整数上全同态加密方案分析
全同态加密技术的研究与应用
全同态加密技术的研究与应用在当今数字化的时代,信息安全成为了至关重要的问题。
随着云计算、大数据等技术的迅速发展,数据的处理和存储越来越多地依赖于第三方平台。
然而,在将数据交给第三方时,如何保证数据的机密性和隐私性成为了一个巨大的挑战。
全同态加密技术的出现,为解决这一问题提供了一种有效的途径。
全同态加密是一种特殊的加密形式,它允许在密文上进行任意的计算操作,而无需对数据进行解密,最终得到的结果与在明文上进行相同计算操作得到的结果一致。
这一特性使得数据在加密状态下仍然能够被处理和分析,极大地保护了数据的隐私。
全同态加密技术的发展历程并非一帆风顺。
早期的研究主要集中在理论层面,由于计算复杂度高、效率低下等问题,实际应用受到了很大的限制。
但随着密码学和计算机技术的不断进步,全同态加密技术逐渐取得了重要的突破。
从原理上讲,全同态加密通常基于数学难题,如整数分解、离散对数等。
通过复杂的数学运算和密钥管理,实现对数据的加密和解密。
在加密过程中,明文被转换为看似随机的密文,而解密则是通过特定的密钥将密文还原为明文。
在实际应用方面,全同态加密技术具有广泛的前景。
首先,在云计算领域,用户可以将敏感数据加密后上传至云端,云服务提供商能够在不获取明文的情况下对数据进行处理和分析,例如进行数据挖掘、机器学习等任务。
这既保护了用户的数据隐私,又充分利用了云计算的强大计算能力。
其次,在医疗健康领域,患者的医疗记录往往包含大量的个人隐私信息。
通过全同态加密技术,医疗机构可以在加密状态下对医疗数据进行统计分析,为疾病研究和医疗决策提供支持,同时避免患者隐私的泄露。
再者,金融行业对数据的安全性要求极高。
全同态加密可以用于加密交易数据、客户信息等,使得金融机构在进行风险评估、市场分析等操作时,无需担心数据被窃取或篡改。
然而,全同态加密技术目前还面临一些挑战。
一方面,其计算效率仍然有待提高。
复杂的加密和解密过程需要消耗大量的计算资源和时间,这在一定程度上限制了其在大规模数据处理中的应用。
一种较快速的基于整数的全同态加密方案
一种较快速的基于整数的全同态加密方案代洪艳;丁勇;吕海峰;高雯【期刊名称】《计算机应用研究》【年(卷),期】2015(32)11【摘要】为了提高目前全同态加密的效率,针对于志敏等人提出的基于整数 GCD 的全同态加密方案中,公钥尺寸过大的缺陷,利用 Coron 等人关于整数上的压缩公钥和换模运算的思想,提出一种较快速的全同态加密方案。
改进后的方案,公钥尺寸减小,攻击算法复杂度降低,无须 mod2运算以及 bootstrapping。
安全性可以规约到近似最大公因子问题。
%In view of research on FHE by Yu Zhimin et al.,to improve the efficiency,and reduce the size of public key,this paper proposed a faster scheme based on study on the public key compression and modulus switching over the integers by Coron et al.For the public key of new scheme is smaller,the complexity of attack algorithm is reduced,without mod2 arithmetic and bootstrapping.And the security depends on the approximate GCD problem.