CN112543091A - 密文长度固定的多密钥全同态加密方法 - Google Patents

Abstract

本发明属于信息安全技术领域，具体设计了两种密文长度固定的多密钥全同态加密通用构造方法以及两种具体的密文定长的多密钥全同态加密方案THFE型和CKKS型，密文长度固定的MKFHE方案的通用构造方法包括以下步骤：将用户集的公钥进行累加，构造了长度固定的用户集的累加公钥；各用户用累加公钥加密自己私钥，生成累加计算密钥；对单个用户密文和对应的累加自举密钥运行自举过程，实现密文的刷新；对刷新后的密文运行同态计算和联合解密。本发明利用CGGI系列方案高效的自举方法和CKKS方案支持近似数据同态计算的优点，构造了两个高效的定长MKFHE方案。分析表明，本申请的密文规模、同态计算效率与用户数无关，同单用户全同态加密方案一样高效。

Description

密文长度固定的多密钥全同态加密方法

技术领域

本申请属于信息安全技术领域，设计了密文长度固定的多密钥全同态 加密通用构造方法，特别涉及针对TFHE型定长MKFHE和CKKS型 MKFHE的密文长度固定的多密钥全同态加密方法。

背景技术

作为信息安全领域的核心技术，密码技术在保护用户隐私数据的安全 存储、传输和处理方面发挥着至关重要的作用。全同态加密支持对密文数 据进行任意的运算处理，为云环境下用户隐私数据的安全存放、传输和处 理提供了强有力的工具。MKFHE支持对不同用户(不同密钥)的密文进行 任意的同态运算，且运算之后的结果可由参与计算的所有用户联合解密， 可以较好地解决多用户数据之间的安全联合计算问题。

随着云计算、大数据等新兴需求牵引，外包计算、安全多方计算 (Multi-partycomputation，MPC)等新型计算模式迅速发展，如何保证信 息在处理过程中的安全和信息所有者的隐私，已成为当前信息安全领域的 研究热点。全同态加密(Fully homomorphicencryption，FHE)支持对密文 数据运行任意的函数，具备强大的密态计算能力。典型的FHE只能支持对 单个用户的密文进行同态计算，即参与计算的所有密文对应于相同的密钥。然而在许多的现实场景中，通常需要对网络中多个用户上传到云端的数据 一起进行计算。多密钥全同态加密(Multi-Key fully homomorphic encryption，MKFHE)支持对不同用户(不同密钥)的密文进行任意的同态 运算，运算之后的结果由参与计算的用户联合解密，因此可以较好地解决 多用户密文进行同态计算的问题，云环境下MKFHE在多用户数据安全计算中应用的流程见图1。

当前，MKFHE方案都是在经典的全同态加密方案的基础上发展而来， 按照底层同态加密方案的不同类型，当前多密钥全同态加密主要分为NTRU 型、GSW型、BGV型、TFHE型，四类MKFHE方案的分析对比见表1:

表1四类MKFHE方案的分析

多密钥全同态加密具有重要理论价值和应用前景，表1对现阶段4类 MKFHE(NTRU型、GSW型、BGV型、TFHE型)方案进行了分析，目 前，大多数BGV型、GSW型、TFHE型MKFHE方案都使用转化模式，其 中以密文级联为特征的单用户密文到用户集密文的密文扩展算法，使扩展 密文规模随着用户数的增加呈平方或线性规模增长，这限制了MKFHE在 大量用户参与场景中的应用。

本方案将多个用户公钥直接累加的方式生成用户集的联合公钥，将自 举过程引入密文扩展过程，构造基于LWE/RLWE问题的固定长度扩展密文。 分析表明，本方案方案的密文规模、同态计算效率与用户数无关，和单用 户全同态加密方案一样高效。当用户集合更新时，原先集合的密文经过密 文转化后可以用到新集合的同态计算，但方案需要各用户提供新的公共密 钥。本方案与LZY+19，CCS19，CDKS方案空间对比见表2，其中k是参 与计算的用户数，n是(R)LWE的维度。

表2本方案与LZY+19，CCS19，CDKS方案空间对比

发明内容

本申请的目的在于提出一个密文长度固定的多密钥全同态加密方法， 设计了密文长度固定的MKFHE方案的通用构造方法，利用CGGI系列方 案高效的自举方法和CKKS方案支持近似数据同态计算的优点，构造了两 个高效的定长MKFHE方案，方案的密文规模、同态计算效率与用户数无 关，同单用户全同态加密方案一样高效。

