公钥密码体制-Paillier (一)

背景

Paillier 加密系统是 Pascal Paillier 在 1999 年发明的。属于公钥密码体制范畴。至于什么是公钥密码体制，在RSA 中已经介绍，这里直接介绍算法的原理。

数论基础

基础部分

一些基础的数论基础可以在 数论基础 看到，可以先对模运算和欧拉定理有个初步了解。

数阶和原根

整数的阶

定义： 对于 $gcd(a,n)=1$, 即 $a,n$ 互素的整数，满足 $a^r\equiv 1(modn)$ 的最小整数 $r$, 称为 $a$ 模 $n$ 的阶。符号表示为 $or{d}_{n}a$。
举个例子，2模 7 的阶：
$2^1\equiv 2(mod7),2^2\equiv 4(mod7),2^3\equiv 1(mod7)$。
那么我们说 2 模 7 的阶就是 3，记为 $or{d}_7=3$；

原根

定义：设 $n$ 是正整数，$a$ 为整数，当 $a$ 模 $n$ 的阶为 $\varphi (n)$，此时称 $a$ 为模 $n$ 的一个原根。
举个例子，设 $n$ 为 7， $a$ 为 3：
$3^1\equiv 3(mod7),3^2\equiv 2(mod7),3^3\equiv 6(mod7),3^4\equiv 4(mod7),3^5\equiv 5(mod7),3^6\equiv 1(mod7)$，我们知道 $\varphi (7)=6$。
所以说 3 为模 7 的原根。
我们发现，这些余数构成了模 7 的剩余类，其实对于任意的 $a$,都可以找到 $x$,使得 $3^x\equiv a(mod7)$。

卡迈克尔函数 Carmichael function

在数论中，卡迈克尔函数的定义为：设$gcd(a,n)=1$使得 $a^m\equiv 1(modn)$ 成立的最小正整数$m$，将$m$记作$\lambda (n)$。
下图是一张卡迈克尔函数$\lambda (n)$与欧拉函数$\varphi (n)$的对比表:

n	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16
$\lambda (n)$	1	1	2	2	4	2	6	2	6	4	10	2	12	6	4	4
$\varphi (n)$	1	1	2	2	4	2	6	4	6	4	10	4	12	6	8	8

示例

对于 8 的卡迈克尔函数是2，即$\lambda (8)=2$，即对于任意的 $a$ 满足 $gcd(a,8)=1$,有 $a^2\equiv 1(mod8)$，也就是说 $1^2\equiv 1(mod8)，3^2\equiv 1(mod7)，5^2\equiv 1(mod8)，7^2\equiv 1(mod8)$。
而对于欧拉函数来说，$\varphi (8)=4$，因为欧拉函数只需要满足与 8 互素的 $a$，有 $a^4\equiv 1(mod8)$，不需要满足 $a$ 是最小的。

卡迈克尔函数的一些特性

设 $n=pq$，其中 $p$ 和 $q$ 是大素数，那么 $\varphi (n)=(p-1)(q-1)$，$\lambda (n)=lcm(p-1,q-1)$，lcm 为求最小公倍数。其中$｜{\mathbb{Z}}_{n^2}^{\ast }｜=\varphi (n^2)=n\varphi (n)$，对于任意 $\omega \in {\mathbb{Z}}_{n^2}^{\ast }$，有如下性质：
$$\{\begin{array}{l}{\omega }^{\lambda }=1modn\\ {\omega }^{n\lambda }=1mod{n}^2\end{array}$$

其它

设$1+n\in {\mathbb{Z}}_{n^2}^{\ast }$。
那么，
$(1+n{)}^2\equiv 1+2n+n^2\equiv (1+2n)mod{n}^2$
$(1+n{)}^3\equiv 1+3n+n^3\equiv (1+3n)mod{n}^2$
$(1+n{)}^v\equiv 1+v\ast n+[n的高次幂]\equiv (1+v\ast n)mod{n}^2$

以上这些就是推导Paillier 算法所需要的数论知识。