同态加密(1) GSW同态加密方案

作者: NeptuneCS | 来源:发表于2019-08-11 22:05 被阅读0次

所有的更新都放在我的博客中, 本文地址为https://lingeros-tot.github.io/2019/08/11/%E5%90%8C%E6%80%81%E5%8A%A0%E5%AF%86-1-GSW%E5%8A%A0%E5%AF%86%E6%96%B9%E6%A1%88/

GSW同态加密方案确实如论文标题一样, 概念清晰明了, 其Intuition简单到一个刚学完线性代数的大一新生也能理解. GSW还支持基于属性的加密, 但本文中我们将不介绍这一部分内容.

当然, 完全理解GSW方案仍然需要用到一些比较进阶的知识, 如LWE问题的困难性等. 我们在本文中不会对这些知识做过多的介绍, 这些知识将在今后其他的博文中介绍. 关于同态加密的基础知识可以参阅博文同态加密(0) 基础概念, 这篇博文完成后, 地址将被更新到这里.

GSW方案是由Craig Gentry^[1], Amit Sahai与Brent Waters于2013年提出的方案, 发表于论文[GSW13] ^[2]中.

Basic Intuition

密文的基本格式

最基本的GSW同态加密方案的私钥( $sk$ )是一个向量 $\mathbf v\in\mathbb Z_q^N$ ^[3], 而所有的明文 $\mu_i\in\{0,1\}$ 都被加密一个矩阵 $C_i\in\mathbb Z_q^{N\times N}$ 中, 其中 $C_i$ 是以 $v$ 为近似特征向量并以 $\mu_i$ 为近似特征值的矩阵, 即我们要求
$C_i\mathbf v\approx \mu_i \mathbf v$

这里可以看出，我们只需要挑选 $\mathbf v$ 中非 $0$ 的位(最好是选较大的位), 如第 $j$ 位 $v_j$ , 并比较 $v_j$ 与 $\mu_iv_j$ 的值就可以解出 $\mu_i$ 的值.

一个需要注意的地方就是, 虽然 $\mu_i$ 取自 $\{0,1\}$ , 但被视作是 $\mathbb Z_q$ 中的元素, 因此具体的运算也是按照 $\mathbb Z_q$ 的运算方式来进行.

我们也可以将噪声(error)显式地写出来, 记作
$C_i\mathbf v=\mu_i\mathbf v+\mathbf e$
其中 $\mathbf e$ 是非常小的向量. 因此可以看出, 如果 $\mathbf e$ 确实是一个较小的噪声, 那么我们就可以正确地解出 $\mu_i$ .

乘法同态性质

现在我们来验证该加密方案具有同态性质. 现在假设有两个密文 $C_1, C_2$ , 对对应的明文分别是 $\mu_1,\mu_2$ , 即
$C_1\mathbf v=\mu_1\mathbf v+\mathbf e_1\\ C_2\mathbf v=\mu_2\mathbf v+\mathbf e_2\\$
其中 $\mathbf e_1,\mathbf e_2$ 均为较小的噪声, 那么令 $C^\times=C_1\cdot C_2$ , 我们检验 $C^+$ 的解密结果
$\begin{aligned} C^\times\mathbf v &=(C_1\cdot C_2)\mathbf v=C_1(\mu_2\mathbf v+\mathbf e_2)=\mu_2(\mu_1\mathbf v+\mathbf e_1)+C_1\mathbf e_2\\ &= \mu_1\mu_2\mathbf v+\mu_2\mathbf e_1+C_1\mathbf e_2 \end{aligned}$
这里可以看出, $\mu_2\mathbf e_1$ 确实是一个比较小的噪声项, 但是要让 $C^\times$ 的噪声比较小, 那么就需要让 $C_1$ 是一个较小的矩阵(即其最大的元素较小), 我们稍后会解释如何做到这一点.

虽然说是乘法同态性质, 但是由于 $\mu_i\in\{0,1\}$ , 我们也可以将 $C^\times$ 视作是做了同态的与(AND)运算. 与运算相对来说是比较简单的, 但是仅有与运算是不够的, 因为与运算是单调的, 单调的电路不可能是完备的, 我们需要实现一个超强的逻辑门----与非门的同态运算.

与非门的同态性质

设 $C^\mathsf{NAND}=I_N-C_1C_2$ , 其中 $I_N$ 为 $N$ 阶单位矩阵, 则
$C^\mathsf{NAND}\mathbf v=(I_N-C_1C_2)\mathbf v=(1-\mu_1\mu_2)\mathbf v-\mu_2\mathbf e_1-C_1\mathbf e_2$
根据之前的讨论, 如果 $C_1$ 是一个较小的项, 我们有把握能从 $C^\mathsf{NAND}$ 中解出 $\mathsf{NAND}(\mu_1,\mu_2)$ .

