公钥密码体制-Paillier (二)

背景

对必要的数论知识需要补充的，需要先阅读 公钥密码体制-Paillier (一) 。
也可以先阅读维基上对 Paillier 的说明。

算法

密钥生成

1. 随机选择两个大素数 $p$ 和 $q$，保证 $gcd(pq,(p-1)(q-1))=1$；
2. 计算 $n=pq$ 和 $\lambda (n)=lcm(p-1,q-1)$，$lcm$ 是取最小公倍数；
3. 在 ${\mathbb{Z}}_{n^2}^{\ast }$随机选择一个整数 $g$，即 $g\in {\mathbb{Z}}_{n^2}^{\ast }$，（${\mathbb{Z}}_{n^2}^{\ast }$ 表示在 $n^2$ 剩余类中，与 $n^2$ 互素的数）；
4. 对于刚才选择的 $g$，要确保 $n$ 可以整除 $g$ 的阶。可以利用下面的模运算检验 $g$ 是否合格：$\mu =(L(g^{\lambda }mod{n}^2){)}^{-1}modn$, 其中 $L(x)=\frac{x-1}{n}$。其实就是相当于检测 $L(g^{\lambda }mod{n}^2)$ 在模 $n$ 的情况是否有逆元。如果选择的 $g$ 可以保证可以被 $n$ 整除，它其实是可以保证有逆元的要求的；
   注意：公式 $\frac{a}{b}$，不是模运算乘法中的 $a$ 乘以 $b$ 的倒数，而是普通算法运算的 $a$ 除以 $b$。
5. 使用 $(n,g)$ 作为公钥，使用 $(\lambda ,\mu )$ 作为私钥。

快速生成密钥

如果使用相同长度的 $p，q$，可以快速生成密钥。比如选 $g=n+1$，因为很明显 $n+1\in {\mathbb{Z}}_{n^2}^{\ast }$。$(1+n{)}^n\equiv 1+n\ast n\equiv 1mod{n}^2$，$n$ 是 1+n 模 $n^2$ 的阶，$n$ 本身也是 $n$ 的一倍。此时的 $g$ 满足要求。
我们也可以算一下，$\mu =(L(g^{\lambda }mod{n}^2){)}^{-1}modn$。
由于 $\lambda (n)=\varphi (n)=(p-1)\ast (q-1)$，$g=n+1$，所以 $g^{\lambda }mod{n}^2=(1+n{)}^{\lambda }mod{n}^2\equiv (1+\lambda \ast n)mod{n}^2=1+\lambda \ast n$。（因为 $1+\lambda \ast n$ 小于 $n^2$）。
所以 $L(g^{\lambda }mod{n}^2)=L(1+\lambda \ast n)=\lambda$。
所以 $\mu =\varphi (n{)}^{-1}modn$。即 $u$ 为 $\varphi (n)$ 在模 $n$ 下的逆元。

加密

1. 设明文为 $m$ ，$m$ 满足 $0\le m\le n$；
2. 选择一个随机数 $r$，满足 $0<r<n$ ，严格地说 $r\in {\mathbb{Z}}_n^{\ast }$；
3. 计算密文：$c=g^m\ast r^{n}mod{n}^2$；

解密

1. $c$ 为要被解密的密文，其实 $c\in {\mathbb{Z}}_{n^2}^{\ast }$（可被证明）；
2. 计算明文为 $m=L(c^{\lambda }mod{n}^2)\ast \mu modn$。

