密中的其他三个算法。 Enc 算法（加密）和我们平常意义的加密是一样的，但是在全同态 加密的语境里，使用 Enc 算法加密的密文，一般称之为新鲜密文，即 该密文是一个初始密文，没有和其他密文计算过。所以新鲜密文的噪 音称之为初始噪音。这个相当重要。 Dec 算法（解密）也和我们平常理解的一样，就是对密文的解密， 但是这里解密算法不仅能对初始密文解密，还能够对计算后的密文解 密。但是由于部分同态加密方案中密文存在噪音，例如在整数上的全 同态加密方案里，密文乘积的噪音是噪音之积，密文加法的噪音是噪 音之和。所以当密文计算到一定程度，其噪音将超过上限，所以对这 样的密文解密将可能失败。全同态加密的关键就是对噪音的控制，使 之能对任何密文解密。 最后一个算法：Evaluate 算法（密文计算），这个算法是整个全同 态加密四个算法中的核心。可以做个这样的比喻：前面三个算法是大 楼的地基，后面这个 Evaluate 算法就是大楼。这个比喻在后面会体会 到它的用意。密