半同态加密算法Smart-Vercauteren论文解析

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

---

论文题目：
Fully Homomorphic Encryption with RelativelySmall Key and Ciphertext Sizes

摘要

我们提出了一个完全同态的加密方案，它的密钥和密码大小都比较小。我们的结构与Gentry的结构相同，从 "SWHE "同态的方案中产生一个完全同态的方案。对于有点同态的方案，公钥和私钥由两个大整数组成（其中一个由公钥和私钥共享），密码文本由一个大整数组成。因此，我们的方案比Gentry的原始方案具有更小的信息扩展和密钥大小。此外，我们的方案允许在任何二特征域上进行高效的完全同态加密。

---

1. 引言

长久以来，完全同态的公钥加密方案一直是密码学的 “圣杯”。在去年，这个问题被Gentry[7,8]利用理想格子的特性解决了。各种加密方案都使用了格子，有时只是为了争论其安全性（如NTRU[11]），在其他情况下，格子对理解方案算法的工作原理至关重要（如[9]）。Gentry的全同态方案就属于后一种情况。在本文中，我们提出了一个完全同态的方案，它可以用代数数域的基本理论来描述，因此我们不需要格子来理解其加密和解密操作。然而，我们的方案确实属于这样一类方案，其最知名的攻击是基于格子的。

在高层次上，我们的方案非常简单，主要是由一个整数$N$作为参数（还有其他参数，但不太重要）。公钥由一个素数$p$和一个以$p$为模数的整数$\alpha$组成。私钥由一个整数$z$（如果我们要加密比特）或一个$N-1$次的整数多项式$Z(x)$组成（如果我们要加密$N-1$次的一般二进制多项式）。为了加密一个信息，我们把信息编码为一个二进制多项式，然后通过添加两次小的随机多项式使信息随机化。为了获得密码文本，所产生的多项式被评估为$\alpha$模数$p$。因此，密码文本只是一个整数模数$p$（不管我们是在加密比特还是$N-1$次的二进制多项式）。

在我们知道信息是单比特的情况下，为了解密，我们将密码文本乘以$z$，然后除以$p$，然后将这个有理数四舍五入到最接近的整数值，然后从密码文本中减去这个结果。然后通过减少这个中间结果来恢复明文的模数。当我们解密一个二进制多项式时，我们遵循同样的程序，但这次我们乘以多项式$Z(x)$并除以$p$，以获得一个有理多项式。将这个多项式的系数四舍五入到最接近的整数，从原始密码文本中减去，再减去$2$的模数，就能再次恢复明文。

2. 简介

2.1 符号

给定一个多项式$g(x)={\sum }_{i=0}^t{g}_i{x}^i\in \mathbb{Q}[x]$，我们定义2范数和$\infty$范数为：
$$||g(x)|{|}_2=\sqrt{\sum _{i=1}^t{g}_i^2}and||g(x)|{|}_{\infty }=max|g_i|,i=0,...,t$$

对于一个正值$r$，我们定义了两种相应类型的以原点为中心的 “球”。

我们得到一个通用的含义${\mathcal{B}}_{2,N}(r)\subset {\mathcal{B}}_{\infty ,N}(r)$和${\mathcal{B}}_{\infty ,N}(r)\subset {\mathcal{B}}_{2,N}(\sqrt{N},r)$。同时，我们定义半球为：

本文中所有对奇数$m$的还原都被定义为在$[-(m-1)/2,...,(m-1)/2]$范围内产生一个值。符号$a\leftarrow b$，意味着将左边的值分配给右边的值。而$a{\leftarrow }_{R}A$，其中$A$是一个集合，意味着用均匀分布从集合$A$中选择一个。

2.2 数域中的理想

由于我们方案的基本运作是基于一个数域中的素数理想，我们首先回顾一下一些基本属性。关于所需的基本计算数论的介绍，见[4]。[公式]