算法原理

背景

我们要先看看加密过程，从集合映射角度发生了什么事情。我们先看一下映射公式：
${\epsilon }_g：{\mathbb{Z}}_n\ast {\mathbb{Z}}_n^{\ast }\to {\mathbb{Z}}_{n^2}^{\ast }$
${\epsilon }_g(x,y)\to g^x\ast y^{n}mod{n}^2$, ($x\in {\mathbb{Z}}_n,y\in {\mathbb{Z}}_n^{\ast },g和n满足密钥生成时的要求)$
描述为，从 ${\mathbb{Z}}_n$ 集合中取一个元素 $x$， 从 ${\mathbb{Z}}_n^{\ast }$ 集合中取出一个元素 $y$，使用映射函数 $g^x\ast y^{n}mod{n}^2$ 映射到集合 $Z_{n^2}^{\ast }$ 中。
可以证明，当 $g$ 满足模 $n^2$ 的阶是 $n$ 的整数倍时，上述映射是双射的。
引理：两个具有相同阶的有限集合 A, B，构成的函数 $f:A\to B$是双身的，当且仅当这个函数是单身的。
证明：由于 $|{\mathbb{Z}}_{n^2}^{\ast }|=\varphi (n^2)=n\ast \varphi (n)=|{\mathbb{Z}}_n\ast {\mathbb{Z}}_n^{\ast }|$，这说明两个集合具有相同的阶。所以我们只用证明映射函数是单射的。即不同 $x,y$ 对使用映射函数计算后得到不同值。
假设若存在，$x_1,y_1,x_2,y_2$，使 $g^{x_1}{y}_1^n=g^{x_2}{y}_2^{n}mod{n}^2$（两对数映射到相同的数）。那么 $g^{x_1-x_2}(\frac{y_1}{y_2}{)}^n=1mod{n}^2$ （因为可以证明 $g^x{y}^n$ 与 $n^2$ 互质，即存在乘法逆元）。于是 $$\begin{gathered} g^{\lambda (x_1-x_2)}(\frac{y_1}{y_2}{)}^{\lambda \\ n}=1mod{n}^2 \end{gathered}$$，根据 卡迈克尔函数的性质 ，$$\begin{gathered} (\frac{y_1}{y_2}{)}^{\lambda \\ n}=1mod{n}^2 \end{gathered}$$（$y_1,y_2^{-1}$ 都是 ${\mathbb{Z}}_{n^2}^{\ast }$ 的元素，所以乘积也和 $n^2$ 互质），因此 $g^{\lambda (x_1-x_2)}=1mod{n}^2$。这说明 $\lambda \ast (x_1-x_2)$ 是 $g$ 的阶的倍数，又由于 $g$ 的阶是 $n$ 的整数倍，所以 $n|\lambda \ast (x_1-x_2)$，又因为 $gcd(\lambda ,n)=1$ 且 $x_1,x_2\in \mathbb{Z}$，所以 $x_1=x_2$。代入上面的式子得到 $(\frac{y_1}{y_2}{)}^n=1mod{n}^2$，那么说明 $\frac{y_1}{y_2}$ 的阶 $k$ 可以整除 $n$ 即 $k|n$，又因为 $k|\lambda$，$gcd(\lambda ,n)=1$，所以说 $k=1$。只有 $y_1=y_2$ 时，上式才可能成立。
所以说不同的 $x,y$ 对使用映射函数计算后得到不同值。即映射是单身的，又因为两个集合阶数相同，所以它们是双射的。
这说明，当选择了一个符号条件的 $g$ 后，给定任何一个属于 ${\mathbb{Z}}_{n^2}^{\ast }$ 的元素 $w$ ，使用上述的映射函数，只有一组 $(x,y)$ 与之对应。
我们定义一个符号 $[w{]}_g=x$，表示，在使用符合条件的 $g$ 的情况下，表示与 $w$ 对应的 ${\mathbb{Z}}_n$ 元素组成的集合里的值。
由于 $g\in {\mathbb{Z}}_{n^2}^{\ast }$，所以 $g$ 应该也有个与之对应的元素，又如“快速生成密钥”一节所说，$n+1$ 也是满足上述条件的一个 $g^{,}$ （此处的 $g^{,}$ 特意区分开），所以符合条件的 $g$ 总是可以被表示为 $g={\epsilon }_{(n+1)}(t,z)=(n+1{)}^t{z}^{n}mod{n}^2，t=[g{]}_{(n+1)}$（n+1 相当于了生成元）。

加密过程

$c\equiv g^m{r}^{n}mod{n}^2$
$\equiv [(n+1{)}^t{z}^n){]}^m{r}^{n}mod{n}^2$

解密过程

证明:
$m=L(c^{\lambda }mod{n}^2)\ast \mu modn$；
先计算 $c^{\lambda }\equiv (g^m{r}^n{)}^{\lambda }mod{n}^2\equiv g^{m\lambda }\ast r^{n\lambda }mod{n}^2$，由卡迈克尔定理可以 $r^{n\lambda }\equiv 1mod{n}^2$，所以 $c^{\lambda }\equiv g^{m\lambda }mod{n}^2$；
代入 $g$，可得 $c^{\lambda }\equiv [(n+1{)}^t{z}^n){]}^{m\lambda }mod{n}^2\equiv (n+1{)}^{tm\lambda }\ast z^{nm\lambda }mod{n}^2\equiv (n+1{)}^{tm\lambda }mod{n}^2\equiv (1+t\lambda mn)mod{n}^2$
代入 $L(x)$ 中有 $L(c^{\lambda }mod{n}^2)=t\lambda mmodn$。
再计算 $\mu =(L(g^{\lambda }mod{n}^2){)}^{-1}modn$。
$g^{\lambda }mod{n}^2\equiv [(n+1{)}^t{z}^n){]}^{\lambda }mod{n}^2\equiv (1+t\lambda n)mod{n}^2$，即
$u\equiv (t\lambda {)}^{-1}modn$，
所以 $L(c^{\lambda }mod{n}^2)\ast \mu modn=m\ast t\lambda \ast (t\lambda {)}^{-1}modn=m$。
证毕。

同态性质

同态加法

两个密文的乘积将解密为对应的明文之和。
证明：
由上面证明可知 $D(E(m,r))=m$，即 $D(g^m{r}^{n}mod{n}^2)=m$。
$D(E(m_1,r_1)\ast E(m_2,r_2)mod{n}^2)=D(g^{m_1}{r}_1^n\ast g^{m_2}{r}_2^{n}mod{n}^2)=D(g^{m_1+m_2}\ast (r_1{r}_2{)}^{n}mod{n}^2)=m_1+m_2$。
另外该加密算法还有其它性质。

后记

Paillier 加密算法利用了陷门函数的性质，即根据 $x$ 计算出 $w$ 比较简单，但反向计算困难，除非知道 $\lambda (n)$，但这需要 $n$ 的分解，众所周知，大数的素数分解是个难题。
该算法的明文空间大小为 $n$，密文空间大小为 $n\ast \varphi (n)$。