Homomorphic-Encryption

有沒有辦法在同態加密系統中保持延展性,同時使其無法執行選定的密文攻擊?

  • November 26, 2018
  • 有沒有辦法在同態加密系統中保持延展性,同時使其無法執行選定的密文攻擊?

我最近一直在閱讀有關同態加密和可延展密碼系統的文章,並發現它很吸引人。我還有很多閱讀要做,但是,我在閱讀中發現了一個聲明,即延展性本質上與針對選定密文攻擊的安全性背道而馳。

雖然我閱讀了有關這種關係的更多資訊,但我很想知道是否有一種方法可以保持延展性,同時使選定的密文攻擊在計算上不可行?為什麼或者為什麼不?

我知道關於這個問題的兩條工作線。確實可以允許延展性,但在存在選擇密文攻擊的情況下仍然可以做出一些保證:

這兩篇論文都提出了允許延展性的加密方案(和安全定義) $ \textsf{Enc}(m) \leadsto \textsf{Enc}(T(m)) $ 對於一些允許的轉換 $ T $ (作為一個特徵),但是任何其他類型的延展性都是不可行的。

作為一個具體的例子,假設唯一允許的變換是恆等變換。那麼就可以變身了 $ \textsf{Enc}(m) $ 進入另一個相同的“新鮮”加密(未知) $ m $ . 但改造是不可行的 $ \textsf{Enc}(m) $ 進入任何 $ m’ \ne m $ 這與 $ m $ . 這種特殊情況稱為“可重新隨機化 RCCA”加密。

第一篇論文是我的工作,結合了我們的 3 篇會議論文;與您的問題最相關的是這個。我們的構造有額外的安全要求:通過“轉換”獲得的密文 $ \textsf{Enc}(m) \leadsto \textsf{Enc}(T(m)) $ 應該與“新”密文(即使是私鑰持有者)無法區分。我們只考慮一元變換的情況,因為在這些定義下,n 元變換(即在一個變換中組合多個密文)是不可能的。

第二篇論文沒有這個額外的要求——所以“轉換的”密文看起來與“新鮮的”密文不同。他們使用一種附加 ZK 證明的方法,證明在某些原始密文上使用了允許的轉換。

引用自:https://crypto.stackexchange.com/questions/64335