【总页数】5页(P3448-3451,3455)【作者】代洪艳;丁勇;吕海峰;高雯【作者单位】桂林电子科技大学数学与计算科学学院,桂林 541004;西安电子科技大学综合业务网理论与关键技术国家重点实验室,西安 710126;桂林电子科技大学数学与计算科学学院,桂林 541004;西安电子科技大学综合业务网理论与关键技术国家重点实验室,西安 710126【正文语种】中文【中图分类】TP309.7【相关文献】1.一种改进的基于整数的全同态加密方案 [J], 周津;王勇2.破解较快速的整数上的全同态加密方案 [J], 古春生;景征骏;于志敏3.一个较快速的整数上的全同态加密方案 [J], 汤殿华;祝世雄;曹云飞4.一种适用于n bit的整数上全同态加密方案 [J], 孙霓刚;朱浩然;汪伟昕5.一种基于整数多项式环上的非对称全同态加密方案 [J], 孙霓刚; 陈宣任; 朱浩然因版权原因,仅展示原文概要,查看原文内容请购买。
基于整数多项式环的多对一全同态加密算法
基于整数多项式环的多对一全同态加密算法王彩芬;赵冰;刘超;成玉丹;许钦百【摘要】针对传统公钥加密模式多数只能由单发送方将消息发送给单接收方的限制,基于整数全同态加密方案,设计一种基于整数多项式环的一对一全同态加密算法.在此基础上,通过修改一对一全同态加密算法的密钥生成方式,扩展加密方个数,提出基于整数多项式环的多方加密一方解密的全同态加密算法.给出该算法的正确性和同态性证明,并在随机预言机模型下,基于离散子集求和问题和近似最大公因子问题证明该算法的安全性.性能比较结果表明,该算法可扩展加密方个数,提高解密方效率.【期刊名称】《计算机工程》【年(卷),期】2019(045)004【总页数】6页(P130-135)【关键词】整数多项式环;多对一全同态加密方案;离散子集求和问题;近似最大公因子问题;随机预言机模型【作者】王彩芬;赵冰;刘超;成玉丹;许钦百【作者单位】西北师范大学计算机科学与工程学院,兰州730070;西北师范大学计算机科学与工程学院,兰州730070;西北师范大学计算机科学与工程学院,兰州730070;西北师范大学计算机科学与工程学院,兰州730070;西北师范大学计算机科学与工程学院,兰州730070【正文语种】中文【中图分类】TP309.70 概述随着科学技术的发展,特别是互联网+和云计算的兴起,人们对加密数据的关注和需求越来越高。
与此同时,可以解决云计算中数据隐私保护的同态加密方法越来越受到人们的重视。
文献[1]提出隐私同态,它可以确保被操作数据的隐私性,能够在不知晓明文的前提下,对密文直接操作然后进行解密,其结果和对明文进行同样操作得到的数据一致。
利用该特性明显的同态性质,将加密数据交付给不可信的第三方进行处理就不会泄露隐私。
随后,很多学者对全同态加密进行了深入的研究,并提出多种同态加密方案。
IBM公司的成员Gentry[2]研究出第一个可以定义为全同态加密的机制,文献[3]给出了其正确性证明,Gentry的方案是基于理想格进行运算的,实施起来比较困难。
同态加密 整数计算方法
同态加密整数计算方法同态加密:整数计算方法探秘同态加密作为一种前沿的加密技术,近年来在密码学领域备受关注。
它允许用户在加密数据上进行计算,而计算结果在解密后仍然保持正确性。
在同态加密的众多研究方向中,整数计算方法尤为重要。
本文将为您详细介绍同态加密中整数计算的相关方法。
一、同态加密概述同态加密是一种特殊的加密形式,它允许用户在加密数据上进行计算,而计算结果在解密后仍然保持正确性。
这意味着,对于任意函数f,同态加密满足以下性质:f(Enc(m1), Enc(m2), ..., Enc(mn)) = Enc(f(m1, m2, ..., mn))。
其中,Enc表示加密函数,m表示明文数据。
同态加密可以分为三类:部分同态加密、适应性同态加密和完全同态加密。
部分同态加密只支持对加密数据进行部分计算,适应性同态加密支持对加密数据进行任意次数的计算,但每次计算前需要重新选择密钥。
而完全同态加密则支持对加密数据进行任意次数的计算,且无需重新选择密钥。
