所有的同態加密方案都是基於格的方案嗎？

PALISADE提供了一個同態加密方案池，並且聲明“ PALISADE 是一個通用的格密碼庫…… ”。我的問題很簡單：都是基於格密碼學的同態加密方案嗎？

這取決於您對“同態”的含義。

如果您的意思是“緊湊且完全同態”（即，可以評估密文上的任意多時間可計算函式，並且密文大小不會隨著被評估的函式而增長），那麼答案基本上是肯定的。所有已知的具有緊湊密文的全同態加密方案都使用格技術。但是請注意，這需要在相對廣泛的意義上解釋“晶格技術”。的確：

• 可以從難以區分的混淆中建構 FHE（此處）。本質上，與標準基於晶格的構造相比，這是一種性質非常不同的構造。然而，所有已知的現代 iO 候選結構都在某處使用 LWE（以及其他，有時是非標準的假設）。有關這方面的三個最新結果，請參見此處、此處和此處。此外，使用這種工作線建構的任何 FHE 在實踐中都將完全低效。
• 可以根據與近似 GCD 相關的不同假設來建構 FHE，請參閱這項工作。然而，雖然假設在形式上有所不同，但它採用了基本相同的方法和想法，只是在不直接涉及晶格的不同設置中實例化。

如果您的意思不是“緊湊且完全同態”，那麼不是。更確切地說：

• 如果您不堅持緊湊性，則有通用方法可以使任何加密方案完全同態 - 但密文通常會隨著評估電路的大小呈指數增長。參見例如這項工作和這項工作。
• 如果您想要緊湊的密文，但不一定能夠評估任意函式，那麼周圍有許多同態加密方案。（教科書）RSA是乘法同態的。當明文足夠小時，ElGamal 的加法變體是加法同態的。Goldwasser-Micali 對於 XOR 操作是同態的。Paillier 是加法同態的 $ \mathbb{Z}_n $ . BGN允許評估二次多項式，前提是明文仍然很小。此外，還有一些通用技術可以提升這些有限的同態性（例如，將 1 次提升到 2 次多項式的子類），請參見例如這項工作。

引用自：https://crypto.stackexchange.com/questions/84419