同态加密之Paillier算法

同态加密之Paillier算法

0,背景介绍

同态加密,即原来在明文上的运算操作,经过同态加密后在密文上同样可以进行。一般有半同态和全同态加密之分:

  • 半同态加密 (Partial Homomorphic Encryption, PHE):只支持某些特定的运算法则 f ,PHE 的优点是原理简单、易实现,缺点是仅支持一种运算(加法或乘法)

  • 层次同态加密(Liveled HE,LHE):一般支持有限次数的加密算法,LHE 的优点是同时支持加法和乘法,并且因为出现时间比 PHE 晚,所以技术更加成熟、一般效率比 FHE 要高很多、和 PHE 效率接近或高于 PHE,缺点是支持的计算次数有限。

  • 全同态加密 (Fully Homomorphic Encryption, FHE):支持无限次的任意运算法则 f,FHE 有以下类别:基于理想格的 FHE 方案、基于 LWE/RLWE 的 FHE 方案等等。FHE 的优点是支持的算子多并且运算次数没有限制,缺点是效率很低,目前还无法支撑大规模的计算。

    第一个满足加法和乘法同态的同态加密方法直到2009年才由Craig Gentry提出。目前来说,全同态加密算法性能较差,应用较少。比较常用的是半同态加密算法,实现方式有 RSA (乘法同态)、Elgamal、Paillier (加法同态)等。

1,Paillier算法介绍

密钥生成
  1. 随机选择两个质数 p 和 q ,尽可能地保证 p 和 q 的长度接近或相等(安全性高);
  2. 计算 N=pq 和 λ=lcm(p−1,q−1),其中 lcm 表示最小公倍数;
  3. 随机选择 g∈Z∗N^2,满足 g c d ( L ( g λ m o d N 2 ) , N ) = 1 gcd(L(g^λ mod N^2),N)=1 gcd(L(gλmodN2),N)=1(后面会发现g=n+1满足条件,因此可以直接取g=n+1)。其中 Z 表示整数,下标表示该整数集合里有多少个元素;L(x)= x − 1 N \frac{x-1}{N} Nx1 μ = ( L ( g λ m o d N 2 ) ) − 1 m o d    N μ = (L(g^λ mod N^2))^{-1} \mod N μ=(L(gλmodN2))1modN
  4. 公钥为 (N,g);
  5. 私钥为(λ,μ)。
加密过程

对于任意明文消息 m ∈ Z N m∈Z_N mZN,任意选择一随机数 r ∈ Z N ∗ r∈Z_{N}^* rZN,计算得到密文 c :

c = E ( m ) = g m r N m o d    N 2 c=E(m)=g^mr^N \mod N^2 c=E(m)=gmrNmodN2

解密过程

对于密文$ c∈Z_{N2}*$,计算得到明文 m :

m = D ( c ) = L ( c λ m o d N 2 ) L ( g λ m o d N 2 ) m o d    N = L ( c λ m o d N 2 ) ∗ μ m o d    N m=D(c)=\frac{L(c^λ mod N^2)} {L(g^λmod N^2)} \mod N=L(c^λ mod N^2)*μ \mod N m=D(c)=L(gλmodN2)L(cλmodN2)modN=L(cλmodN2)μmodN

加法同态的性质

对于任意明文 m 1 , m 2 ∈ Z N m1,m2∈Z_N m1m2ZN和任意 r 1 , r 2 ∈ Z N ∗ r1,r2∈Z_N^* r1r2ZN,对应密文 c 1 = E [ m 1 , r 1 ] , c 2 = E [ m 2 , c 2 ] c1=E[m1,r1],c2=E[m2,c2] c1=E[m1,r1]c2=E[m2,c2]满足:

c 1 ⋅ c 2 = E [ m 1 , r 1 ] ⋅ E [ m 2 , r 2 ] = g m 1 + m 2 ⋅ ( r 1 ⋅ r 2 ) N   m o d   N 2 c_{1} \cdot c_{2}=E\left[m_{1}, r_{1}\right] \cdot E\left[m_{2}, r_{2}\right]=g^{m_{1}+m_{2}} \cdot\left(r_{1} \cdot r_{2}\right)^{N} \bmod N^{2} c1c2=E[m1,r1]E[m2,r2]=gm1+m2(r1r2)NmodN2

解密后得到:

D [ c 1 ⋅ c 2 ] = D [ E [ m 1 , r 1 ] ⋅ E [ m 2 , r 2 ]   m o d   N 2 ] = m 1 + m 2   m o d   N D\left[c_{1} \cdot c_{2}\right]=D\left[E\left[m_{1}, r_{1}\right] \cdot E\left[m_{2}, r_{2}\right] \bmod N^{2}\right]=m_{1}+m_{2} \bmod N D[c1c2]=D[E[m1,r1]E[m2,r2]modN2]=m1+m2modN

即我们得到了: c 1 ∗ c 2 = m 1 + m 2 c1*c2=m1+m2 c1c2=m1+m2密文乘等于明文加。

通过分析发现,密文乘时,含有的明文是在指数上相加的,所以解密后就可以得到明文相加结果。

为什么叫加法同态呢?我们一般希望密文计算的结果和我们明文计算的结果相同,所以对于密文上是如何计算的不做要求。这时我们在明文上实现了加法的目的,就叫它加法同态。由此还扩展出了同态加和标量乘的性质。

