密碼學原語如何應用？解析密文同態性的妙用_區塊鏈:ELE

作者：李昊軒

來源：微眾銀行區塊鏈

隱私數據在密文形式下是否依舊可以加減乘除？其背后的同態性原理具體指什么？半同態性和全同態性有什么區別？單密鑰和多密鑰同態加密有哪些奇妙的應用場景？

隱私保護方案設計，往往需要在密文狀態下，對隱私數據進行特定的業務操作，以此保障數據的機密性。

沿用上一論的電子支付例子，客戶目前擁有一張面額1000元的電子支票，電子支票以密文憑證形式存儲，流轉過程中不會輕易泄露金額。客戶使用這張支票時，消費額可能低于1000元，需要將支票進行拆分找零。假定消費額為200元，這一支票需要被拆分成兩份密文憑證，面額200元的給商戶，面額800元的留給客戶自己作為找零。

這個過程中，存在三個隱私保護相關的主要功能點：

客戶不希望其他人獲知找零的金額為800元，相當于在消費時能保護客戶自身財產總額相關信息不泄露。

商戶需要驗證密文支票在本次消費前的余額不小于200元，但無需知道具體的余額。

簽發密文支票的銀行需要驗證，客戶和商戶在交易后，沒有憑空造出更多的錢，即消費額與找零額相加等于拆分前的電子支票中的余額。

Nervos研究員論文被國際密碼學頂會歐密會收錄:近日，Nervos基金會密碼學研究員Alan Szepieniec的論文《Transparent SNARKs from DARK Compilers》被國際密碼學頂會歐密會收錄，同時，Alan也受邀在該會議上發表了主題演講。這項基礎性的工作為零知識證明領域貢獻了一種全新的無需Trusted Setup的通用工具，標志著 Nervos在2020年的研究工作又向前邁進了堅實的一步。

歐密會（Eurocrypt）是密碼學中最著名的學術會議國際密碼學協會所主辦的三大旗艦會之一，在CCF推薦列表和 CACR列表中均為A類會議，密碼學中最重要的文章一般都會在這三個會議中發布。Eurocrypt 2020是第39屆密碼技術理論與應用國際會議，首次在線上舉行。[2020/5/18]

以上功能點涉及如何在不解密的限制下，對隱私數據的密文形式進行計算和驗證。而解決問題的關鍵，就在于密文同態性的使用。

在數據業務中，密文同態性在需要隱私保護的相關場景方案中應用十分廣泛，可以實現隱私數據可信跨域協作、聯合數據發掘等高價值需求，在多方數據協作、機器學習、云計算等熱門領域皆有用武之地。密碼學同態究竟有何奇妙之處？且隨本文一探究竟。

聲音 | 中科院院士王小云：密碼學為區塊鏈提供了安全保障技術:據經濟參考報消息，中國科學院院士王小云介紹了格密碼理論的最新發展，并深入探析了區塊鏈的技術發展過程。王小云認為，密碼學為區塊鏈提供了交易信息防篡改、可追溯、私密性以及匿名性保護等安全保障技術，下一步，區塊鏈安全需要從算法安全、協議安全、實現安全、私鑰安全等四個方面著手展開研究。[2020/1/2]

1.同態性

同態的概念起源于抽象代數，具體是指兩個代數結構之間保持結構不變的映射。

對應地，密碼學意義中的同態，多指一類代數結構能夠滿足在指定運算下結構不變的性質。例如，函數f(x)=3x對應的代數結構滿足加法同態性，函數f(x)=x^3對應的代數結構滿足乘法同態性。