假设$K$是一个数域$\mathbb{Q}(\theta )$，其中$\theta$是$N$次不可约多项式$F(x)\in \mathbb{Z}[x]$的根。考虑整数环${\mathcal{O}}_K$内的方程阶$\mathbb{Z}[\theta ]$。对于我们的参数选择，我们通常有${\mathcal{O}}_K=\mathbb{Z}[\theta ]$，但在一般情况下不需要这样做。我们的方案适用于$\mathbb{Z}[\theta ]$中假定与索引$[{\mathcal{O}}_K:\mathbb{Z}[\theta ]]$共质的理想，因此与在$O_K$中工作没有什么区别。这些理想可以用两种方式中的一种表示，即用一个$N$维的$Z$基或用一个双元素的$\mathbb{Z}[\theta ]$基。当把一个理想$a$表述为$N$维$Z$基时，我们给出N个元素${\gamma }_1,...,{\gamma }_N\in \mathbb{Z}[\theta ]$，$a$中的每个元素都由${\gamma }_1,...,{\gamma }_N$生成的$Z$模表示。通常的做法是把这个基表述为一个$n\times n$矩阵。然后将矩阵设为$({\gamma }_{i,j})$，其中我们设定${\gamma }_i={\sum }_{j=0}^{N-1}{\gamma }_{i,j}{\theta }^j$，即我们采取面向行的表述。对这个基础进行Hermite Normal Form (HNF,埃尔米特正规形式)将产生一个下三角基础，其中对角线$(d_1,...,d_N)$满足$d_{i+1}|d_i$。请注意，基的HNF的最后一个属性只适用于对应于理想的矩阵[5]（他们使用不同的方向）。

然而，每一个这样的理想也可以用一个$Z[\theta ]$基来表示，这个基由两个元素组成，$〈{\delta }_1,{\delta }_2〉$。对于位于有理素数$p$之上的理想，很容易写出一个理想的双元素表示。如果我们将$F(x)$的模数$p$分解成不可还原的多项式

那么，对于$p$不除以$[{\mathcal{O}}_K:\mathbb{Z}[\theta ]]$，除以$p\mathbb{Z}[\theta ]$的素数理想是由两个元素表示的

我们定义$p_i$的剩余度等于多项式$F_i(x)$的度数$d_i$。对$p_i$的还原产生了一个同态性

我们将对残余度为1的素理想特别感兴趣。如果$\chi \in \mathbb{Z}[\theta ]$是由$\chi ={\sum }_{i=0}^{N-1}{c}_i{\theta }^i$给出的，那么同构${\iota }_p$就对应于α中的多项式$\chi (\theta )$的评价，而$\alpha$是$p$ 的模数。

给定一个形式为$〈p,\theta -\alpha 〉$的素数理想，相应的HNF表示法的构造非常简单，而且与两元素表示法密切相关，我们现在将展示。我们需要对$2N\times N$的矩阵进行行还原

其中$F(x)={\sum }_{i=0}^N{F}_i{x}^i$。不难看出，上述矩阵的HNF由以下公式给出

其中第一列中的所有整数，在第二行和以后，都是以$p$为模数的。

3 Somewhat同态方案

在本节中，我们将介绍我们的同态方案并分析哪些参数集解密有效。为了简化演示，我们在这一点上将方案介绍为仅加密 P = { 0 , 1 } \mathcal P=\{0,1\} P={0,1}中的元素的方案。

3.1 实现方案

一个有点同态的加密方案由五种算法组成：{KeyGen,Encrypt,Decrypt,Add,Mult}。 我们将依次描述每一个； 请注意，最复杂的阶段是 KeyGen。 该方案由三个值$(N、\eta 、\mu )$参数化。 一组典型的参数是$(N,2^{\sqrt{N}},\sqrt{N})$。稍后我们将返回讨论这些值的大小对安全级别 $\lambda$ 和方案性能的影响。

KeyGen():
– 设置明文空间为 P = { 0 , 1 } \mathcal P=\{0,1\} P={0,1}
– 选择一个 $N$次不可约多项式 $F(x)\in \mathbb{Z}[x]$
– 重复：

– 直到 $p$ 是素数
– $D(x)\leftarrow gcd(G(x),F(x))$ 超过 ${\mathbb{F}}_p[x]$
– 令 $\alpha \in {\mathbb{F}}_p$ 表示 $D(x)$ 的唯一根
– 在 $\mathbb{Q}[x]$ 上应用 XGCD 算法得到 $Z(x)={\sum }_{i=0}^{N-1}{z}_i{x}_i\in \mathbb{Z}[x]$ 使得

– $B\leftarrow z_0(mod2p)$
– 公钥是 $PK=(p,\alpha )$，而私钥是 $SK=(p,B)$。

---