算法理论

image-20210430211703759

image-20210430212248163

由上式结论不难知道: μ = λ − 1 μ=λ^{-1} μ=λ1(g=n+1)。此外,还有 r λ n m o d    N 2 = 1 r^{λn}\mod N^2=1 rλnmodN2=1

image-20210430215554440

具体算法理论证明,参见:Paillier Cryptosystem理论与实践

2,pyhtotn—paillier算法演示

我们使用了 Python 实现的 paillier 算法来演示一些性质。你可以使用如下命令安装对应库:

pip install phe

具体使用可以参考:https://python-paillier.readthedocs.io/en/latest/usage.html

下面,我们使用 phe 演示 paillier 的同态加和标量乘的性质:

from phe import paillier # 开源库
import time # 做性能测试

# 测试paillier参数
print("默认私钥大小:",paillier.DEFAULT_KEYSIZE) #2048
# 生成公私钥
public_key,private_key = paillier.generate_paillier_keypair()
# 测试需要加密的数据
message_list = [3.1415926,100,-4.6e-12]
# 加密操作
time_start_enc = time.time()
encrypted_message_list = [public_key.encrypt(m) for m in message_list]
time_end_enc = time.time()
print("加密耗时s:",time_end_enc-time_start_enc)
# 解密操作
time_start_dec = time.time()
decrypted_message_list = [private_key.decrypt(c) for c in encrypted_message_list]
time_end_dec = time.time()
print("解密耗时s:",time_end_dec-time_start_dec)
# print(encrypted_message_list[0]) 
print("原始数据:",decrypted_message_list)

# 测试加法和乘法同态
a,b,c = encrypted_message_list # a,b,c分别为对应密文
# 该库中对运算符实现了重载,使得你可以调用原生加法的形式,实现密文加操作。其他类似

a_sum = a + 5 # 密文加明文
a_sub = a - 3 # 密文加明文的相反数
b_mul = b * 1 # 密文乘明文,数乘
c_div = c / -10.0 # 密文乘明文的倒数

# print("a:",a.ciphertext()) # 密文a的纯文本形式
# print("a_sum:",a_sum.ciphertext()) # 密文a_sum的纯文本形式

print("a+5=",private_key.decrypt(a_sum))
print("a-3",private_key.decrypt(a_sub))
print("b*1=",private_key.decrypt(b_mul))
print("c/-10.0=",private_key.decrypt(c_div))

##密文加密文
print((private_key.decrypt(a)+private_key.decrypt(b))==private_key.decrypt(a+b)) 
#报错,不支持a*b,因为通过密文加实现了明文加的目的,这和原理设计是不一致的,只支持密文加!
print((private_key.decrypt(a)+private_key.decrypt(b))==private_key.decrypt(a*b)) 

输出结果:

默认私钥大小: 2048
加密耗时s: 0.298203706741333
解密耗时s: 0.08876276016235352
原始数据: [3.1415926, 100, -4.6e-12]
a+5= 8.1415926
a-3 0.14159260000000007
b*1= 100
c/-10.0= 4.6e-13
True

原始输出:<phe.paillier.EncryptedNumber object at 0x0000021FA8D45948>

下面展示的是,密文 aa_sum 的纯文本形式:

59402891142220912790068722502588843510414373562474086568444315748957242223594078920692702271013040021606
29112250432729616200776837445868267160099504562745796573462667874006977486270005004189820621257201450835
95286290689356511561050034589378294988530870333018543952400509575823371263067029816952672878333126830199
12208986921271655792833132186568426198749835897197910518523286423616088832223047227419760673704533751712
17666234428220524541795748215492186778080201463384785587109650922059620488750810820610208353759446327756
63599761170876116801234201028756739014984640927821609310541862790081520353932541832508051248201224689389
71663888043725931695624971340812273609840037340618675924979637363755629958553531479895408203143871220295
05550200561549096636090938755444294278352869503185166386110051892134296990595405592705392561103207638003
58299869294954878475975767806121717680031375299808709846636140664504646588469799220716699577174744942216
0489667837064719419647257623775441380514437451891391616187946871983652962799313678571231605178482982326
3942066705749797498295563002464378551086469243477774964906861706671750457013160048780896569331434212131
5645646993448311004999193535756597976896791889897514267674569532234756593580678428717217091
72503789972362890158089713963923142946932275137588893873066060260427422987448615020129740650415793994752
89914787143889439442015281242884303543642312363896285439888638028819276270617056080815670329543098775127
01648905463852468828750987243184163793796212024326243852761255262543153843882913223989533033703680463022
71727615221928710774152910338734478251782313696907369252419028755395837984878232285620473166801574172888
35172348816395393891011504158756832693190296645131334844289995463159465758702843877243366545420812051251
20595297949908969862969103991096698666458256858767772032163810844027965959247950116209042132351109507381
25626236050597600784840500488126185028857207215899544807724315656285338191150222488171263042105422201126
01674978993960011727259811180024593649056933109263484562202650600338390529529146293807864287176022641931
02933996451449299729208060812106919417895728958945870762206977076872453871000988134106413514712523248078
2493633868758490307717011567853786767850059340632080574917712549872331152518228238328842712445996133798
9827856340292353285798162662355801872734068579393510255567521972004997436755561169253567131819320662420
4286175621171760105641223750257069280416238463223625810169297046868940677578803461625885257

3,pailler 应用于联邦学习

我们知道,HE 可以实现 FL 中的梯度计算。也即向量化的计算中,这里可以给个 case:

pk,sk = paillier.generate_paillier_keypair(n_length=1024)
data_enc = np.asarray([pk.encrypt(m) for m in data])
data = np.asarray([sk.decrypt(m) for m in enc_data])

4, 其他

最后提供一个go 版本 的 paillier 实现 :https://github.com/Roasbeef/go-go-gadget-paillier

另外,目前已不推荐自行调用和封装 phe 库了。可以关注蚂蚁的 secretflow 项目,里面提供了丰富的 隐私计算工具。

评论 74
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值