同態性在密碼學中最常見的應用之一，就是用來構造

同態加密算法。

同態加密允許在不解密的條件下，直接對密文形式下的隱私數據進行特定形式的代數運算，運算效果等同于將隱私數據明文直接計算后再加密所獲的效果。

聲音 | “現代密碼學之父”Whitfield Diffie：區塊鏈的前景取決于能否為用戶創造價值:據深圳僑報消息，近日，在第二屆智薈深圳·海外專才深圳行上，“現代密碼學之父”Whitfield Diffie表示，沒有網絡安全就沒有穩定的經濟、社會的正常運轉，就不能保障大眾的利益。而如今極為火熱的區塊鏈，其背后的核心支撐也正是公鑰加密技術。他還指出，區塊鏈在未來將會有更加龐大的用戶群，而區塊鏈的前景取決于能否為用戶創造價值。同時，區塊鏈的發展從一定程度上推動了加密技術的“復興”，使區塊鏈重新聚焦于產品的加密層面。[2019/4/18]

這項技術試圖實現隱私數據協同計算中的數據密文可計算，但明文不可見的效果。

同態加密一直是密碼學研究領域的一個重要課題，經典的算法有RSA、ElGamal、Paillier加密算法。2009年9月，CraigGentry從理論上取得了重大突破，提出了全同態加密的構造方法，即可以在不解密的條件下，對隱私數據的密文形式進行任意形式的運算，并使得運算之后的結果密文滿足同態性。

除了同態加密外，其他密碼學原語，如上一論中提及的密碼學承諾，也可能具有同態性。

動態 | Seele元一密碼學黃皮書正式公開:今日，Seele元一全球首發的密碼學領域黃皮書“多重橢圓曲線的數字簽名方法”已被提交至全球預印本資料庫資料庫資料庫arxiv.org發表，并隨后于Seele元一官網Seele.pro全文公開。該黃皮書通過橢圓曲線數量和六個參數的動態調整，實現了適用于不同應用場景和安全需求的動態簽名機制。Seele元一首席科學家畢偉博士表示：“新簽名算法和獨特的運行機制，為主網上線提供了更加堅實的安全技術保障。[2018/8/10]

同態加密與具有同態性的密碼學承諾在功能上的區別在于：

同態加密重在計算，即對多方提供的隱私數據的密文形式進行一定計算后，對結果密文解密后得到的值，等同于對明文數據進行對應運算得到的結果。這個過程不會泄露隱私數據明文，但解密之前無法獲知結果。

具有同態性的密碼學承諾重在驗證，即通過密碼學承諾密文形式的同態性，對于已知的結果，構造相應的零知識證明，用以證明多個承諾滿足一定的約束條件。密碼學承諾難以支持計算結果未知、且需要從多方收集隱私數據的密文計算過程。

同態性在不同的密碼學原語中會有不同的功能和限制，本文以同態加密算法為例，對同態性的特性和應用進行分享，其他相關密碼學原語會在后續專題中展開。

人物 | Ripple首席密碼學家轉任首席技術官:據Ripple官方消息，Ripple前首席密碼學家David Schwartz現轉任該公司首席技術官（CTO）。[2018/7/12]

2.半同態vs全同態

同態加密根據支持的運算類型的限制，可分為半同態加密和全同態加密。

對于一個半同態加密算法，其密文形式僅僅對部分運算方式滿足同態性，有代表性的密碼學算法體系如下：

加法運算同態性：UnpaddedRSA，ElGamal，Benaloh，Paillier

邏輯運算同態性：Goldwasser-Micali

半同態加密算法的優點在于構造相對簡單，工程實現效率高，目前已經可以達到商用的性能要求。

對于引言中密文支票電子支付的例子，使用一個具備加法運算同態性算法便可以構造出滿足相關的隱私保護需求的密碼學協議。除了支付之外，對于日常業務中的大多數場景，如投票、選舉、競拍等，半同態加密算法一般都可以滿足對應的隱私保護需求。

對于一個全同態加密算法，其密文形式在理論上對任意運算方式都滿足同態性。對于數據密文計算相關同態加密算法設計，這一要求通常體現為密文對應的代數結構對加法和乘法同時滿足同態性。

