Paillier解密正确性[Paillier密码体制]

Public-Key Cryptosystems Based on Composite Degree Residuosity Classes

原论文链接:http://link.springer.com/10.1007/3-540-48910-X_16

摘要

本文研究了一个新的计算问题，即合数剩余类问题(Composite Residuosity Class Problem)及其在公钥密码中的应用。我们提出了一种新的陷门机制，并从中导出了三种加密方案：一种陷门置换和两种计算上可与RSA相当的同态概率加密方案。我们的密码系统基于通常的模算法，在标准模型的适当假设下是可证明安全的。

Carmichael函数

我们设$n=pq$，其中$p$和$q$是大素数：通常，我们将用$\varphi (n)$表示欧拉函数、用$\lambda (n)$表示Carmichael函数，即在当前情况下$\varphi (n)=(p-1)(q-1)$和$\lambda (n)=lcm(p-1,q-1)$。其中$\left|{\mathbb{Z}}_{n^2}^{\ast }\right|=\varphi \left(n^2\right)=n\varphi (n)$。对于任意的$w\in {\mathbb{Z}}_{n^2}^{\ast }$，有如下性质：

$$\{\begin{array}{l}{w}^{\lambda }=1\mathrm{m}\mathrm{o}\mathrm{d}n\\ w^{n\lambda }=1\mathrm{m}\mathrm{o}\mathrm{d}{n}^2\end{array}$$

可以用Carmichael定理证明:

$\lambda (n^2)=lcm(\lambda (q^2),\lambda (p^2))=lcm(\varphi (q^2),\varphi (p^2))=lcm(q(q-1),p(p-1))=pq(lcm(p-1,q-1))=n\lambda (n)$

因此，$$w^{\lambda (n^2)}=w^{n\lambda }\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}{n}^2$$

确定合数剩余(Deciding Composite Residuosity)

本文首先简要介绍了合数剩余是高阶的一个自然实例，并给出了一些基本的相关事实。我们设置的独到之处在于使用平方数作为模。如前所述，$n=pq$是两个大素数的乘积。

Definition $1.$ A number $z$ is said to be a n-th residue modulo $n^2$ if there exists $a$ number $y\in {\mathbb{Z}}_{n^2}^{\ast }$ such that
$$z=y^n\mathrm{m}\mathrm{o}\mathrm{d}{n}^2$$

由第$n$项剩余组成的集合构成了${\mathbb{Z}}_{n^2}^{\ast }$的一个$\varphi (n)$阶的乘法子群。每个第$n$项剩余$z$都正好拥有$n$个$n$阶的根,其中只有一个是严格小于$n$的，即$\sqrt[n]{z}$ mod $n$。第$n$项剩余都可以写成$(1+n{)}^x=1+xn\mathrm{m}\mathrm{o}\mathrm{d}{n}^2$的形式。

文章推测，要找出模$n^2$的第n项剩余是个困难问题，记为$\mathrm{C}\mathrm{R}[n]$

Conjecture $2.$ There exists no polynomial time distinguisher for $n$ -th residues modulo $n^2,$ i.e. $\mathrm{C}\mathrm{R}[n]$ is intractable.

计算合数剩余度类

令$g$是${\mathbb{Z}}_{n^2}^{\ast }$中元素，${\mathcal{E}}_g$是一个映射：
$$\begin{array}{rl}{\mathbb{Z}}_n\times {\mathbb{Z}}_n^{\ast }& ⟼{\mathbb{Z}}_{n^2}^{\ast }\\ (x,y)& ⟼g^x\cdot y^n\mathrm{m}\mathrm{o}\mathrm{d}{n}^2\end{array}$$
${\mathcal{E}}_g$拥有一些有趣的性质，比如：

Lemma 3. If the order of $g$ is a nonzero multiple of $n$ then ${\mathcal{E}}_g$ is bijective.
如果$g$是$n$的一个非零倍数，那么${\mathcal{E}}_g$是双射的。

Definition 4. Assume that $g\in \mathcal{B}.$ For $w\in {\mathbb{Z}}_{n^2}^{\ast },$ we call $n$ -th residuosity class of $w$ with respect to $g$ the unique integer $x\in {\mathbb{Z}}_n$ for which there exists $y\in {\mathbb{Z}}_n^{\ast }$ such that
$${\mathcal{E}}_g(x,y)=w$$

Lemma 5. $[w{]}_g=0$ if and only if w is a n-th residue modulo $n^2$. Furthermore,
$$\forall w_1,w_2\in {\mathbb{Z}}_{n^2}^{\ast }{\left[w_1{w}_2\right]}_g={\left[w_1\right]}_g+{\left[w_2\right]}_g\mathrm{m}\mathrm{o}\mathrm{d}n$$
that is, the class function $w\mapsto [w{]}_g$ is a homomorphism from $\left({\mathbb{Z}}_{n^2}^{\ast },\times \right)$ to $\left({\mathbb{Z}}_n,+\right)$ for any $g\in \mathcal{B}$

$$\mathrm{L}(u)=\frac{u-1}{n}$$

Paillier加密

Encryption :
$g=n+1$是${\mathbb{Z}}_{n^2}^{\ast }$的一个生成元
plaintext $m<n$
select a random $r<n$
$$\text{ ciphertext }c=g^m\cdot r^n\mathrm{m}\mathrm{o}\mathrm{d}{n}^2$$
Decryption :
ciphertext $c<n^2$
$$\text{ plaintext }m=\frac{\mathrm{L}\left(c^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2\right)}{\mathrm{L}\left(g^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2\right)}\mathrm{m}\mathrm{o}\mathrm{d}n$$

正确性：

$c^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2=g^{m\lambda }{r}^{n\lambda }\equiv g^{m\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2=(1+n{)}^{m\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2=1+nm\lambda \mathrm{m}\mathrm{o}\mathrm{d}{n}^2$
$g^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2=(1+n{)}^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2=1+\lambda n\mathrm{m}\mathrm{o}\mathrm{d}{n}^2$

$\mathrm{L}(c^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)=m\lambda \mathrm{m}\mathrm{o}\mathrm{d}{n}^2$
$\mathrm{L}(g^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)=\lambda \mathrm{m}\mathrm{o}\mathrm{d}{n}^2$

所以，

$$m=\frac{\mathrm{L}\left(c^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2\right)}{\mathrm{L}\left(g^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2\right)}\mathrm{m}\mathrm{o}\mathrm{d}n$$