二、整数计算方法在同态加密中,整数计算方法主要包括加法、乘法和比较等运算。
以下分别介绍这些运算的实现方法。
1.加法运算加法运算是同态加密中最基本的运算。
对于两个加密整数Enc(m1)和Enc(m2),可以通过以下方法进行加法运算:Enc(m1) + Enc(m2) = Enc(m1 + m2)这意味着,加密后的整数可以直接进行加法运算,计算结果在解密后仍然保持正确性。
2.乘法运算乘法运算是同态加密中的关键运算。
对于两个加密整数Enc(m1)和Enc(m2),可以通过以下方法进行乘法运算:Enc(m1) * Enc(m2) = Enc(m1 * m2)然而,传统的同态加密方案往往只支持加法运算,乘法运算需要通过特殊技巧实现。
一种常见的乘法实现方法是通过模重复平方法(Modular Multiplication)。
3.比较运算比较运算是同态加密中较为复杂的运算。
对于两个加密整数Enc(m1)和Enc(m2),可以通过以下方法进行比较:- 判断m1是否小于m2:利用同态加密的加法和乘法运算,构造一个比较函数,使得当m1 < m2时,函数输出为1,否则为0。
全同态加密的原理
全同态加密的原理
全同态加密是一种允许对加密的数据进行计算并得到加密结果,而不需要解密的加密方式。
其原理是使用公钥和私钥来加密和解密数据。
公钥用于加密数据,私钥用于解密数据。
在全同态加密中,即使知道了公钥和加密后的数据,也无法得到原始数据的明文,因此保证了数据的隐私性和安全性。
全同态加密的实现过程涉及到数学和计算机科学等多个领域的知识,包括代数、数论、概率论等。
其算法主要包括以下几个步骤:
1. 密钥生成:首先需要生成公钥和私钥,公钥用于加密数据,私钥用于解密数据。
2. 数据加密:使用公钥对数据进行加密,得到密文。
3. 数据处理:在密文状态下进行计算,得到加密结果。
4. 结果解密:使用私钥对加密结果进行解密,得到明文结果。
全同态加密具有以下优点:
1. 保证了数据的隐私性和安全性,即使知道了公钥和加密后的数据,也无法得到原始数据的明文。
2. 可以对加密的数据进行计算并得到加密结果,而不需要解密,因此可以方便地进行数据处理和分析。
3. 可以实现任意复杂的计算操作,包括加、减、乘、除等,因此可以广泛应用于各种数据处理和分析的场景。
需要注意的是,全同态加密也存在一些挑战和限制,例如算法复杂度高、计算成本高、可扩展性差等。
因此,目前的全同态加密算法还只是在实验阶段,距离实际应用还有一定距离。
同态学习的加密算法介绍(七)
同态学习的加密算法介绍同态学习的加密算法是一种重要的数据加密技术,它具有许多非常有用的应用。
在本文中,我将介绍同态学习的基本概念和原理,以及一些常见的同态学习加密算法。
概念和原理同态学习是一种特殊的加密技术,它允许在加密状态下执行计算,并在解密后获得正确的结果。
换句话说,同态加密允许在加密状态下对数据进行操作,而无需解密它们。
这种特性对于安全地处理敏感数据非常有用,因为它可以避免在数据处理过程中暴露数据的明文。
同态学习的基本原理是利用数学上的同态性质,即在两个加密数据之间进行运算后,得到的结果与对应的明文数据进行运算后的结果是相同的。
这种性质使得同态加密能够在不暴露数据明文的情况下进行计算。
常见的同态学习加密算法目前,有许多不同的同态学习加密算法,每种算法都有其特定的优点和局限性。
以下是一些常见的同态学习加密算法:1. RSA同态加密算法RSA是一种非对称加密算法,它使用两个密钥对数据进行加密和解密。
RSA 同态加密算法利用RSA算法的数学性质来实现同态加密。
虽然RSA同态加密算法在理论上是可行的,但实际应用中面临着性能和安全性方面的挑战。
2. 阶梯同态加密算法阶梯同态加密算法是一种基于整数编码的同态加密方案,它利用离散对数问题和素数分解问题的困难性来实现同态性。
