機率的偏同態方案
正如維基百科中提到的,有許多部分同態加密(PHE)方案,如 RSA、Elgamal、Pailler 等。
Pailler 加密方案似乎是機率性的
是否還有其他具有機率性質的 PHE 方案?
實際上,只有機率方案才會感興趣,因為所有其他方案(例如 RSA 的“普通”同態版本)都不會提供語義安全性。這是有問題的,因為對於同態加密的許多應用,明文消息可以很容易地通過“試加密”潛在的候選者和比較密文來猜測。因此,您只需要 IND-CPA 安全的方案。
是的,Paillier 本質上是機率性的。ElGamal 本質上也是機率性的,正如 Chris Peikert 在評論中所說,如果使用正確,它可以提供 IND-CPA 安全性(儘管同態可能不再對實際應用感興趣)。
IND-CCA2 安全同態加密的不可能性遵循以下論點:回憶 IND-CCA2 遊戲。在 IND 遊戲中,avdersary 送出兩條不同的消息 $ m_0\neq m_1 $ 挑戰者隨機翻轉一個位 $ b $ , 加密 $ m_b $ 並將密文提供給 $ m_b $ 給對手。現在在 IND-CCA2 設置中,攻擊者可以在挑戰前和挑戰後階段訪問解密預言機。現在讓我們考慮該方案是同態的。因此,對手可以接受挑戰密文和它選擇的任何其他消息,比如 $ m’ $ ,計算對應的密文,對對應的密文進行同態運算 $ m_b $ 和 $ m’ $ . 然後,攻擊者將生成的密文送出給解密預言機(允許這樣做,因為對解密預言機的限制只是不送出挑戰密文)。然後,當給定來自解密預言機的明文消息時,對手只需撤銷操作(來自同態) $ m’ $ 在明文空間上,如果結果消息等於 $ m_0 $ 它輸出 $ 0 $ 和 $ 1 $ 除此以外。因此,對手以機率獲勝 $ 1 $ .
因此,對於同態方案,您希望獲得的最好結果是 IND-CCA1 安全性(所謂的午餐時間攻擊,對手在看到與挑戰消息對應的密文後不再能夠訪問解密預言機)。