TFHE型定长MKFHE包括以下步骤：

·HDTMK.Setup(1^λ)→pp＝(pp^LWE,pp^GSW)：

LWE.Setup(1^λ)→pp^LWE＝(η,χ,α,B_ks,d_ks,B)；

GSW.Setup(1^λ)→pp^GSW＝(N,φ,α,B,d,y)，其中，B,y随机产生的公用变 量；

·HDTMK.KeyGen(pp)→(pk_i,sk_i,pk_BK,i,sk_BK,i)；

LWE.KeyGen(pp)→{pk_i＝A_i,sk_i＝s_i}；

RGSW.KeyGen(pp)→{pk_BK,i＝Z_i,sk_BK,i＝z_i}；

当所有用户都完成HDTMK.KeyGen(params)程序之后，运行累加计算密钥 生成算法；如果方案中有用户更新，则重新运行密钥生成算法；

·

1)公钥累加：给定k个用户的公钥b₁,...,b_k生成累加公钥

累加自举公钥：给定k个用户的自举公钥d₁,...,d_k生成累加自举公钥

2)用户累加自举密钥：输入累加自举公钥

secret key of LWEciphertext

输出单用户的累加自举密钥

其中i∈[k]，j∈[n]。

3)用户累加计算密钥：输入累加公钥

RGSW密文的私钥z_i，令

生成单用户的累加转化密钥

其中i∈[k]。

·HDTMK.Enc(pk,μ)：输入明文μ，用户公钥pk，运行

·HDTMK.Dec((sk₁,...,sk_k),ct)：输入密文

输入密钥 (sk₁,...,sk_k)，返回使得

最小的明文比特μ′∈{0,1}；

·

输入密文

和自举密 钥集合

转化密钥集合

使用如下自举过程实现同态运 算：

1)云端通过

生成累加密文的累加转化密钥

云 端通过

生成累加密文的累加自举密钥

其中j∈[n]，

HomAddk(,)是k个1位TGSW密文的同态加法算法，可以使用TGSW密文 的同态乘法和同态加法构造。对于固定的用户集，云端只需要计算一次

和

之后将其作为公共变量给出。

2)密文刷新：给定密文

和对应的计算密钥

或

运行如下的同态累加算法：

2-1.输入密文

返回

和

以及对应 的自举密钥

2-2.初始化RLWE密文

其中

令

对于j＝1到n,，运行：

(1).

(2).

...

其中选择最大电路CMux(C,d₁,d₀)沿用CGGI16的表达，输入一个控制 TGSW密文C和两输入的RLWE密文数据d₁,d₀，输出RLWE的密文

是GSW密文和BGV密文的混合同态乘法运算；

2-3.输出

3)密钥转化过程：最后一步将ACC转化为LWE密文，并运行密 钥转化算法；

3-1.输入密文ACC＝(c₀,c₁)∈T²，令b″是多项式c₀中的常数项，a″是 由多项式c₁的系数组成的向量；输出LWE密文

3-2.令Let

运行密钥转化算法，输出密文

·利用自举过程构造同态与非门NAND电路 HDTMK.NAND(c₁,c₂)＝HDTMK.Boot((0,5/8)-c₁-c₂)；

CKKS型定长MKFHE包括以下步骤：

·HDCMK.Setup(1^λ)：输入安全参数λ，选择一个为2的幂次的整数N；令 χ_key,χ_err,χ_enc分别为私钥、噪声和加密过程使用的

上的分 布；选择素数P，p和层数L，令密文模数q_l＝p^l，其中1≤l≤L，随机选 择

输出公共参数 pp＝(N,χ_key,χ_err,χ_enc,L,P,q_l,a,a′)；

·HDCMK.KeyGen(pp)：输入公共参数pp，选取s←χ_key，e←χ_err，输出用 户公钥pk为

选取e′←χ_err，输出用户计算公钥pk_evk为

当所有用户都完成HDCMK.KeyGen(pp)程序之后，运行累加计算密钥生 成算法；如果方案中有用户更新，则重新运行密钥生成算法；

·

1)累加公钥：给定k个用户的公钥b₁,...,b_k生成CKKS型累加公钥

2)累加计算公钥：给定k个用户的计算公钥b₁′,...,b_k′生成CKKS型累加 公钥

3)累加计算密钥部件生成：

生成用户i的密文集合刷新密钥

生成用户i生成转化密钥的部件

其中e_s←χ_err，输出

输出移位密钥

共轭密钥

4)云端生成计算密钥

当系统的用户集合更新时，HDCMK系统不使用自举，而用累加的密 钥转化过程实现密文对应的密钥集合的刷新(将老集合的密文转化为新集 合的密文)，相对BP16，这种模式大幅提升方案效率。

·HDCMK.Enc(pk,m)：c＝CKKS.Enc_pk(m)；

·HDCMK.Dec((sk₁,...,sk_k),c)：输入l层的密文c，输出 m′＝＜c,sk₁+...+sk_k＞(modq_l)；

当系统的用户集合更新时，HDCMK系统不使用自举，而用累加的密 钥转化过程实现密文对应的密钥集合的刷新(将老集合的密文转化为新集 合的密文)，相对BP16，这种模式大幅提升方案效率。

·

输入密文c′＝(b′,a′)，构造对应的累加转 化密钥

输出

·同态运算：如果输入同态运算的密文对应的公钥不相同时，利用

将其转化到相同公钥，之后再进行同态运 算；同态运算过程、自举过程和CKKS方案相同，只是将输入的计算密 钥替换成累加计算密钥，因此计算效率与单比特全同态加密方案相同。

-HDCMK.Add(ct,ct′).CKKS.Add(ct,ct′).

