Protocol-Design

多項式的全同態加密

  • March 16, 2018

我已經閱讀了一些有關完全同態加密的文本,但沒有找到以下簡單的想法。

讓 $ p $ 成為素數。我們選擇密鑰 $ x_0 $ 在區間 $ 1\le x_0<p $ . 讓 $ \mathrm{Enc}(m) $ 是多項式 $ P(x)=a_{p-2}x^{p-2}+\ldots+a_1x+a_0 $ 隨機 $ a_{p-2},\ldots,a_1 $ 和 $ a_0 $ 這樣 $ P(x_0)=m $ ; $ \mathrm{Dec}(P):=P(x_0) $ (一切都是模 $ p $ )。這種結構給出了 FHE,因為 $ (P_1P_2)(x_0)=P_1(x_0)P_2(x_0) \bmod(x^{p-1}-1) $ 和 $ (P_1+P_2)(x_0)=P_1(x_0)+P_2(x_0). $

這個想法合理還是我錯過了一些陷阱?

我錯過了一些陷阱?

最明顯的就是秘鑰 $ x_0 $ 可以通過單個已知的明文/密文對恢復。也就是說,如果我們都知道 $ m $ 和 $ Enc(m) = a_{p-2}x^{p-2} +\ … \ + a_1 x + a_0 $ , 那麼我們知道 $ x_0 $ 是多項式的根

$$ a_{p-2}x^{p-2} +\ …\ +\ a_1 x + (a_0 - m) $$ 多項式的根模 $ p $ 可以高效回收;這會給我們帶來價值 $ x_0 $ (可能還有其他一些錯誤命中)。 另一個實際問題是您的密文包括 $ p-1 $ 價值觀;除非 $ p $ 很小(例如不超過 $ 2^{40} $ ),那麼你有不切實際的大密文。

引用自:https://crypto.stackexchange.com/questions/55635