與同態加密相比，秘密共享的安全級別

我想將附加秘密共享與 Paillier 加密進行比較。但是，我還沒有發現如何以安全級別一致的方式設置參數。加法秘密共享（在 SecureML 中解釋）就像這樣： $ a_1 = a - a_0 \mod 2^l $

我還沒有找到如何以安全級別一致的方式設置參數。

問題是它們不能保持一致。無論您使用什麼參數，秘密共享在“加密安全”方面的得分總是比 Pallier 高。

使用 Pallier，如果您擁有密文和公鑰，則可以通過足夠的計算來恢復明文。如果你很好地選擇了參數（例如模數的大小），那麼這個計算量將遠遠超過任何現實攻擊者希望達到的目標，但它仍然是可能的。

對於秘密共享（其中一個附加秘密共享就是一個例子），這是不正確的；如果你有 $ t-1 $ 股份（其中 $ t $ 是“門檻值，即恢復秘密所需的共享數量 - 在您的範例中，您將擁有 $ t=2 $ )，除此之外，您無法了解有關秘密的任何資訊。無論您擁有多少計算資源，這一點都成立 - 您實際上沒有足夠的資訊。與 Paillier 相比，這就好像要求您解密密文，但沒有給您密文。

現在，關於解決您的比較的建議，我建議將您的 Paillier 參數設置為無法被目前的對手破壞 - 這可能有 $ n $ 可能是 2048 位（所以 $ n^2 $ 將是 4096 位）。雖然這不會是一個真正的蘋果對蘋果的比較，但在實際安全性方面也不是不合理的。

引用自：https://crypto.stackexchange.com/questions/92152