-HDCMK.CMult(a,ct).CKKS.CMult(a,ct).

-

-

与现有技术相比，本发明具有以下有益效果:

(1)本发明的密文规模与用户数量无关，同态运算和单用户全同态加 密方案一样高效。当用户集合更新时，原先集合的密文经过密文转化(或 刷新)后还可以继续用于新集合的同态计算，但方案需要提供新的累加计 算密钥。

(2)本发明加密方法中，如果用户没有授权(提供自身私钥的密文) 数据参加某个集合的运算，则自身的数据无法参与该集合运算，相对于全 动态的MKFHE，本发明提出的半动态MKFHE支持用户对自身数据参与哪 个集合的运算进行有效控制。

(3)本发明加密方法中，半动态MKFHE可以向单密钥全同态加密兼 容，即加密函数、同态计算函数、解密函数与单密钥全同态加密相同，因 此如果先期已经利用单密钥全同态加密搭建好程序，经过少量的改变就可 以转化为多密钥全同态加密。

附图说明

图1是云环境下MKFHE在多用户数据安全计算中应用的流程；

图2是本发明双用户情况下同态运算的步骤。

具体实施方式

下面结合具体实施例对本方案做进一步详细的描述，但本方案的实施 方式不限于此。

密文长度固定的多密钥全同态加密方法，首先，设计密文长度固定的 MKFHE方案的通用构造方法，通用构造有两种模式：静态定长MKFHE方 案和半动态定长MKFHE方案，它们分别适用于不同的场景。

静态定长MKFHE方案：

下面介绍用户i运行方案的过程(本方案和大部分的MKFHE方案一样， 基于CRS模型，所有用户使用一些相同的公共参数)：

·SAMK.Setup(1^λ):FHE.Setup(1^λ)→params

·SAMK.KeyGen(params,i,B):FHE.KeyGen(params,B)→pk_i,sk_i

当所有用户都完成程序SAMK.KeyGen之后，运行计算密钥生成算法；

·SAMK.EvalKeyGen(params,sk_i,{pk₁,...,pk_k}):

1)SAMK.SAPK(params,sk_i,{pk₁,...,pk_k}):

公钥累加函数：将单个用户的公钥中的非公共参数部分累加，生成联 合公钥。例如：GSW型FHE中公共参数为B，用户公钥为b_i＝s_iB+e_i，则 得到联合公钥

2)

如果需要运行密钥转化过程(GSW 型MKFHE无需运行密钥转化过程)，则需要使用单用户和累加用户的累 加转化密钥；

用户提供单用户的累加转化密钥

云端通过

生成累加密文的累加转化密钥：

3)

如果需要运行自举过程，则需要使用单用户密文和累加密文的累加自 举密钥；

用户提供单用户密文的累加自举密钥

云端通过

生成累加密文的累加自举密钥：

其中 HomAddk(,)是对于l比特的同态加法电路；

·

·SAMK.Dec((sk₁,...,sk_N),C):和大多数MKFHE一样，方案可以构造联 合解密协议，协议分为部分解密和最终解密两个部分。

1)SAMK.PartDec(C,i,sk_i)：用户i利用自身私钥sk_i＝(-s_i,1)，运行部分解 密协议；为了方案更加高效，我们保留密文的公用部分不进行运算。例如： GSW型FHE中的结果过程

我们计算

其中C_{[1,...,n-1；]}表示密文C的前n-1列，

用于保证中间变量的 安全；

2)SAMK.FinDec(p′₁,...,p′_N)：解密者得到所有用户的中间变量后，最终 解密

因为所有的密文都是对应相同的公钥(联合)都是相同的，因此同态 计算过程和单密钥全同态加密的计算过程是完全相同的，因此效率较其它 MKFHE具有较大优势。

·SAMK.Add(C₁,C₂):C₊←FHE.Add(C₁,C₂):

·

·

上述方案的解密过程正确性可以通过下式得到：

半动态定长MKFHE方案：

参见图2，半动态定长MKFHE方案，该方案可以达到：密文规模与用 户数无关，当用户集和更新时所有的密文可以继续在新的集合中使用。方 案和核心思想是：加密数据时使用个人公钥或私钥，利用优化的自举过程 (或密钥转化过程)将密文调整为累加公钥，从而实现密文可重用。半动 态MKFHE和SAFHE有两个不同之处：同态计算前需要调整密文对应的公 钥到新的用户集，用户集合更新时需要进行交互从而生成新的计算密钥。