到这里有没有一种心情舒畅的感觉? 与非门生万物, 我们确实可以通过不断地叠加与非门来实现相当复杂的函数运算, 并且由于与非门是完备的, 仅用与非门可以实现任何一个布尔函数.

别高兴得太早!

虽然与非门非常强大, 但是每一次进行与非门运算, 都会导致新密文得噪声变得更大, 因此较多层的运算后, 噪声可能大得导致解密错误! 因此我们必须评估我们究竟能进行多少次的运算, 以及在快要达到极限的时候使用Bootstrapping技术. 这一点我们将在详细介绍方案的时候来说明.

Lattice Gadget

这里我们要首先介绍一种工具, 我们称其为Lattice Gadget, 它的本质是一些代数运算, 能够辅助我们从标准的LWE加密方案生成满足同态性质的密文.

第一个运算是 $\mathsf{BitDecomp}$ , 它的作用是将一个 $\mathbf a=(a_1,\cdots,a_n)\in\mathbb Z_q^n$ ^[4]向量的每一位按照二进制展开, 即每一个元素 $a_i$ 表示成二进制的形式 $a_0,a_1,\cdots,a_\ell$ , 其中 $\ell=\lfloor\log q\rfloor+1$ ^[5]. 即
$\mathsf{BitDecomp}(\mathbf a)=(a_{1,0},\cdots,a_{1,\ell-1},\cdots,a_{n,0},\cdots,a_{n,\ell-1})$
即将 $\mathbf a$ 的每一位都展开成了二进制, 变成 $\ell$ 位, 整个结果一共是 $n\cdot \ell$ 位. 显然, $a_i=\sum_{j=0}^{\ell-1} 2^j\cdot a_{i,j}$ .

类似的, 我们可以定义 $\mathsf{BitDecomp}$ 的反函数 $\mathsf{BitDecomp}^{-1}$ , 令 $\mathbf a'=(a_{1,0},\cdots,a_{1,\ell},\cdots,a_{n,0},\cdots,a_{n,\ell})\in\mathbb Z_q^{n\cdot \ell}$
$\mathsf{BitDecomp}^{-1}(\mathbf a')=(\sum_{j=0}^{\ell-1} 2^j\cdot a_{1,j},\cdots, \sum_{j=0}^{\ell-1} 2^j\cdot a_{n,j})$
即将每一位的二进制表示重新组合成了 $\mathbb Z_q$ 表示. 但是要注意的是, $\mathsf{BitDecomp}$ 并没有要求参数一定要是只由 $\{0,1\}$ 构成的向量, 我们可以定义一个全新的函数
$\mathsf{Flatten}(\mathbf a')=\mathsf{BitDecomp}(\mathsf{BitDecomp}^{-1}(\mathbf a')$
这个操作有什么意义? 它将那些不是全由 $\{0,1\}$ 构成的 $\mathbf a'\in\mathbb Z^{n\cdot \ell}$ 重新"抹平"成了由 $\{0,1\}$ 中的元素构成, 并且能够保持其一定的性质.

下面介绍另一个不是那么好看, 但是却非常简单的操作 $\mathsf{Powerof2}$ . $\mathsf{Powerof2}$ 的功能也是将一个 $\mathbf b\in\mathbb Z_q^n$ 向量转换为 $\mathbf b'\in\mathbb Z_q^{n\cdot \ell}$ 向量, 但是却使用的是完全不一样的方式.
$\mathsf{Powerof2}(\mathbf b)=(b_1,2b_1,\cdots,2^{\ell-1}b_1,\cdots, b_n,2b_n,\cdots,2^{\ell-1}b_n)$
即将 $\mathbf b$ 的每一位, 展开为 $\ell$ 位, 并且后一位是前一位的两倍. 使得整个向量变成 $\mathbf b'$ . 这样做的好处是, 如果 $a_i,b_i$ 分别是 $\mathbf a,\mathbf b\in\mathbb Z_q^n$ 中的一位, 那么
$a_i\cdot b_i=\sum_{j=1}^{\ell -1}2^j \cdot a_{i,j}\cdot b_i=\sum_{j=1}^{\ell-1}(a_{i,j})\cdot (2^{j}\cdot b_j)$
前面一部分就是 $\mathbf a'$ 中第 $i$ 组的第 $j$ 位, 而后一部分就是 $\mathbf b'$ 中第 $i$ 组的第 $j$ 位, 那么显然有
$\langle \mathbf a,\mathbf b\rangle=\langle\mathsf{BitDecomp}(\mathbf a),\mathsf{Powerof2}(\mathbf b)\ranglet$
如果将 $\mathsf{BitDecomp}(\mathbf a)$ 直接写成 $\mathbf a'$ 的形式, 我们还有
$\langle\mathbf a',\mathsf{Powerof2}(\mathbf b)\rangle=\langle\mathsf{BitDecomp}^{-1}(\mathbf a'),\mathbf b\rangle=\langle \mathsf{Flatten}(\mathbf a'),\mathsf{Powerof2}(\mathbf b)\rangle$

