CN106961328A - 一种vhe实现方法 - Google Patents

Abstract

一种VHE实现方法，涉及VHE加密方案领域，包括如下步骤：根据要加密的明文向量x构造矩阵S′和M′，生成一可逆矩阵P_s及其逆矩阵P_m，计算私钥S和公钥M，其中，S＝S′P_s，M＝P_mM′，然后使用公钥M对明文x进行加密操作，计算密文向量c＝Mx+e，其中，e表示噪声向量，本发明解决了现有VHE实现方案因未能有效隐藏公钥和私钥的关系，而存在安全性问题。

Description

一种VHE实现方法

技术领域

本发明涉及整数向量同态计算领域，尤其涉及一种基于矩阵的公钥加密算法的分析与攻击的实现方法。

背景技术

VHE(Vector Homomorphic Encryption)，是一个针对整数向量的同态加密方法，以下简称VHE方法。VHE方案支持整数向量的同态加法、线性变换、向量内积等运算。其处理整数向量的同态计算效率较高，在数据挖掘、云计算方面有较好的应用前景。

VHE方法在加密过程中所使用的技术被称为Key-Switching，VHE方法的安全性基于如下数学关系：Sc＝wx+e，其中，S：私钥矩阵，c：密文向量，w：公共参数，x：明文向量，e：噪声向量；Key-Switching的具体步骤为：

(1)将明文进行比特化处理；比特化过程如下:对于明文向量，要将向量的每个维表示为长度为l(此处l为小写L，l代表比特化参数)的0-1比特向量，所有0-1向量比特组成比特化的明文向量，如x＝(3,2)，l＝3，那么x^*＝(1，1，0，0，1，0)，矩阵的比特化，取S中的每个元素s_i，将其扩展为s_i，2s_i，4s_i，然后所有的扩展向量组成S^*。

(2)指定新的私钥S＝[I，T]，其中，I代表单位矩阵，T代表随机矩阵；

(3)构造公钥矩阵其中，A是一个随机矩阵(此处的随机矩阵A和步骤(2)中的随机矩阵T的用处和维度均不相同，T在计算私钥矩阵S和公钥矩阵M上半部分时用到，而A在计算公钥矩阵上下两部分时用到)，E是随机生成的噪声矩阵，I^*是进行了比特化扩展的单位矩阵；

(4)计算密文c＝Mx。

相应的解密过程为：

上述步骤中，在已知某次单向加密的公钥与密文的情况下，可以通过如下方法对本次加密进行破解：

上述过程中将公钥构造为将私钥构造为S＝[I，T]，观察公钥结构，不难从其中得到如下内容M_m＝[TA-E]，如果知道算法使用的比特化参数就可以直接计算出M矩阵上半部分所占行数，然后就可以从该矩阵中得到[TA-E]的结构。如果不知道比特化参数，由于M上半部分的列数是其行数的整数(这个整数即是比特化参数)倍，所以可以从M的列数的因子中选择一个作为M上半部分的行数，然后对M进行分解。根据A尽可能多的构造矩阵M_m中向量的线性组合，并将其作为矩阵T中向量线性组合的近似值。考虑到解密操作即可由上述分析中得到的T中向量线性组合的近似值来模拟解密过程:

根据Mmin，A可以得到T中向量的若干线性组合，再考虑解密过程：

从上述步骤中我们可以看出，以T中向量线性组合的近似值及密文尽可能多的模拟解密过程，即可得到若干组明文的近似值，再考虑到M中引入的噪声和w的关系，可以推断出该近似值与真实值十分接近。

对于一个公钥加密方法而言，私钥是不允许公开的，也不允许方法中的公开部分泻露私钥、明文的相关信息，而通过上述的分析方法可以破解其单向加密，也就是说现有的VHE方法未能有效地隐藏公钥和私钥的关系，因此，该实现方法是不安全的。

