同态加密(1) GSW加密方案

GSW方案是由Craig Gentry¹, Amit Sahai与Brent Waters于2013年提出的方案, 发表于论文[GSW13] ²中.

GSW方案确实如论文标题一样, 概念清晰明了, 其Intuition简单到一个刚学完线性代数的大一新生也能理解. GSW还支持基于属性的加密, 但本文中我们将不介绍这一部分内容.

当然, 完全理解GSW方案仍然需要用到一些比较进阶的知识, 如LWE问题的困难性等. 我们在本文中不会对这些知识做过多的介绍, 这些知识将在今后其他的博文中介绍. 关于同态加密的基础知识可以参阅博文同态加密(0) 基础概念, 这篇博文完成后, 地址将被更新到这里.

Basic Intuition

密文的基本格式

最基本的GSW同态加密方案的私钥($sk$)是一个向量$\mathbf{v}\in {\mathbb{Z}}_q^N$³, 而所有的明文 μ i ∈ { 0 , 1 } \mu_i\in\{0,1\} μi​∈{ 0,1}都被加密一个矩阵$C_i\in {\mathbb{Z}}_q^{N\times N}$中, 其中$C_i$是以$v$为近似特征向量并以${\mu }_i$为近似特征值的矩阵, 即我们要求
$$C_i\mathbf{v}\approx {\mu }_i\mathbf{v}$$

这里可以看出， 我们只需要挑选$\mathbf{v}$中非$0$的位(最好是选较大的位), 如第$j$位$v_j$, 并比较$v_j$与${\mu }_i{v}_j$的值就可以解出${\mu }_i$的值.

一个需要注意的地方就是, 虽然${\mu }_i$取自 { 0 , 1 } \{0,1\} { 0,1}, 但被视作是${\mathbb{Z}}_q$中的元素, 因此具体的运算也是按照${\mathbb{Z}}_q$的运算方式来进行.

我们也可以将噪声(error)显式地写出来, 记作
$$C_i\mathbf{v}={\mu }_i\mathbf{v}+\mathbf{e}$$
其中$\mathbf{e}$是非常小的向量. 因此可以看出, 如果$\mathbf{e}$确实是一个较小的噪声, 那么我们就可以正确地解出${\mu }_i$.

乘法同态性质

现在我们来验证该加密方案具有同态性质. 现在假设有两个密文$C_1,C_2$, 对对应的明文分别是${\mu }_1,{\mu }_2$, 即
$$\begin{gathered} C_1\mathbf{v}={\mu }_1\mathbf{v}+{\mathbf{e}}_1 \\ {C}_2\mathbf{v}={\mu }_2\mathbf{v}+{\mathbf{e}}_2 \end{gathered}$$
其中${\mathbf{e}}_1,{\mathbf{e}}_2$均为较小的噪声, 那么令$C^{\times }=C_1\cdot C_2$, 我们检验$C^{\times }$的解密结果
$$\begin{array}{rl}{C}^{\times }\mathbf{v}& =(C_1\cdot C_2)\mathbf{v}=C_1({\mu }_2\mathbf{v}+{\mathbf{e}}_2)={\mu }_2({\mu }_1\mathbf{v}+{\mathbf{e}}_1)+C_1{\mathbf{e}}_2\\ & ={\mu }_1{\mu }_2\mathbf{v}+{\mu }_2{\mathbf{e}}_1+C_1{\mathbf{e}}_2\end{array}$$
这里可以看出, ${\mu }_2{\mathbf{e}}_1$确实是一个比较小的噪声项, 但是要让$C^{\times }$的噪声比较小, 那么就需要让$C_1$是一个较小的矩阵(即其最大的元素较小), 我们稍后会解释如何做到这一点.

虽然说是乘法同态性质, 但是由于 μ i ∈ { 0 , 1 } \mu_i\in\{0,1\} μi​∈{ 0,1}, 我们也可以将 C × C^\times