第一个等号左边, 可以通过对第一个等号右边的两项分别做\mathsf{BitDecomp}和 $\mathsf{Powerof2}$ 操作得到
第二个等号右边可以对第二个等号左边两项分别做\mathsf{BitDecomp}和 $\mathsf{Powerof2}$ 操作得到

实际上左右两边的两项都是由中间得到的, 这样就可以将左右两边连接在一起. 这样我们发现一个惊人的事实: 如果内积的第二项是标准的 $\mathsf{Powerof2}$ 结果的形式, 那么对第一项做 $\mathsf{Flatten}$ 操作不会改变内积的结果! 实际上这也不难理解, 因为Flatten操作就是把数值过高的位分到权重更高的位而已. 但是这样做有一个好处就是, 使得 $\mathbf a'$ 变成每一位都是 $\{0,1\}$ 的 $\mathsf{Flatten}({\mathbf a'})$ .

我们将以上几种记号都推广到对矩阵可用, 例如对于 $C=[\mathbf c_1,\cdots,\mathbf c_N]$ , 令
$\mathsf{Flatten}(C)=[\mathsf{Flatten}(\mathbf c_1),\cdots,\mathsf{Flatten}(\mathbf c_N)]$
其余几种记号也做类似的推广, 总之就是, 对矩阵的每一列的列向量做相应的操作. 这时我们发现, 如果密钥 $\mathbf v$ 确实是某个向量 $\mathbf s$ 进行 $\mathsf{Powerof2}$ 的结果, 即 $\mathbf v=\mathsf{Powerof2}(s)$ , 那么就有
$C_i\mathbf v=\mathsf{Flatten}(C_i)\mathbf v$
这可以使得 $C_i'=\mathsf{Flatten}(C_i)$ 变成一个较小的矩阵, 而不改变最后与 $\mathbf v$ 的相乘的结果! 这样使得 $C'_i$ 可以代替 $C_i$ 进行下一层的同态运算使得我们要求的 $C_2$ 项较小! 我们直接将 $\mathsf{NAND}$ 的结果记作
$C^{\mathsf{NAND}}=\mathsf{Flatten}(I_N-C_1C_2)$

GSW方案

现在我们开始具体介绍方案. 我们要说的是, GSW方案根据解密算法的选区不同, 实际上有构造两套方案. 第一种是选择 $\mathsf{Dec}$ 作为解密算法, 该算法仅能解出 $\mu_i\in\{0,1\}$ , 因此整个同态运算中主要用与非门构建逻辑电路进行计算. 另一个解密算法 $\mathsf{MPDec}$ 可以解出 $\mu_i\in\mathbb Z_q$ , 这样就可以自然地使用加法与乘法进行运算.

首先我们要说的是, GSW并不是一个标准假设下的全同态加密方案. GSW如果要做到全同态加密, 需要用到Bootstrapping, 进而需要用到LWE加密方案的Circular Security假设(即用一对公私钥中的公钥来加密私钥相关信息的加密结果是安全的). 我们这里不介绍Bootstrapping的具体过程, 仅介绍Somewhat HE.

$\mathsf{Setup}(1^\lambda,1^L)$ : 我们用 $\lambda$ 表示安全参数, $L$ 表示同态运算的层数, 则 $|q|=\kappa(\lambda,L)$ 表示模数 $q$ 的位数. 选择 $n=n(\lambda,L)$ 和LWE的错误分布 $\chi=\chi(\lambda,L)$ , 选择 $m=m(\lambda,L)=O(n\log n)$ . 设 $\ell=\lfloor\log q\rfloor+1$ 和 $N=(n+1)\cdot \ell$ , 参数集 $params=(n,q,\chi,m)$ .

这里的参数较多, 需要逐一解释一下. 首先 $\lambda$ 是安全参数, 表示密码方案中基于的困难的问题的复杂程度, 所有的参数都应该(直接或间接)基于这个参数选择. 参数 $L$ 表示同态运算的层数, 由于同态运算的层数由噪声的占比决定, 因此想要做更多的同态运算次数, 那么噪声就不应该太快掩盖 $q$ , $q$ 就应该相应地选择大一些. 而LWE问题的错误分布 $\chi$ 还有维数 $n$ 按理来说是应该根据 $\lambda$ 来选择, 但是这两个参数是可以根据 $q$ 来进行权衡(tradeoff)的, 这里直接用基础参数 $L$ 来代替 $q$ . 而参数 $\ell,N$ 则是为了方便我们进行表示而引入的记号, 并且他们在前面也出现过.