阶梯同态加密算法在实践中表现出良好的性能和安全性,因此被广泛应用于各种加密场景。
3. 基于椭圆曲线的同态加密算法基于椭圆曲线的同态加密算法利用椭圆曲线离散对数问题的困难性来实现同态性。
由于椭圆曲线算法在密钥长度较短的情况下提供了与RSA相当的安全性,因此基于椭圆曲线的同态加密算法被广泛应用于移动设备和物联网等资源受限的环境中。
应用场景同态学习的加密算法在许多领域都有着广泛的应用。
其中,医疗保健领域和金融领域是同态学习加密算法最为重要的应用场景之一。
在医疗保健领域,医疗数据的隐私和安全性是非常重要的。
同态学习的加密算法可以帮助医疗机构在不暴露患者敏感数据的情况下进行数据分析和共享,从而提高医疗数据的利用率和安全性。
破解较快速的整数上的全同态加密方案
2 0 1 3 , 4 9 ( 2 1 )
1 0 1
破 解 较 快 速 的 整 数 上 的 全 同态 加 密 方 案
古春 生 , 景征骏 , 于 志敏
GU C h u n s h e n g , J I NG Zh e n g j n i l , YU Zh i mi n . B r e a k i n g f a s t e r f u l l y h o mo mo r p h i e e n c r y p t i o n s c h e me o v e r i n t e g e r . C o mp u t e r
E n g i n e e r i n g a n dAp p l i c a t i o n s , 2 0 1 3 , 4 9 ( 2 1 ) : 1 0 1 - 1 0 5 .
Ab s t r a c t :I t i s v e r y i mpo r t a n t t o a n a l y z e t h e s e c u r i t y o f o p t i mi z i n g f u l l y h o mo mo  ̄h i c e n c yp r t i o n s c h e me . F o r he t f u l l y h o mo — mo r p h i c e n c r y p t i o n s c h e me d e s i g n e d b y Ta n g e t a 1 . , t h i s p a pe r d i r e c t l y o b t a i n s t h e p l a i n t e x t b i t f r o m a c i p h e r t e x t b y a p p l y i n g l a t - t i c e r e d u c t i o n a t t a c k . Th u s , t h i s f a s t e r f u l l y h o mo mo  ̄h i c e n c yp r t i o n s c h e me i s b r o k e n .
同态加密方案
若一个加密方案对密文进行任意深度的操作后解密,结果与对明文做相应操作的结果相同,则该方案为完全同态加密方案。
通常一个公钥加密方案有三个算法:KeyGen算法(密钥生成),Enc算法(加密),Dec算法(解密)。
但是在全同态加密中,除了上述三个算法之外,还包含第四个算法:Evaluate算法(密文计算),这个算法的功能是对输入的密文进行计算。
KeyGen算法(密钥生成)用于生成公钥和密钥,公钥用于加密,私钥用于解密。
还可能生成另外一种公钥,即密文计算公钥,我们把它称之为Evk。
密文计算公钥Evk的作用是在执行Evaluate算法时用到,而且Evk 的形式与使用的全同态方案直接相关。
例如,如果是通过启动技术(Bootstrapple)获得全同态加密,即每次密文计算前要用同态解密约减密文的噪音,这时Evk就是对密钥的每一位加密后生成的密文,即密钥有多少位,Evk里包含的公钥就有多少个。