對于任意的隱私數據x，y，全同態加密算法提供了一對加密算法E和解密算法D，滿足如下關系：

相比半同態加密算法，全同態加密算法功能更強大、設計更復雜，整體性能遠不及半同態加密算法。例如可能面臨密文數據膨脹困擾。相關研究報告顯示，在一次使用全同態加密開源庫為敏感醫療數據構建密文線性回顧模型的嘗試中，需要將隱私數據進行編碼轉換，映射到密文的向量空間中。

此過程，1M的明文數據編碼后可能膨脹至約10G密文數據；同時，針對值域范圍為512位的明文數據，單次密文乘法運算，在普通個人計算機實測耗時約5秒左右，通常一個需要全同態計算的場景涉及的密文乘法次數很多，總體耗時較高。

由此可見，全同態加密算法的愿景雖美，但目前還處于理論探索層面，離工程實用化、支持高頻次和大數據量的業務需求尚有一定距離。

3.單密鑰vs多密鑰

同態加密根據數據控制方的數量，可分為單密鑰同態加密和多密鑰同態加密。

早期的同態加密算法都是單密鑰算法，主要應用于外包計算場景。數據控制方對自身的數據進行加密，然后發送到云計算服務平臺，在密文的形式下完成一系列運算，最后下載結果密文，本地解密之后獲得最后的計算結果。

上一節提到的ElGamal、Paillier等加密算法都是單密鑰同態加密，即對于隱私數據只能使用同一對的密鑰進行加解密。

單密鑰同態加密優點在于構造相對簡單、性能高，可用于有一定信任基礎或強監管環境下的聯合計算場景。

由于涉及到可信初始化和密鑰選用的問題，單密鑰同態加密在多方參與的協作場景中，會遇到不少挑戰，例如：

如何決定使用哪一方提供的密鑰？數據由誰來解密？

如何平衡單密鑰所代表的單一數據控制權？如何確保數據提供方的敏感數據輸入不被解密？如何防范數據控制方惡意提前終止協議？

如何讓所有參與方都能驗證最終結果正確性？

實際業務流程中，隱私數據可以由多方提供，在可信初始化之后使用同一個公鑰加密數據，并匯總密文數據進行計算，計算結束之后，需要委托可信方或者使用分布式解密協議，對最終結果進行解密。

相比單密鑰同態加密算法，多密鑰同態加密較好地解決了信任相關的問題。

一個多密鑰同態加密算法，允許不同參與方使用各自不同的密鑰對加密，加密后的密文可以通過各個參與方的公鑰進行密文擴展，擴展后的密文對于指定的運算方式依舊滿足同態性。解密過程可以通過分布式解密協議，在不泄露各自數據私鑰的前提下，對約定的結果密文進行解密。

典型的多密鑰同態加密算法可以參考ClearandMcGoldrick(CRYPTO2015)、MukherjeeandWichs(EUROCRYPT2016)相關的論文。

目前多密鑰同態加密方案，隨著參與方個數的增加，系統性能會急劇降低。對于一些需求比較明確的多方協作場景，相較于多密鑰同態加密方案，定制構造的安全多方計算協議或許更有效。

總體而言，密文同態性可以為業務場景中，常見的隱私數據的計算和驗證需求，提供有效解決方案，根據具體的業務需求，基本技術選型可以參考下圖：

正是：隱私數據密文亦無妨，計算驗證同態兩相宜！

具有同態性的密碼學原語提供了一系列直觀、便捷的密鑰學協議構造利器，在保障隱私數據機密性的同時，允許多個協作方對隱私數據的密文形式進行直接運算和驗證操作，以此適配多樣化的隱私保護需求。

除計算和驗證需求外，多方授權也是常見的業務需求之一，如對多方共有的業務數據進行授權使用，此時需要用到門限密碼學相關技術，欲知詳情，敬請關注下文分解。

Tags：區塊鏈EELSEELEELE區塊鏈專業LibreFreelencerseele幣靠譜嗎livetelecasttoken

世界幣