$\mathsf{SecretKeyGen}(params)$ : 选择 $\mathbf t\overset{\$ }\leftarrow \mathbb Z_q^n $. 输出$ sk=\mathbf s\leftarrow (1,-\mathbf t)=(1,-t_1,\cdots,-t_n)\in\mathbb Z_q^{n+1} $. 令$ \mathbf v=\mathsf{Powerof2}(\mathbf s)$.
$\mathsf{PublicKeyGen}(params,sk)$ : 生成矩阵 $B\overset{\$ }\leftarrow\mathbb Z_q^{m\times n} $和$ \mathbf e\leftarrow\chi^m $. 令$ \mathbf b=B\mathbf t+\mathbf e $. 令$ A=[\mathbf b|B] $, 输出公钥$ pk=A$.

实际上这里就是变相生成了一组LWE问题的实例, 如果对这里不熟悉, 可以跟进我的Blog学习知识. 相关博文更新后会在这里补充地址.

$\mathsf{Enc}(params,sk,\mu)$ : 生成矩阵 $R\overset{\$ }\leftarrow {0,1}^{N\times m}$, 输出密文
$C=\mathsf{Flatten}(\mu\cdot I_N+\mathsf{BitDecomp}(R\cdot A))\in\mathbb Z_q^{N\times N}$

这就是整个加密的过程, 其中 $\mathsf{Flatten}$ 操作是为了保证 $C$ 是一个较小的矩阵, 我们知道 $\mathbf v$ 是一个 $\mathsf{Powerof2}$ 向量, 那么
$C\mathbf v=(\mu\cdot I_N+\mathsf{BitDecomp}(R\cdot A))\mathbf v = \mu\cdot I_N\cdot \mathbf v + R\cdot A\cdot \mathbf s = \mu\cdot \mathbf v+R\cdot \mathbf e$
$R\cdot \mathbf e$ 也是一个小噪声, 因此密文符合我们的要求.

$\mathsf{Dec}(params, pk,C)$ : 选择一个 $\mathbf v$ 的系数 $v_i=2^i\in (q/4,2/q]$ . 设 $C_{i}$ 是 $C$ 的第 $i$ 列, 则计算 $x_i=\langle C_i,v_i\rangle$ , 输出解密结果 $\mu'=\lfloor x_i/v_i\rceil$ .

实际上这里的解密过程就是比较 $C\mathbf v$ 与 $\mathbf v$ 的值. 而为了使得解密出错的概率最低, 所以选择 $v_i$ 较大的一项, 这样使得错误最多可以积累到 $q/4$ 而解密不出错.

$\mathsf{MPDec}(params,sk,C)$ : 参考[MP12] ^[6].

噪声分析

接下来我们看一下进行 $L$ 层同态运算后, 噪声的增长. 我们知道, 两个噪声为 $E$ 的密文行一次加法运算, 噪声增长到 $2E$ . (这里 $E=\max_{i\in [N]}\mathbf e$ , 表示解密中的噪声项), 而两个噪声为 $E$ 的密文乘法结果的的噪声项为 $\mu_2\mathbf e_1+C_1\mathbf e_2$ , 最多为 $(N+1)B^2$ . 如果初始噪声为 $E$ 的密文进行 $L$ 层运算, 则噪声最多增长为 $(N+1)^LB^{2^L}$ , 由这一点可以看出, 我们最多可以进行对数次数的同态运算. 但是对数次的运算已经足够用于解密运算, 因此我们可以基于Circular Security假设, 使用Bootstrapping技术实现全同态.

习题

证明 $\mathsf{Enc}$ 算法的CPA安全性.

注释

Craig Gentry是构造出第一个全同态加密方案的人, 可以说是同态加密方案的鼻祖. 现在的大多数同态加密方案都是在Gentry最初的方案的基础上改造而来的. ↩
Craig Gentry, Amit Sahai and Brent Waters. Homomorphic Encryption from Learning with Errors: Conceptually-Simpler, Asymptotically-Faster, Atribute-Based. Annual Cryptology Conference. Springer, Berlin, Heidelberg, 2013. ↩
实际上这里 $\mathbf v$ 并不是最终方案中的密钥 ↩
所有的向量都是列向量, 即 $\mathbf a=(a_1,\cdots,a_n)=[a_1,\cdots,a_n]^T$ ↩
如果没有标明底数, $\log$ 的底数都是2. ↩
Daniele Micciancio and Chris Peikert. Trapdoors for lattices: Simpler, tighter, faster, smaller. In EUROCRYPT, pages 700-718, 2012. ↩

同态加密(1) GSW同态加密方案

Basic Intuition

密文的基本格式

乘法同态性质

与非门的同态性质

别高兴得太早!

Lattice Gadget

GSW方案

噪声分析

习题

注释

相关文章

网友评论

延伸阅读

深度阅读

栏目导航

热点阅读

区块链技术研究

基本概念