·HDMK.Setup(1^λ):FHE.Setup(1^λ)→params

·HDMK.KeyGen(params):FHE.KeyGen(params,B)→pk_i,sk_i

当所有用户都完成HDMK.KeyGen(params)程序之后，运行计算密钥生成 算法；如果方案中有用户更新，则重新运行密钥生成算法；

·HDMK.EvalKeyGen(params,sk_i,{pk₁,...,pk_N})：

·HDMK.Enc(pk,μ):FHE.Enc(pk,μ)→C；

·HDMK.Dec((sk₁,...,sk_N),C):SAMK.Dec((sk₁,...,sk_N),C)→μ′；

·

沿用BP16的表示方法，通用模式使 用自举过程实现同态运算；

1)

该过程实现密文公钥的刷新，其中

是C_i对应的自举密钥，如果C_i是单个用户的密文，则其自举密钥是 对应的

如果C_i是累加公钥的密文，则其自举密钥是对应的

2)

该过程实现联合密文同态计算，其中

是 联合密文的计算密钥；

半同态定长MKFHE方案通用方案的缺陷是：用户集合更新时，需要 所有用户更新计算密钥和自举密钥(即群中成员变化时需要征得所有用户 的同意)，因此方案需要三轮交互才能构造MPC。

在半动态定长MKFHE方案中，

对于TFHE型定长MKFHE，其具体的加密方法是：

CGGI系列方案是目前自举过程速度最快的一类方案，基于CGGI系列 方案平凡的构造HDMK效率较低，本方案针对TFHE方案的特点，构造高 效的HDTMK方案。CGGI系列的FHE只能支持私钥分量取自{0,1}的情况， 而累加自举私钥分量的取值范围更大，所以无法直接高效应用。为了使得 定长MKFHE和基础CGGI系列方案更好得结合，本方案设计了私钥扩展 的TFHE方案，该方案能够在私钥空间更平凡的情况下实现自举。

·HDTMK.Setup(1^λ)→pp＝(pp^LWE,pp^GSW)：

LWE.Setup(1^λ)→pp^LWE＝(η,χ,α,B_ks,d_ks,B)；

GSW.Setup(1^λ)→pp^GSW＝(N,φ,α,B,d,y)，其中，B,y随机产生的公用变 量。

·HDTMK.KeyGen(pp)→(pk_i,sk_i,pk_BK,i,sk_BK,i)。

LWE.KeyGen(pp)→{pk_i＝A_i,sk_i＝s_i}；

RGSW.KeyGen(pp)→{pk_BK,i＝Z_i,sk_BK,i＝z_i}。

当所有用户都完成HDTMK.KeyGen(params)程序之后，运行累加计算密钥 生成算法。如果方案中有用户更新，则重新运行密钥生成算法。

·

1)公钥累加：给定k个用户的公钥b₁,...,b_k生成累加公钥

累加自举公钥：给定k个用户的自举公钥d₁,...,d_k生成累加自举公钥

2)用户累加自举密钥：输入累加自举公钥

secret key of LWEciphertext

输出单用户的累加自举密钥

其中i∈[k]，j∈[n]。

3)用户累加计算密钥：输入累加公钥

RGSW密文的私钥z_i，令

生成单用户的累加转化密钥

其中i∈[k]。

·HDTMK.Enc(pk,μ)：输入明文μ，用户公钥pk，运行

·HDMK.Dec((sk₁,...,sk_k),ct)：构造联合解密协议，协议分为部分解密 和最终解密两个部分。

1)HDMK.PartDec(C,i,sk_i)：用户i利用自身私钥sk_i＝(-s_i,1)，运行部 分解密协议。为了方案更加高效，保留密文的公用部分不进行运算。例如： GSW型FHE中的结果过程

计算

其 中C_{[1,...,n-1；]}表示密文C的前n-1列，

用于保证中间变量的安 全。

2)HDMK.FinDec(p′₁,...,p′_N)：解密者得到所有用户的中间变量后， 最终解密

·

输入密文

和自举密 钥集合

转化密钥集合

使用自举过程实现同态运算：

1)云端通过

生成累加密文的累加转化密钥

云 端通过

生成累加密文的累加自举密钥

其中j∈[n]，

HomAddk(,)是k个1位TGSW密文的同态加法算法，可以使用TGSW密文 的同态乘法和同态加法构造；对于固定的用户集，云端只需要计算一次

和

之后将其作为公共变量给出；

2)密文刷新：给定密文

和对应的计算密钥

或

运行如下的同态累加算法：

2-1.输入密文

返回

和

以及对应 的自举密钥

2-2.初始化RLWE密文

其中

令

对于j＝1到n,，运行：

(1).

