同态加密：Paillier算法

Paillier算法分析

本文参考知乎上一篇关于paillier算法的分析，纠正了一点错误，推理过程更加详细。

证明：

因为
$$\lambda =lcm(p-1,q-1)$$
所以
$$p-1|\lambda ，q-1|\lambda =>\lambda =a(p-1)=b(q-1)$$
由费马小定理可得

$$g^{\lambda }=g^{a(p-1)}\equiv 1modp=>p|g^{\lambda }-1$$
同理
$$g^{\lambda }=g^{b(q-1)}\equiv 1modp=>q|g^{\lambda }-1$$
因为p、q互素【见定理1】

所以
$$pq|g^{\lambda }-1=>n|g^{\lambda }-1=>g^{\lambda }\equiv 1modn=>g^{\lambda }=k_{1}n+1$$
同理
$$r^{\lambda }=k_{2}n+1$$

$$c^{\lambda }=(g^m{r}^n{)}^{\lambda }mod(n^2)=g^{m\lambda }mod(n^2).r^{n\lambda }mod(n^2)=(k_{1}n+1{)}^{m}mod(n^2).(k_{2}n+1{)}^{n}mod(n^2)$$
有以下性质
$$\begin{gathered} （kn+1)mod(n^2)=kn+1 \\ （kn+1{)}^{2}mod(n^2)=2kn+1 \\ （kn+1{)}^{3}mod(n^2)=3kn+1 \\ ... \\ （kn+1{)}^{m}mod(n^2)=mkn+1 \end{gathered}$$
所以
$$c^{\lambda }=(m{k}_{1}n+1)mod(n^2).(k_2{n}^2+1)mod(n^2)=(m{k}_{1}n+1)mod(n^2)$$
所以
$$\frac{L(c^{\lambda }mod(n^2))}{L(g^{\lambda }mod(n^2))}=\frac{\frac{m{k}_{1}n}{n}}{\frac{k_{1}n}{n}}=m$$

加法同态性质分析

对明文$m_1$和$m_2$加密后，分别得到
$$\begin{gathered} E(m_1)=g^{m_1}{r}_1^{n}mod(n^2) \\ E(m_2)=g^{m_2}{r}_2^{n}mod(n^2) \end{gathered}$$

那么
$$E(m_1).E(m_2)=g^{(m_1+m_2)}(r_1.r_2{)}^n=E(m_1+m_2)$$

证明过程使用到的定理:

1.费马小定理：

2.定理1

3.定理2