Evk中每个公钥的大小就是使用Enc加密后产生密文的大小。
当然还有其他情况,例如,如果使用密钥交换与模交换技术获得全同态加密,典型代表就是BGV方案。
这时Evk中包含的就是L–1个矩阵,L是方案中电路的深度,该矩阵用于密钥转换。
每次密文计算后,都需要使用Evk中的公钥将维数扩张的密文向量转换成正常维数的密文向量。
当然还有一种情况就是不需要Evk,例如在Crypto13会议的论文GSW13中,Gentry使用的密文是矩阵(方阵),所以密文乘积或相加不会产生密文维数改变的事情,所以在密文计算时没有用到公钥,这也是该论文可以产生基于身份或基于属性全同态加密方案的根本原因。
Enc算法(加密)和我们平常意义的加密是一样的,但是在全同态加密的语境里,使用Enc算法加密的密文,一般称之为新鲜密文,即该密文是一个初始密文,没有和其他密文计算过。
所以新鲜密文的噪音称之为初始噪音。
Dec算法(解密)不仅能对初始密文解密,还能对计算后的密文解密。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
整数上全同态加密方案分析一篇论文看完了,如果都看懂了的话,很多人觉得案例都是小菜一碟,但是在我写这个案例的时候我发觉论文看懂了,更需要案例或者说实现来进一步深入或者夯实,因为只有通过具体的实现步骤,才能发现有些在论文中的一些细节问题,反过来更可以促进对论文的理解。
整数上全同态加密方案有两篇非常经典的论文,一篇是《Fully Homomorphic Encryption over the Integers》以下简称DGHV方案,还有一篇是Gentry写的《Computing Arbitrary Functions of Encrypted Data》简称 CAFED论文。
入门者适合先阅读CAFED论文,这并不是说这篇论文简单,只是因为这篇文章的写法很通俗(严格意义上这篇文章并不是一篇真正的论文,是给杂志写的文章,有点科普性质),有一个很好的比喻的例子“Glovebox”贯穿于整个论文中,Gentry的文笔很好写的也很生动,对有些地方进行了背景解释,而这些解释恰好是DGHV论文中没有说的,当然一开始要想把CAFED论文彻底读懂也不是那么容易的。
这个时候可以开始阅读DGHV这篇论文。
这篇论文对于我来说是百读不厌,因为有些地方就算读了一百篇也不见得可以理解,而且这篇文章很适合深挖,有些很有趣的地方,例如噪声参数的设置等等。
还有一篇论文就是全同态的经典论文《Fully homomorphic encryption using ideal lattices》,如果对格不熟悉的话,可以读这篇文章的前面三分之一,因为有详细的全同态的定义、层级全同态、允许电路、增强解密电路、bootstrable、重加密原理,以及如何通过递归实现全同态的,尤其是递归实现全同态的过程,在论文中还是值得反复理解的。
剩下的当然还有Gentry 的博士论文,也可以分阶段阅读。
这篇文章就算是一个阅读笔记吧,分为两个部分,一个是实现过程,另一个是方案的参数分析。
一、方案实现过程1、全同态加密方案至于什么是全同态等等形式化定义我就不说了,请参阅论文。
全同态加密用一句话来说就是:可以对加密数据做任意功能的运算,运算的结果解密后是相应于对明文做同样运算的结果。
有点穿越的意思,从密文空间穿越到明文空间,但是穿越的时候是要被蒙上眼睛的。
另外上面的那句话是不能说反的,例如:运算的结果加密后是相应于对明文做同样运算结果的加密,这样说是不对的,因为加密不是确定性的,每次加密由于引入了随机数,每次加密的结果都是不一样的,同一条明文对应的是好几条密文。
而解密是确定的。
全同态具有这么好的性质,什么样的加密方案可以符合要求呢?往下看:Enc(m): m+2r+pqDec(c): (c mod p) mod 2=(c – p*「c/p」)mod 2 = Lsb(c) XOR Lsb(「c/p」)上面这个加密方案显然是正确的,模p运算把pq消去,模2运算把2r消去,最后剩下明文m 。
