同态加密

** 为什么格上能够构造全同态加密-1 ** 本文由陈智罡博士撰写。 目前只有在格上能够构造全同态加密方案。 为什么呢？ 早在2015年，这个问题就萦绕在我脑海。当时对GSW这个方案很感兴趣，GSW方案中密文被表达成了一个矩阵，矩阵与矩阵的乘积不会导致密文维数的增长，所以不需要使用密钥交换来约减密文的维数。此外，对噪音的约减也包含在了GSW密文的乘法中，使得GSW方案非常简洁。 最重要的是该方案具有通用性。你把（环）LWE加密方案，NTRU加密方案，整数上的加密方案直接带进去，就可以得到一个GSW风格的全同态加密方案。这种通用性是来自于什么呢？ 学术界最大的特征是对问题的追问。工业界最大的特征是对应用场景的追问。 抽象解密结构 通过对GSW方案的分析，发现GSW在解密过程中的结构是：sm+e mod q，其中s是密钥，m是消息，e是噪音，q是模。这种结构不是GSW独有的，而是在格上NTRU加密方案中就是这样的结构。于是我们的目光转向了解密过程。 在全同态加密中分析同态性时，都是以解密作为出发点。这是为什么？ 以LWE加密方案的解密为例：<c,s>=(q/2)m+e mod q，其中c是密文，s是密钥，m是消息，e是噪音，q是模。仔细观察解密式子，会发现这里面把密文、明文、噪音以及密钥的关系都呈现出来了。而全同态加密的本质就是密文计算对应于明文计算，所以密文和明文之间的关系很重要

隐私计算技术是密码学的一个前沿发展方向，填补了数据在计算环节隐私性问题的空白，将基于密码学的信息安全体系打造成完整的闭环，为云计算、分布式计算网络和区块链等技术的应用提供隐私性基础。本专题将简述隐私计算技术，并分析其起源、技术方向与应用前景。 随着信息技术的不断发展，数据逐渐成为政府、企业与个人的重要资产，其发掘、存储、处理与使用变得愈发重要，逐渐产生了隐私性需求。隐私计算，是一类数据或计算方法保持加密状态，不泄露给其他合作方的前提下，进行计算合作的技术，其出现填补了密码学出现以来在信息的处理和使用环节的空白。 目前阶段，密码学层面的隐私计算主要有全同态加密、多方安全计算、零知识证明等主要的技术方向。 　　满足同态性的加密函数能够实现在不解密原始数据的前提下对加密数据进行某一运算，提供了对加密数据的计算能力。全同态加密算法则是指给定任意一种运算规则，可以通过算法构造出对加密数据的相应运算规则，并满足同态性。全同态加密是相对基础性的隐私计算技术，应用范围较广，但其目前计算效率较低，并存在一定局限性。 　　安全多方计算解决如何在参与计算的各方不泄露自身输入、且没有可信第三方的情况下安全地计算约定的函数并得到可验证结果的问题。安全多方计算主要解决的主要目的是解决互不信任的参与方在保护隐私的前提下协同计算的难题。其自身同样存在局限性，不能保证参与者的诚实度，也无法阻止参与者恶意输入。 　

如何学习全同态密码 ** 本文由陈智罡博士撰写。 自从微信公众号里发了我在2015年写的博文“ 给博士生的话 ”后，许多研究生问如何学习全同态加密，以及全同态加密的必看的三篇文章是什么。在这里为大家统一答复。 学习全同态加密需要三部分知识： 数学基础，格密码基础，全同态加密 。 许多研究生在学习全同态加密时，以为只是学习全同态加密，所以看第一篇文章时，从入门直接到放弃。 这是因为任何知识都需要其它的知识作为基础，而全同态加密属于公钥密码学，所以首先它是一个加密算法，然后具有同态属性。 因此，必须熟悉格加密算法，以及相关的数学知识。下面我们分别说说这三部分。 **数学基础** 因为目前全同态加密都是构建在格密码算法之上的，所以格密码需要哪些数学知识，以及全同态加密本身需要哪些数学知识就构成了整个学习所需的数学基础。 格密码需要哪些数学基础呢？ 主要需要线性代数和抽象代数的基础。线性代数一般理工科都学过，例如矩阵，行列式等计算，向量空间的基等。格加密算法里的计算都是矩阵行列式计算。 抽象代数估计不是数学专业的，有可能没学过。抽象代数里的群、环、域等知识非常重要，尤其是环，是格加密的数学基础。抽象代数中一般还会涉及到数论一些知识，也在全同态加密中会使用，例如模计算等。 初学者可以看：An Introduction to Mathematical Cryptography 补充相关数学知识