(2).

...

其中选择最大电路CMux(C,d₁,d₀)沿用CGGI16的表达，输入一个控制 TGSW密文C和两输入的RLWE密文数据d₁,d₀，输出RLWE的密文

是GSW密文和BGV密文的混合同态乘法运算，具体过 程见方案Chillotti I,Gama N,Georgieva M,et al.Fasterfully homomorphic encryption:bootstrapping in less than 0.1seconds[C].International Conference on the Theory and Application of Cryptology andInformation Security—ASIACRYPT 2016.Springer,Berlin,Heidelberg,2016:3-33；

2-3.输出

3)密钥转化过程：最后一步将ACC转化为LWE密文，并运行密 钥转化算法。

3-1.输入密文ACC＝(c₀,c₁)∈T²，令b″是多项式c₀中的常数项，a″是 由多项式c₁的系数组成的向量。输出LWE密文

3-2.令Let

运行密钥转化算法，输出密文

′利用自举过程构造同态与非门NAND电路. HDTMK.NAND(c₁,c₂)＝HDTMK.Boot((0,5/8)-c₁-c₂)

安全性分析：本方案的语义安全基于(R)LWE假设，参数pp^LWE，pp^GSW使得(R)LWE假设达到λ-bit的安全基本，本方案和大部分方案一样需要基 于循环安全性假设。

正确性分析：本方案中输入自举过程的密文(b′,a′)的噪音

需要满足

输出的LWE密文噪声e应该足够小，噪声分析的过程如 下：

基础知识：HDTMK方案噪声估计

沿用CCS19的表达，定义分解基B，分解度d，令ε²＝1/(12B^2d)是 (-1/2B^d,1/2B^d]上的均匀分布的方差。定义

是

中均匀分布的均方差。使用类似的方法定义自举算法的密钥 转化算法中的参数

B_ks。定义RGSW和LWE上私钥分布χ∈{0,1}^w,

定义Var(e)为

上随机变量e的方差。如果e是随机变量组成的向 量，定义Var(e)为向量元素中方差的最大值。

舍入噪声：已知

假设每次舍入的噪声服从

的随机均匀分布，则表达式

整 体的舍入噪声的方差为

计算密钥的初始噪声：

噪声方差为

噪声方差为

沿用CGGI7的方法，对本方案自举噪声分析如下。

令Let d₀,d₁ be TRLWE samples and let C∈TGSW_s({0,1})，Then， msg(CMux(C,d₁,d₀))＝msg(C)？msg(d₁):msg(d₀)，Andwe have ||Err(CMux(C,d₁,d₀))||_∞≤max(||Err(d₀)||_∞,||Err(d₁)||_∞)+η(C)，where

we have:Var(Err(CMux(C,d₁,d₀)))≤max(Var(Err(d₀)),Var(Err(d₁)))+θ(C)，where θ(C)＝2dNV_BVar(E_rr(C))+(N+1)ε²。

累加过程：初始RLWE密文为平凡密文，噪声为0。所有的自举密钥。 由HomAdd算法产生的计算密钥

噪声方差为

递归的运行l·n次Cmux电路， 可以得到累加过程的噪声方差为

密钥转化算法：输入累加密文

和累加计算密钥

其中

输出密文

的噪声方差为

自举过程：自举过程的噪声可以由累加过程噪声和密钥转化过程噪声累 加得到，因此噪声方差为

对于CKKS型定长MKFHE，其具体的加密方法是：

BGV型MKHFE方案中，CKKS系列方案应能高效处理浮点型数据， 受到广泛关注，在神经网络的密态计算等领域，具有广泛的应用，本方案 针对CKKS方案的特点，构造高效的HDCMK方案；

·HDCMK.Setup(1^λ)：输入安全参数λ，选择一个为2的幂次的整数N，令 χ_key,χ_err,χ_enc分别为私钥、噪声和加密过程使用的

上的分 布，选择素数P，p和层数L，令密文模数q_l＝p^l，其中1≤l≤L，随机选 择

输出公共参数 pp＝(N,χ_key,χ_err,χ_enc,L,P,q_l,a,a′)。

·HDCMK.KeyGen(pp)：输入公共参数，选取s←χ_key，e←χ_err，输出用户公 钥pk为

选取e′←χ_err，输出用户计算公钥pk_evk为

当所有用户都完成HDCMK.KeyGen(pp)程序之后，运行累加计算密钥生 成算法。如果方案中有用户更新，则重新运行密钥生成算法。

·

1)累加公钥：给定k个用户的公钥b₁,...,b_k生成CKKS型累加公钥

2)累加计算公钥：给定k个用户的计算公钥b′₁,...,b′_k生成CKKS型累加 公钥

3)累加计算密钥部件生成：

生成用户i的密文集合刷新密钥

生成用户i生成转化密钥的部件

其中e_s←χ_err，输出

输出移位密钥

共轭密钥

4)云端生成计算密钥

当系统的用户集合更新时，HDCMK系统不使用自举，而用累加的密 钥转化过程实现密文对应的密钥集合的刷新(将老集合的密文转化为新集 合的密文)，相对BP16，这种模式大幅提升方案效率。

·HDCMK.Enc(pk,m)：c＝CKKS.Enc_pk(m)

·HDCMK.Dec((sk₁,...,sk_k),c)：输入l层的密文c，输出 m′＝＜c,sk₁+...+sk_k＞(modq_l).

