隐私计算相关密码学知识

一些数论知识

1、欧拉函数：对于正整数 $n$，$\phi (n)$ 代表「小于 $n$ 的正整数中和 $n$ 互质的数」的个数，这个函数被称为欧拉函数

2、欧拉定理：若$m$与$n$互质，那么$m^{\phi (n)}\mathrm{mod}n=1$。（互质是公约数只有1的两个整数，也称互素）

性质：

1）$n$和$m$互质时，满足 $\phi (nm)=\phi (n)\phi (m)$

2）对于质数 $p$ ，它的欧拉函数值 $\phi (p)=p-1$。

证明：因为p为质数，所以比它小的数都和它互质，即在1~p中有p-1个数和它互质。

3、同余式

设m是大于1的正整数，a，b是整数，如果m|(a-b)，则称a与b关于模m同余，记作$a\equiv b(\mathrm{mod}m)$，读作a同余于b模m。

性质：
1）若$a\equiv b(\mathrm{mod}m)$、$c\equiv d(\mathrm{mod}m)$，则$a+c\equiv b+d(\mathrm{mod}m)$
2）若$a\equiv b(\mathrm{mod}m)$、$c\equiv d(\mathrm{mod}m)$，则$a\ast c\equiv b\ast d(\mathrm{mod}m)$

4、乘法逆元

如果$ab\equiv 1(\mathrm{mod}m)$，则称a和b为关于m互为乘法逆元。

5、

$a\ast b\ast c\mathrm{mod}n=[(a\mathrm{mod}n)(b\mathrm{mod}n)(c\mathrm{mod}n)]\mathrm{mod}n$

注：目前已知512bit的非对称密钥可以被破解，通常选择非常大的素数

RSA

RSA加密算法的安全性是基于对极大整数做因数分解的困难。

RSA算法是一种非对称密码算法，所谓非对称，就是指该算法需要一对密钥（公钥，私钥），使用公钥加密，私钥解密。公钥加密的信息只有私钥解得开，那么只要私钥不泄漏，通信就是安全的。

1、密钥生成

1）选两个大质数p, q，越大越安全
2）计算$n=p\ast q$
3）计算 n 的欧拉函数：$\phi (n)=(p-1)(q-1)$
4）随机选择一个整数 e，条件是 $1<e<\phi (n)$，且 e 与 $\phi (n)$ 互质
5）计算 e 对于 $\phi (n)$的模反元素d，$(e\ast d-1)\mathrm{mod}\phi (n)=0$，且$1<d<\phi (n)$
6）公钥(n,e)，私钥(n,d)

2、加解密

将明文比特串分组，使得每个分组对应的十进制数 小于n ，即分组长度小于 log2n 。

c：密文
m：明文

加密：$c=m^e\mathrm{mod}n$
解密：$m=c^d\mathrm{mod}n$

3、正确性证明

$m=c^d\mathrm{mod}n=(m^e\mathrm{mod}n{)}^d\mathrm{mod}n=m^{ed}\mathrm{mod}n=m^{k\phi (n)+1}\mathrm{mod}n=[(m\mathrm{mod}n)(m^{\phi (n)}\mathrm{mod}n{)}^k]\mathrm{mod}n$

1）若m和n互质
$m^{\phi (n)}\mathrm{mod}n=1$
即$m=m\mathrm{mod}n$

2）若m和n不互质
那么，明文m应该为p或者q的倍数，但不能同时是p,q的倍数，因为m<n。
假设$m=tp$，则m与q应该互质，则有：
$m^{\phi (q)}\equiv 1(\mathrm{mod}q)$

等式两边同时取$k\phi (p)$的幂次方，则等式依然成立，即：
$m^{k\phi (p)\phi (q)}\equiv 1(\mathrm{mod}q)$
$m^{k\phi (n)}\equiv 1(\mathrm{mod}q)$
$m^{k\phi (n)}=1+i\ast q$

两边同时乘m，又$m=tp$
$m^{k\phi (n)+1}=m+i\ast q\ast t\ast p=m+i\ast t\ast n$

两边对n取模
$m^{k\phi (n)+1}\mathrm{mod}n=(m+i\ast t\ast n)\mathrm{mod}n=m$

例题：在使用RSA的公钥体制中，已截获发给某用户的密文c=10，该用户的公钥e=5，n=35，那么明文m=多少？

同态加密

1、RSA乘法同态

密钥生成同上RSA
公钥$(n,e)$， 私钥$(n,d)$，$n=p\ast q$

加密

$Enc(m)=m^e\mathrm{mod}n$

乘法同态

$Enc(m_1)\ast Enc(m_2)=(m_1\ast m_2{)}^e\mathrm{mod}n=Enc(m_1\ast m_2)$

2、paillier加法同态

密钥生成

1）选择两个大质数p, q
2）计算$n=p\ast q$，$\lambda =lcm(p-1,q-1)$
3）选择随机整数 g（一般选择$g=n+1$）
4）定义函数 $L(x)=\frac{x-1}{n}$（解空间），计算模反元素 $\mu =(L(g^{\lambda }\mathrm{mod}{n}^2){)}^{-1}\mathrm{mod}n$
5）公钥$(n,g)$，私钥$(\lambda ,\mu )$

加解密

$0<=m<n$
选择一个随机数 $r$, 满足 $0<r<n$

$c=(g^m\ast r^n)\mathrm{mod}{n}^2$

$m=(L(c^{\lambda }\mathrm{mod}{n}^2)\ast \mu )\mathrm{mod}n$

加法同态

$Enc(m_1)\ast Enc(m_2)=(g^{m_1+m_2}\ast (r_1\ast r_2{)}^n)\mathrm{mod}{n}^2=Enc(m_1+m_2)$

