是否存在具有 IND-CCA1 安全性的部分同態量子安全公鑰密碼系統?
我最近問“IND-CCA1 RSA 填充?” 關於是否存在 RSA 的 IND-CCA1 安全變體。該問題的原始版本還允許使用 ECC,這將允許使用 ElGamal,提供 IND-CPA 和一些 IND-CCA1。
現在我有與上述問題相同的設置,這意味著我需要一個具有一些同態屬性和最大安全概念的密碼系統(IND-CCA1 將是最佳的,但 IND-CPA 也可以)。但是這一次我要求的是具有同態屬性並且是 IND-CCA1 安全的後量子方案。
所以最後的問題是:
是否有任何後量子公鑰加密算法提供 IND-CCA1/CPA 安全性和部分同態屬性?
請從答案中排除完全同態的加密方案。我知道它們中的大多數都是 PQ 安全的,但是它們太慢了。當然,也請排除比 FHE 計劃更慢的計劃。
本質上,任何基於 IND-CPA 安全格的密碼系統都提供加法同態,最多可進行預定數量的操作。
我不知道有任何 IND-CCA1 安全的後量子候選者提供任何同態屬性,除了基於非標準“錯誤知識”晶格假設的 Loftus-May-Smart-Vercauteren SAC'11。
應該有很多。我突然想到了 Stehlé 和 Steinfeld 的 NTRU 可證明的安全版本
$$ 1 $$,這是 IND-CPA 安全的。在該方案中,密文的形式為: $$ \begin{equation} c = pk \cdot s + p\cdot e + \operatorname{encode}(m) \end{equation} $$ 在哪裡 $ s $ 和 $ e $ 是隨機多項式, $ p $ 是一個小素數,並且 $ pk $ 是公鑰。可以證明這個方案是加法同態的:
$$ \begin{equation} c + c’ = pk \cdot (s+s’) + p\cdot (e+e’) + \operatorname{encode}(m + m’) \end{equation} $$ 事實上,這個密碼系統已經被用作一些全同態加密方案的基礎,例如
$$ 2 $$. 在回答這個問題時,我精確地解決了在這個密碼系統中添加密文的正確性條件。
參考
$$ 1 $$Stehlé, D. 和 Steinfeld, R. (2011)。使 NTRU 與理想格上的最壞情況問題一樣安全。在密碼學進展中——EUROCRYPT 2011(第 27-47 頁)。施普林格柏林海德堡。 $$ 2 $$López-Alt, A.、Tromer, E. 和 Vaikuntanathan, V.(2012 年 5 月)。通過多密鑰全同態加密在雲上進行即時多方計算。在第四十四屆 ACM 年度計算理論研討會論文集上(第 1219-1234 頁)。ACM。