这个公式看上去很简单,但是却很耐看,需要多看看。
公式中的p是一个正的奇数,q是一个大的正整数(没有要求是奇数,它比p要大的多),p 和q在密钥生成阶段确定,p看成是密钥。
而r是加密时随机选择的一个小的整数(可以为负数)。
明文m ∈ {0,1},是对“位”进行加密的,所得密文是整数。
上面方案的明文空间是{0,1},密文空间是整数集。
全同态加密方案中除了加密、解密还有一个非常重要的算法就是:Evaluate,它的作用就是对于给定的功能函数f以及密文c1,c2,…,ct等做运算f (c1,c2,…,ct)。
在这里就是对密文做相应的整数加、减、乘运算。
以上方案可以看成是对称加密方案。
下面来考虑公钥加密方案。
其实把pq看成公钥就OK。
由于q是公开的,所以如果把pq看成公钥,私钥p立刻就被知道了(p=pq/q)。
怎么办呢?看上面加密算法中,当对明文0进行加密时,密文为2r+pq, 所以我们可以做一个集合{xi;xi=2ri+pqi},公钥pk就是这个集合{xi},加密时随机的从{xi}中选取一个子集S,按如下公式进行加密:Enc(m): m+2r+sum(S); 其中sum(S)表示对S中的xi进行求和。
由于sum(S)是一些0的加密密文之和,所以对解密并不影响,整个解密过程不变。
这个方案是安全的,就是我们所说的DGHV方案。
其安全性依赖于一个困难问题“近似GCD问题”。
就是给你一些xi,你求不出p来(由于整数上全同态研究热了,近似GCD也成了研究的一个点)。
为了说明方便,我们还是采取pq为公钥的方案(尽管不安全,但是不影响说明过程)。
所以加密和解密还是按照一开始的公式,现在pq为公钥,p还是私钥,q是公开参数。
再重复一遍我们的加密解密算法:Enc(m): m+2r+pqDec(c): (c mod p) mod 2=(c – p*「c/p」)mod 2 = Lsb(c) XOR Lsb(「c/p」)另外在这里约定:一个实数模p为:a mod p = a -「a/p」*p, 「a」表示最近整数, 即有唯一整数在(a-1/2, a+1/2]中。
所以 a mod p 的范围也就变成了(-p/2,p/2 ](这个牢记)。
这个和我们平时说的模p范围是不一样的,平时模p范围是[0, p-1],那是因为模公式中取得是向下取整:a mod p = a –floor(a/p)*p。
Lsb是最低有效位,因为是模2运算,所以结果就是这个二进制数的最低位。
2、可怕的噪音由于公钥pq是公开的,所以知道密文c后可以减去公钥得到:c-pq= m+2r由于存在r的干扰,所以无法识别明文m。
我们就把m+2r称为噪音。
另外在解密时只有当 c mod p=m+2r <p/2时, 再对它进行模2运算才能正确解密:(m+2r)mod 2= m。
如果噪音大于p/2时,c mod p就不再等于m+2r,解密就可能无法正确恢复出明文。
所以噪音是影响解密的关键。
而噪音会在密文计算中增长,下面来看看增长的势头:假设c1= m1+2r1+pq1; c2= m2+2r2+pq2; 其中c1是对密文m1的加密,c2是对密文m2的加密。
密文加和乘运算:c1+c2=(m1+m2)+2(r1+r2)+p(q1+q2)c1*c2=( m1+2r1)(m2+2r2)+p(pq1q2+m1q2+m2q1+2r1q2+2r2q1)(c1+c2) mod p= (m1+m2)+2(r1+r2)c1*c2 mod p=( m1+2r1)(m2+2r2)由上可见:密文之和的噪音是各自密文的噪音之和;而密文乘积的噪音是噪音之积。
因此噪音的主要来源还是乘法运算,在乘法运算中噪音被放大的很快。