当系统的用户集合更新时，HDCMK系统不使用自举，而用累加的密 钥转化过程实现密文对应的密钥集合的刷新(将老集合的密文转化为新集 合的密文)，相对BP16，这种模式大幅提升方案效率。

·

输入密文c′＝(b′,a′)，构造对应的累加转 化密钥

输出

·同态运算：如果输入同态运算的密文对应的公钥不相同时，利用

将其转化到相同公钥，之后再进行同态运 算。同态运算过程、自举过程和CKKS方案相同，只是将输入的计算密 钥替换成累加计算密钥，因此计算效率与单比特全同态加密方案相同。

-HDCMK.Add(ct,ct′).CKKS.Add(ct,ct′).

-HDCMK.CMult(a,ct).CKKS.CMult(a,ct).

-

-

正确性分析：

全同态加密方案中密文能否正确解密，主要取决于密文中噪声的大小， 沿用CKKS17的表达方式，本方案我们对主要函数的功能和噪声增长情况 进行分析：

令

表示多项式

经过正则嵌入之后得到a(ζ) (a的系数和向量

做内积)的无穷范式。根据CKKS中的分析 有：

其中σ²为a(ζ)的方差；

其中

和

为分别 为a(ζ)和b(ζ)的方差。如果a的系数取自[0,q)的均匀分布，则有 Var(a(ζ_M))＝q²N/12；a取自方差为σ²离散高斯分布DG_q(σ²)，则有Var(a(ζ_M))＝σ²N； a取自汉明重量为h的{0,±1}分布HWT(h)，则Var(a(ζ_M))＝h。

CKKS系列方案可以加密复数向量，考虑精度的原因，方案在加密前 通常会将数据扩大Δ倍，Δ称为增模因子。对于给定的密文

如果增 模因子Δ>N+2B，则方案可以正确解密，其中令＜ct,sk＞＝m+e(modq_L)，B为

的上界。重要函数的噪声增长规律见如下定理。

引理1(CKKS,Lemma 1]，单用户密文)：令ct←Enc_pk(m)是某个用户加密 m∈R的密文，则有<ct,sk>＝m+e(modq_L)，对于某个e∈R成立，其中

引理2(多用户密文)：令

是利用累加公钥

加密m∈R的密文， 其中

则有

对于某个e∈R成立，其中

对于本方案使用的集合刷新密钥

移位密钥

共轭密钥

均为多用 户密文，因此均有

引理3(累加转化密钥)：令

是云端生成的累加转化密钥，

是用户 生成的累加转化密钥分量，则有

其中

引理4(CKKS,Lemma 2]，模数处理)：令ct′←RS_l→l′(ct)，其中

则 有

对于某个e∈R成立，其中

引理5(同态乘法)：令

其中

则有 <ct_mult,sk>＝<ct₁,sk><ct₂,sk>+e_mult(modq_l′)，对于某个e∈R成立，其中

将转化密钥相关上限

带入CKKS中的引理3可以得到引理5， 证明过程略。

引理6(集合刷新，密钥转化)：令

定义

对于私钥为 sk，令

则有

对于某个

成立，其中

将累加转化密钥相关上限

带入CHKKS中的引理4可以 得到引理6。

图2以两个用户为例，介绍同态运算的步骤：(0)系统初始化阶段： 用户和云端进行两次交互构造公共密钥。用户公布自身的公钥，从云端获 取累加公钥；利用累加公钥生成自身的累加计算密钥、集合刷新密钥，并 上传云端；云端收集所有用户集的累加计算密钥、集合刷新密钥，生成累 加集合计算密钥、集合刷新密钥。(1)数据加密：用户利用公钥或累加公 钥加密密文，并将密文上传到云端。(2)密文用户集合刷新：云端使用集 合刷新密钥，对用户密文进行集合刷新。(3)同态计算：云端利用累加集 合计算密钥运行同态运算，输出密文。(4)联合解密：用户对密文进行解 密，得到最终明文。