正确性证明
卡米切尔定理（Carmichael’s function）: $r^{n\lambda }\equiv 1\mathrm{mod}{n}^2$
泰勒展开：$(1+n{)}^x=1+nx$

$\mu =(L(g^{\lambda }\mathrm{mod}{n}^2){)}^{-1}\mathrm{mod}n$

$m=(L(c^{\lambda }\mathrm{mod}{n}^2)\ast \mu )\mathrm{mod}n$

$c^{\lambda }\mathrm{mod}{n}^2=((g^m\ast r^n)\mathrm{mod}{n}^2{)}^{\lambda }\mathrm{mod}{n}^2=(g^{m\lambda }\ast r^{n\lambda })\mathrm{mod}{n}^2=g^{m\lambda }\mathrm{mod}{n}^2=(1+n{)}^{m\lambda }\mathrm{mod}{n}^2=(1+n\ast m\ast \lambda )\mathrm{mod}{n}^2$

$g^{\lambda }\mathrm{mod}{n}^2=(1+n{)}^{\lambda }\mathrm{mod}{n}^2=(1+n\ast \lambda )\mathrm{mod}{n}^2$

$m=\frac{L(c^{\lambda }\mathrm{mod}{n}^2)}{L(g^{\lambda }\mathrm{mod}{n}^2)}\mathrm{mod}{n}^2=\frac{m\ast \lambda \mathrm{mod}{n}^2}{\lambda \mathrm{mod}{n}^2}=m$

模指数优化
一个大代数空间 ${\mathbb{Z}}_n$ 可以被分解为 2 个小代数空间 ${\mathbb{Z}}_p,{\mathbb{Z}}_q$ ，且大空间与 2 个小空间有一一映射。具体而言，$n=p\ast q$ ,且 p 与 q 互素，存在同构 ${\mathbb{Z}}_n\simeq {\mathbb{Z}}_p\ast {\mathbb{Z}}_q$，使得在 ${\mathbb{Z}}_n$ 空间的运算等价转换为$({\mathbb{Z}}_p,{\mathbb{Z}}_q)$空间的并行运算。

例：解决百万富翁问题
两方安全计算
1）Alice：生成非对称密钥对$(pk,sk)$，使用公钥$pk$对其财富值$v_0$进行加密 $C_0=En{c}_{pk}(v_0)$，发送密文$C_0$和公钥$pk$。

2）Bob：接收密文$C_0$和公钥$pk$。选择两个随机数$b_0,b_1$，计算$C^{\prime }=En{c}_{pk}(b_0)$，然后计算$C_1=C_0^{b_1}\ast C^{\prime }=En{c}_{pk}(b_1{v}_0)\ast En{c}_{pk}(b_0)=En{c}_{pk}(b_1{v}_0+b_0)$。
使用公钥$pk$对其财富值$v_1$进行加密 $C_2=En{c}_{pk}(b_1{v}_1+b_0)$。发送密文$C_1$和$C_2$。

3）Alice：接收密文$C_1$和$C_2$。使用私钥$sk$从密文$C_1$中获得Alice财富的掩盖值$b_1{v}_0+b_0$，从密文$C_2$中获得Bob财富的掩盖值$b_1{v}_1+b_0$。
比较两个的掩盖值的大小，将结果告诉Bob，而不会泄露两方的财富值。

椭圆曲线

椭圆曲线$E=\{(x,y)|y^2+A_{1}y=x^3+A_2{x}^2+A_{3}x+A_4\}$。
常用的简化形式：$E=\{(x,y)|y^2=x^3+ax+b\}$。

点加法
圆曲线上经过 $P$ 和 $Q$ 两个点的直线与椭圆曲线的交点记作 $R=P\diamond Q$，根据定义有 $P\diamond Q=Q\diamond P$ 以及 $O\diamond (O\diamond P)=P$。继而定义椭圆曲线点加法：$P\oplus Q=O\diamond (P\diamond Q)$，即加法结果是经过点 $P\diamond Q$ 且与 X 轴垂直的直线与椭圆曲线的另外一个交点，简单来说，就是交点 $R$ 关于 X 轴的对称点。

代数加法
设$P,Q\in E_p(a,b)$，则
1）$P+O=P$
2）如果$P=(x,y)$，那么$(x,y)+(x,-y)=O$，即$(x,-y)$是$P$的加法逆元，即$-P$
3）设$P=(x_1,y_2),Q=(x_2,y_2)$，则$P+Q=(x_3,y_3)$由以下确定
$x_3={\lambda }^2-x_1-x_2(\mathrm{mod}p)$
$y_3=\lambda (x_1-x_3)-y_1(\mathrm{mod}p)$
当$P\ne Q$时，$\lambda =\frac{y_2-y_1}{x_2-x_1}$
当$P=Q$时，$\lambda =\frac{3X_1^2+a}{2y_1}$

公私钥生成
（1）选择一条椭圆曲线$E_p(a,b)$，并取曲线上一点$P$作为基点。
（2）选定一个大数$k$作为私钥，并生成公钥$Q=kP$。
加解密
（1）选择随机数$r$
（2）加密：$c=(rP,m+rQ)$
（3）解密：$m+rQ-k(rP)=m+r(kP)-k(rP)=m$