发明内容

本发明的目的在于：解决现有VHE实现方法因未能有效隐藏公钥和私钥的关系，而导致的安全问题，本发明提供一种VHE实现方法。

本发明的具体方案如下：

一种VHE实现方法，包含以下步骤：

步骤一：根据要加密的明文向量构造如下矩阵 其中x代表明文向量，表示n维整数向量集合，I表示单位矩阵，表示a行b列的矩阵集合，T，A表示随机生成的整数矩阵，w表示加密算法中选取的一个大整数,S′和M′都是计算的中间产物，目的是利用这两个矩阵计算S和M。

步骤二：生成一可逆矩阵及其逆矩阵P_s，P_m表示有理数矩阵，表示a行b列的有理数矩阵集合。

步骤三：根据步骤一和步骤二得到的S′、M′、P_s、P_m的值计算私钥S和公钥M，其中，S＝S′P_s，M＝P_mM′。

步骤四：根据步骤三中得到的公钥M进行加密操作，计算密文向量c＝Mx+e，其中，e表示噪声向量。

上述步骤对应的解密操作为：计算符号表示对向量a中的元素就近取整。

进一步地，所述步骤一的具体过程为：假设明文为整数向量x＝(x₁，x₂，x₃)，并生成随机矩阵

然后构造S′，M′，其中，

进一步地，所述步骤二的具体过程为：所述步骤二的具体过程为：对单位矩阵I进行多次初等行变换，得到可逆矩阵P_s，然后计算可逆矩阵P_s的左逆元得到矩阵P_m，且P_sP_m＝I。

进一步地，所述步骤三的具体过程为：

进一步地，所述步骤四的具体过程为：假设生成的噪声矩阵为e＝(e₁，e₂，…，e₅)，密文由如下计算过程得到：

c＝Mx+e＝(C₁，C₂，...，c₅)。

采用上述方案后，本发明的有益效果在于：

(1)安全性：

单向加密安全性：改进后的方案加密过程为c＝Mx+e＝(c₁，c₂，…，c₅)，加密过程中除了计算Mx之外，还要引入噪声矩阵e，使得已知密文和公钥求明文的问题为LWE(Learnwith Error)问题，该问题被证明在量子计算的条件下是困难的，从而使该加密过程享有LWE同等的安全性。

公钥不泄露私钥信息：公钥为M＝P_mM′，在仅知道M的情况下要解出P_m，M′是困难的，而M不再具有M′的结构特征，故要从M分析关于T的信息也是困难的。

(2)解密正确性：考虑解密过程 对w，T，P_s，e做适当的约束，令[I，T]P_Se的任意一项都小于即可正确解密。

具体实施方式

下面结合具体实施例对本发明的方案进行进一步地详细说明。

一种VHE实现方法，包含以下步骤：

步骤一：根据要加密的明文向量构造如下矩阵 其中x代表明文向量，表示n维整数向量集合，I表示单位矩阵，表示a行b列的矩阵集合，T，A表示随机生成的整数矩阵，w表示加密算法中选取的一个大整数，S′和M′都是计算的中间产物，目的是利用这两个矩阵计算S和M；假设明文为整数向量x＝(x₁，x₂，x₃)，并生成随机矩阵

然后构造S′，M′，其中，

步骤二：对单位矩阵I进行多次初等行变换，得到可逆矩阵计算可逆矩阵P_s的左逆元得到矩阵且P_sP_m＝I，P_s，P_m表示有理数矩阵，表示a行b列的有理数矩阵集合。

步骤三：根据步骤一和步骤二得到的S′、M′、P_s、P_m的值计算私钥S和公钥M，其中，

步骤四：根据步骤三中得到的公钥M进行加密操作，计算密文向量c＝Mx+e，其中，e表示噪声向量；假设生成的噪声矩阵为e＝(e₁，e₂，...，e₅)，密文为：c＝Mx+e＝(c₁，c₂，...，c₅)。

上述步骤对应的解密操作为：计算 符号表示对向量a中的元素就近取整，对w，T，P_s，e做适当的约束，令[I，T]P_Se的任意一项都小于即可正确解密。

Claims (5)