本方案提出了密文长度固定的MKFHE方案的通用构造方法，并针对 通用构造中自举过程效率较低，和CGGI系列方案和CKKS方案的特点， 构造了两个高效的定长MKFHE方案。分析表明，本方案的密文规模、同 态计算效率与用户数无关，同单用户全同态加密方案一样高效。在安全性 方面，本方案涉及到的基础加密方案为CKKS全同态加密方案和CGGI全同态加密方案，其安全性可以规约到格上的困难问题，能够有效抵抗量子 攻击，因此安全性能够得到保证。

为了进一步对方案了解，对部分基础知识补充如下：

同态加法器

本申请需要使用TGSW密文的同态加法和同态乘法构造同态加法器的 具体构造，

C.1加法器的数学表达

·半加器Half-Add：

输入：两个单比特二进制数x，y，对应的GSW密文TGSW(x)，TGSW(y)。

输出：进位：

对应明文c_out＝x·y。

sum：TGSW(c_out)＝TGSW(x)+TGSW(y)，对应明文s＝x+y。

·全加器Full-Add(x,y,c)：

输入：两个单比特二进制数x，y和进位cin，对应的GSW密文TGSW(x)， TGSW(y)，TGSW(c_in)。

输出：

-进位：

对应明文c_out＝x·y+c_in(x+y)；

-和：TGSW(c_out)＝TGSW(x)+TGSW(y)+TGSW(c_in)，对应明文s＝x+y+c_in。

·两个l位TGSW密文的同态加法算法HomAdd

输入：两组长度为l的TGSW密文TGSW(x_l-1),...,TGSW(x₀)， TGSW(y_l-1),...,TGSW(y₀)，使用波纹加法器(Ripple-carry adder)的方式求解 两个l位TGSW密文的同态加法。

从i＝0到l-1运行：

(1).{TGSW(c),TGSW(s₀)}＝FullAdd(TGSW(x₀),TGSW(y₀),0)

(2).{TGSW(c),TGSW(s₁)}＝FullAdd(TGSW(x₁),TGSW(y₁),TGSW(c))

…

(l-1).{TGSW(c),TGSW(s_l-1)}＝FullAdd(TGSW(x_l-1),TGSW(y_l-1),TGSW(c))

输出密文{TGSW(c),TGSW(s_l-1),...,TGSW(s₀)}

对于k个l位TGSW密文的同态加法HomAddk{TGSW(x_k),...,TGSW(x₀)}， 利用HomAdd算法，使用二叉树的方式快速的实现。

以上内容是结合具体的优选实施方式对本方案所作的进一步详细说明， 不能认定本方案的具体实施只局限于这些说明。对于本方案所属技术领域 的普通技术人员来说，在不脱离本方案构思的前提下，还可以做出若干简 单推演或替换，都应当视为属于本方案的保护范围。

Claims (3)

1.密文长度固定的多密钥全同态加密方法，其特征在于，

所述加密方法是半动态定长MKFHE方法，其具体过程是：

·HDMK.Setup(1^λ):FHE.Setup(1^λ)→params

·HDMK.KeyGen(params):FHE.KeyGen(params,B)→pk_i,sk_i

当所有用户都完成HDMK.KeyGen(params)程序之后，运行计算密钥生成算法；如果方案中有用户更新，则重新运行密钥生成算法；

·HDMK.EvalKeyGen(params,sk_i,{pk₁,...,pk_N})

·HDMK.Enc(pk,μ):FHE.Enc(pk,μ)→C；

·HDMK.Dec((sk₁,...,sk_N),C):构造联合解密协议，协议分为部分解密和最终解密两个部分，

1)HDMK.PartDec(C,i,sk_i)：用户i利用自身私钥sk_i＝(-s_i,1)，运行部分解密协议，保留密文的公用部分不进行运算，

2)HDMK.FinDec(p′₁,...,p′_N)：解密者得到所有用户的中间变量后，最终解密

·

通用模式使用自举过程实现同态运算；

1)

该过程实现密文公钥的刷新，其中

是C_i对应的自举密钥，如果C_i是单个用户的密文，则其自举密钥是对应的

如果C_i是累加公钥的密文，则其自举密钥是对应的

2)