例如:设p=11, q=5, m1=0, m2=1,然后分别随机选取r1=1和r2= - 4, 有:c1=Enc(m1)=m1+2r1+pq=0+2*(-1)+11*5=53; c1 mod p= -2, Dec(c1)=0.c2=Enc(m2)=m2+2r2+pq=1+2*1+11*5=58; c2 mod p= 3, Dec(1)=1. 因为c1 mod p 和c2 mod p 都是在(-p/2,p/2)范围内,所以解密正确。
c1和c2称之为新鲜密文,就是直接由明文生成的密文,在新鲜密文中噪音是在一定合理的范围内的。
我们再来看看c1*c2:c*=c1*c2=53*58=3074; c* mod p=5, Dec(c*)=1≠m1*m2=0, 解密错误,错误的原因是噪音c* mod p= -6 不在(-p/2,p/2)范围内。
看来对密文运算会造成噪音的增大,当噪音超出范围,解密就失败,这意味着对密文运算不可能是无限次的(也就是Evaluate运算功能函数的电路深度是有限的,这在后面我们说到电路时会看到)。
到这里我们只得到了一个运算时噪音范围不能超过p/2的同态方案(Somewhat 同态方案),看来似乎用这个方案实现全同态是行不通的。
我们需要的是全同态方案即Evaluate可以运行任意功能函数,而不是某一类功能函数(这叫同态方案)。
估计多少英雄好汉到了这里就觉得没戏了,于是另寻他路,于是一个突破就擦肩而过。
那么下面让我们分析一下症结所在。
二、方案参数分析1、Bootstappable:一个生硬的思路噪音阻碍了我们的目标,那么如何消除噪音这个敌人呢?一个直观的方法就是对密文解密,密文解密后噪音就没有了,但是要解密必须要知道私钥,要想通过获得私钥来消除噪音是不现实的。
那么如果对密钥加密来做可以么?让我们先看看Evaluate算法。
在Evaluate算法中能够对密文执行函数功能f的运算,其中f是属于permitted founctions 集合的任一founction(这里稍微解释一下,permitted founctions 集合也称permitted circuit,例如有两个函数功能f1和f2,运行Evaluate(pk, f1, c1,c2,…,cn)和Evaluate(pk, f1, c1,c2,…,cn),就是分别对密文执行f1运算和f2运算,如果f1运算的结果解密后恰好是f1对相应明文运算的结果(同态成立),那么f1就属于permitted founctions。
而f2运算的结果解密后如果不等于f2对相应明文运算的结果,那么f2就不属于permitted founctions。
)。
试想如果Dec解密算法也在permitted founctions 集合中,那么Evaluate算法就可以执行Dec解密功能了。
如果我们输入的是s*(是用pk2对私钥s加密得到的密文),以及对运算密文c*(是用pk2对c 再加密的密文,原密文c是用pk1进行加密的),那么执行Evaluate(pk2, Dec, s*,c*);所得结果为一个新的密文,该密文是明文在pk2下加密的密文,是不是有点像魔术,就像原来一个人穿的是西装,现在你没有看到这个人换衣服的情况下,魔术师只是施了一下魔法,这个人立刻就换了一身运动服,人还是原来那个人,只是包装变了。
这也是Gentry思想中一个最重要的特性:同态解密。
那么同态解密对于降低噪音又有什么关系呢?当密文运算后,噪音会被迅速放大,如果我们对运算后的密文做一次同态解密,是不是相当于得到了一个新鲜密文呢,而新鲜密文的噪音是最小的,所以达到了降噪的目的。
(事实上同态解密后得到的密文的噪音要比新鲜密文噪音稍微大一些。
)这一手法称之为:重加密技术,它为我们提供了降低噪音的一个方法。
接下来你肯定会想到:每次密文运算前只要对密文进行重加密来降低噪音,然后再进行密文运算,那么噪音永远都在可控的范围内,运算结果的解密也就不会失败了。