有沒有辦法在同態加密系統中保持延展性，同時使其無法執行選定的密文攻擊？

• 有沒有辦法在同態加密系統中保持延展性，同時使其無法執行選定的密文攻擊？

我最近一直在閱讀有關同態加密和可延展密碼系統的文章，並發現它很吸引人。我還有很多閱讀要做，但是，我在閱讀中發現了一個聲明，即延展性本質上與針對選定密文攻擊的安全性背道而馳。

雖然我閱讀了有關這種關係的更多資訊，但我很想知道是否有一種方法可以保持延展性，同時使選定的密文攻擊在計算上不可行？為什麼或者為什麼不？

我知道關於這個問題的兩條工作線。確實可以允許延展性，但在存在選擇密文攻擊的情況下仍然可以做出一些保證：

• Manoj Prabhakaran 和 Mike Rosulek：調和非延展性與同態加密。
• Dan Boneh 和 Gil Segev 以及 Brent Waters：目標延展性：受限計算的同態加密。

這兩篇論文都提出了允許延展性的加密方案（和安全定義） $ \textsf{Enc}(m) \leadsto \textsf{Enc}(T(m)) $ 對於一些允許的轉換 $ T $ （作為一個特徵），但是任何其他類型的延展性都是不可行的。

作為一個具體的例子，假設唯一允許的變換是恆等變換。那麼就可以變身了 $ \textsf{Enc}(m) $ 進入另一個相同的“新鮮”加密（未知） $ m $ . 但改造是不可行的 $ \textsf{Enc}(m) $ 進入任何 $ m’ \ne m $ 這與 $ m $ . 這種特殊情況稱為“可重新隨機化 RCCA”加密。

第一篇論文是我的工作，結合了我們的 3 篇會議論文；與您的問題最相關的是這個。我們的構造有額外的安全要求：通過“轉換”獲得的密文 $ \textsf{Enc}(m) \leadsto \textsf{Enc}(T(m)) $ 應該與“新”密文（即使是私鑰持有者）無法區分。我們只考慮一元變換的情況，因為在這些定義下，n 元變換（即在一個變換中組合多個密文）是不可能的。

第二篇論文沒有這個額外的要求——所以“轉換的”密文看起來與“新鮮的”密文不同。他們使用一種附加 ZK 證明的方法，證明在某些原始密文上使用了允許的轉換。

引用自：https://crypto.stackexchange.com/questions/64335