该过程实现联合密文同态计算，其中

是联合密文的计算密钥；

用户集合更新时，需要所有用户更新计算密钥和自举密钥。

2.根据权利要求1所述的密文长度固定的多密钥全同态加密方法，其特征在于，

对于TFHE型定长MKFHE，其具体的加密方法是：

·HDTMK.Setup(1^λ)→pp＝(pp^LWE,pp^GSW)：

LWE.Setup(1^λ)→pp^LWE＝(η,χ,α,B_ks,d_ks,B)；

GSW.Setup(1^λ)→pp^GSW＝(N,φ,α,B,d,y)，其中，B,y随机产生的公用变量；

·HDTMK.KeyGen(pp)→(pk_i,sk_i,pk_BK,i,sk_BK,i)：

LWE.KeyGen(pp)→{pk_i＝A_i,sk_i＝s_i}；

RGSW.KeyGen(pp)→{pk_BK,i＝Z_i,sk_BK,i＝z_i}；

当所有用户都完成HDTMK.KeyGen(params)程序之后，运行累加计算密钥生成算法；如果方案中有用户更新，则重新运行密钥生成算法；

●

1)公钥累加：给定k个用户的公钥b₁,...,b_k生成累加公钥

累加自举公钥：给定k个用户的自举公钥d₁,...,d_k生成累加自举公钥

2)用户累加自举密钥：输入累加自举公钥

用户私钥

输出单用户的累加自举密钥

其中i∈[k]，j∈[n]；

3)用户累加计算密钥：输入累加公钥

RGSW密文的私钥z_i，令

生成单用户的累加转化密钥

其中i∈[k]；

·HDTMK.Enc(pk,μ)：输入明文μ，用户公钥pk，运行

·HDMK.Dec((sk₁，...，sk_k)，ct)：输入密文

输入密钥(sk₁，...，sk)，返回使得

最小的明文比特μ′∈{0,1}；

·

输入密文

和自举密钥集合

转化密钥集合

使用如下自举过程实现同态运算：

1)云端通过

生成累加密文的累加转化密钥

云端通过

生成累加密文的累加自举密钥

其中j∈[n]，

HomAddk(,)是k个1位TGSW密文的同态加法算法；

对于固定的用户集，云端只需要计算一次

和

之后将其作为公共变量给出；

2)密文刷新：给定密文

和对应的计算密钥

或

运行如下的同态累加算法：

2-1.输入密文

返回

和

以及对应的自举密钥

2-2.初始化RLWE密文

其中

令

对于j＝1到n，运行：

其中选择最大电路CMux(C,d₁,d₀)沿用CGGI16的表达，输入一个控制TGSW密文C和两输入的RLWE密文数据d₁,d₀，输出RLWE的密文

是GSW密文和BGV密文的混合同态乘法运算；

2-3.输出

3)密钥转化过程：最后一步将ACC转化为LWE密文，并运行密钥转化算法；

3-1.输入密文ACC＝(c₀,c₁)∈T²，令b″是多项式c₀中的常数项，a″是由多项式c₁的系数组成的向量；输出LWE密文

3-2.令

运行密钥转化算法，输出密文

·利用自举过程构造同态与非门NAND电路，HDTMK.NAND(c₁,c₂)＝HDTMK.Boot((0,5/8)-c₁-c₂)。

3.根据权利要求1所述的密文长度固定的多密钥全同态加密方法，其特征在于，

对于CKKS型定长MKFHE，其具体的加密方法是：

·HDCMK.Setup(1^λ)：输入安全参数λ，选择一个为2的幂次的整数N，令χ_key,χ_err,χ_enc分别为私钥、噪声和加密过程使用的

上的分布；选择素数P，p和层数L，令密文模数q_l＝p^l，其中1≤l≤L，随机选择

输出公共参数pp＝(N,χ_key,χ_err,χ_enc,L,P,q_l,a,a′)；

·HDCMK.KeyGen(pp)：输入公共参数，选取s←χ_key，e←χ_err，输出用户公钥pk为

选取e′←χ_err，输出用户计算公钥pk_evk为

当所有用户都完成HDCMK.KeyGen(pp)程序之后，运行累加计算密钥生成算法；如果方案中有用户更新，则重新运行密钥生成算法；

·

1)累加公钥：给定k个用户的公钥b₁,...,b_k生成CKKS型累加公钥

2)累加计算公钥：给定k个用户的计算公钥b′₁,...,b′_k生成CKKS型累加公钥

3)累加计算密钥部件生成：

生成用户i的密文集合刷新密钥

生成用户i生成转化密钥的部件

其中e_s←χ_err，输出

输出移位密钥

共轭密钥

4)云端生成计算密钥

当系统的用户集合更新时，HDCMK系统不使用自举，而用累加的密钥转化过程实现密文对应的密钥集合的刷新，即将老集合的密文转化为新集合的密文，HDCMK.Enc(pk,m)：c＝CKKS.Enc_pk(m)；

·HDCMK.Dec((sk₁,...,sk_k),c)：输入l层的密文c，输出m′＝＜c,sk₁+...+sk_k＞(modq_l)

当系统的用户集合更新时，HDCMK系统不使用自举，而用累加的密钥转化过程实现密文对应的密钥集合的刷新，即，将旧集合的密文转化为新集合的密文；

·

输入密文c′＝(b′,a′)，构造对应的累加转化密钥

输出

·同态运算：如果输入同态运算的密文对应的公钥不相同时，利用

将其转化到相同公钥，之后再进行同态运算；

-HDCMK.Add(ct,ct′).CKKS.Add(ct,ct′)

-HDCMK.CMult(a,ct).CKKS.CMult(a,ct)

Images