1.一种VHE实现方法，其特征在于，包含以下步骤：

步骤一：根据要加密的明文向量构造矩阵 其中x代表明文向量，表示n维整数向量集合，I表示单位矩阵，表示a行b列的矩阵集合，T，A表示随机生成的整数矩阵，w表示加密算法中选取的一个大整数,S′和M′都是计算的中间产物，目的是利用这两个矩阵计算S和M；

步骤二：对单位矩阵I进行变换，生成一可逆矩阵及P_s的逆矩阵P_s，P_m表示有理数矩阵，表示a行b列的有理数矩阵集合；

步骤三：根据步骤一和步骤二得到的S′、M′、P_s、P_m的值计算私钥S和公钥M，其中，S＝S′P_s，M＝P_mM′；

步骤四：根据步骤三中得到的公钥M进行加密操作，计算密文向量c＝Mx+e，其中，e表示噪声向量；

上述步骤对应的解密操作为：计算符号表示对向量a中的元素就近取整。

2.根据权利要求1所述的一种VHE实现方法，其特征在于，所述步骤一的具体过程为：明文为整数向量x＝(x₁，x₂，x₃)，并生成随机矩阵

$T=\left[\begin{array}{c}{t}_{11},t_{12}\\ t_{21},t_{22}\\ t_{31},t_{32}\end{array}\right],A=\left[\begin{array}{c}{a}_{11},a_{12},a_{13}\\ a_{21},a_{22},a_{23}\end{array}\right],$

然后构造S′，M′，其中，

$S^{\′}=\left[\begin{array}{c}1,0,0,t_{11},t_{12}\\ 0,1,0,t_{21},t_{22}\\ 0,0,1,t_{31},t_{32}\end{array}\right],$

$M^{\′}=\left[\begin{array}{c}w-t_{11}{a}_{11}-t_{12}{a}_{21},-t_{11}{a}_{12}-t_{12}{a}_{22},-t_{11}{a}_{13}-t_{12}{a}_{23}\\ -t_{21}{a}_{11}-t_{22}{a}_{21},w-t_{21}{a}_{12}-t_{22}{a}_{22},-t_{21}{a}_{13}-t_{22}{a}_{23}\\ -t_{31}{a}_{11}-t_{32}{a}_{21},-t_{31}{a}_{12}-t_{32}{a}_{22},w-t_{31}{a}_{13}-t_{32}{a}_{23}\\ a_{11},a_{12},a_{13}\\ a_{21},a_{22},a_{23}\end{array}\right].$

3.根据权利要求1所述的一种VHE实现方法，其特征在于，所述步骤二的具体过程为：对单位矩阵I进行多次初等行变换，得到可逆矩阵P_s，然后计算可逆矩阵P_s的左逆元得到矩阵P_m，令P_sP_m＝I。

4.根据权利要求1所述的一种VHE实现方法，其特征在于，所述步骤三的具体过程为：

$S=S^{\′}{P}_s=\left[\begin{array}{c}1,0,0,t_{11},t_{12}\\ 0,1,0,t_{21},t_{22}\\ 0,0,1,t_{31},t_{32}\end{array}\right]P_s,$

$M=P_m{M}^{\′}=P_m\left[\begin{array}{c}w-t_{11}{a}_{11}-t_{12}{a}_{21},-t_{11}{a}_{12}-t_{12}{a}_{22},-t_{11}{a}_{13}-t_{12}{a}_{23}\\ -t_{21}{a}_{11}-t_{22}{a}_{21},w-t_{21}{a}_{12}-t_{22}{a}_{22},-t_{21}{a}_{13}-t_{22}{a}_{23}\\ -t_{31}{a}_{11}-t_{32}{a}_{21},-t_{31}{a}_{12}-t_{32}{a}_{22},w-t_{31}{a}_{13}-t_{32}{a}_{23}\\ a_{11},a_{12},a_{13}\\ a_{21},a_{22},a_{23}\end{array}\right].$

5.根据权利要求1所述的一种VHE实现方法，其特征在于，所述步骤四的具体过程为：生成的噪声矩阵为e＝(e₁，e₂，…，e₅)，密文由如下计算过程得到：c＝Mx+e＝(c₁，c₂，…，c₅)。