CN114124349B

CN114124349B - 一种用于同态加密方案的快速解密方法

Info

Publication number: CN114124349B
Application number: CN202111399432.0A
Authority: CN
Inventors: 蔡超超; 单进勇; 王昊昱; 牛子儒; 凌国玮
Original assignee: Beijing Shudu Technology Co ltd
Current assignee: Beijing Shudu Technology Co ltd
Priority date: 2021-11-19
Filing date: 2021-11-19
Publication date: 2024-04-09
Anticipated expiration: 2041-11-19
Also published as: CN114124349A

Abstract

本发明涉及数据安全技术领域，具体涉及一种同态加密方案的快速解密方法，该方法包括：加密用户与解密用户事先约定使用的同态加密方案，双方用户端预计算系统参数；解密用户端接收经过加密后的密文；解密用户端接收到密文后计算密文参数；根据获取的系统参数采用改进的BSGS算法对密文参数进行明文恢复，得到明文；若同态加密方案的解密算法需要对解密结果进行校验，则进行密文校验，即校验结果正确，则输出解密结果，校验结果错误，则解密失败；本发明能在幂指数较小时快速求解离散对数问题，具有一定通用性；相比于传统的此类同态加密方案，本发明所提出的快速解密方法能将此类同态加密方案的解密速度提升10倍以上。

Description

一种用于同态加密方案的快速解密方法

技术领域

本发明涉及数据安全技术领域，具体涉及一种用于同态加密方案的快速解密方法。

背景技术

同态加密是一种基于数学难题的计算复杂性理论的密码学技术；即对经过同态加密的数据进行解密，得到的解密结果与用同一方法处理未加密的原始数据得到的结果一样。常用的解密方法是采用BSGS算法将密文恢复为明文；但是在采用该算法恢复明文过程中，由于计算乘法逆元的开销较大，使得恢复明文过程中效率低，不利于明文的恢复。因此急需一种能快速对同态加密的密文进行快速解密的方法。

发明内容

为解决以上现有技术存在的问题，本发明提出了一种用于同态加密方案的快速解密方法，该方法包括：获取加密用户与解密用户采用的同态加密方案，加密用户端和解密用户端根据同态加密方案预计算系统参数；解密用户端接收经过加密用户端加密后的密文，根据加密后的密文计算密文参数；根据系统参数采用改进的BSGS算法对密文参数进行明文恢复，得到明文；解密用户对恢复的明文进行校验，若校验结果正确，则输出解密结果，若校验结果错误，则解密失败。

优选的，加密用户端与解密用户端采用的同态加密方案为椭圆曲线的同态加密方法或者实数域的加密方法。

优选的，加密用户端和解密用户端根据同态加密方案预计算系统参数的过程包括：获取系统公共参数；确定加密用户端对明文进行加密的方案；若加密方案为公钥同态加密方案，则加密用户端获取加密公钥pk，解密用户端获取解密私钥sk，解密用户端根据加密公钥和解密私钥得到表T₁和表T₂；若加密方案为基于身份的同态加密方案，则引入密钥生成中心KGC，密钥生成中心KGC生成加密主密钥对；用户端直接得到解密用户端的身份标识ID，KGC生成解密私钥sk_ID，并发送给解密用户端，解密用户端根据解密私钥sk_ID得到预计算表T₁和T₂。

进一步的，若是一般的公钥同态加密方案，加密用户端得到加密公钥pk，解密用户端需计算解密私钥sk的过程包括：解密用户端随机生成解密私钥sk；解密用户端计算加密公钥pk，然后将加密公钥pk公开，保存解密私钥sk。

进一步的，若是基于身份的同态加密方案，引入密钥生成中心KGC，KGC生成解密用户的解密私钥sk_ID发送给解密用户端的过程包括：KGC生成加密主密钥对(mpk,msk)，其中mpk为加密主密钥，msk为加密主私钥，公开mpk，保存msk；KGC利用加密主私钥msk、解密用户端身份标识ID等参数计算解密用户的解密私钥sk_ID发送给解密用户端。

进一步的，预计算表T₁和表T₂的过程包括：

步骤1：自定义正整数ilen和jlen，使得mlen＝ilen+jlen成立；其中，ilen表示表T₁的长度取2的对数值，jlen表示表T₂的长度取2的对数值，mlen表示明文空间的比特长度；

步骤2：根据自定义正整数ilen和jlen构建键值对型数据结构，将构建得到的数据进行保存，得到预计算表T₁；

步骤3：根据自定义正整数ilen和jlen构建集合型数据结构，将构建得到的数据进行保存，得到预计算表T₂；其中，T₂表示集合型数据结构。

进一步的，解密用户端接收经加密后的密文的过程包括：判断密文的加密方案，若为公钥同态加密方案，则加密用户端使用加密公钥pk加密明文m得到密文c；若为基于身份的同态加密方案，加密用户端使用解密用户标识ID加密明文m得到密文c；加密用户端将密文c安全的发送给解密用户端。

优选的，用户端计算密文参数的过程包括：根据同态加密方案采用对应的的解密算法对密文进行解密，得到密文参数[m]G或g^mmod N；其中，[m]G是椭圆曲线点G的m倍点，g^mmod N是群元素g的m次幂模阶数N，mod N表示模阶数N，分别代表了求解椭圆曲线上的离散对数问题与求解实数域上的椭圆曲线问题。

优选的，采用改进的BSGS算法对密文参数进行明文恢复的过程包括：解密用户端判断同态加密方法；若为椭圆曲线的同态加密方法，则采用基于椭圆曲线的BSGS算法对密文参数进行明文恢复；若为实数域的加密方法，则采用基于实数域的BSGS算法对密文参数进行明文恢复。

进一步的，采用基于椭圆曲线的BSGS算法对密文参数进行明文恢复的过程包括：

步骤31：计算[m]G与T₂[j]的横坐标之差并保存，其中j∈[0,2^jlen-1]；计算过程为：设置循环次数j∈[0,2^jlen-1]；计算z_j＝x_T2[j]-x_[m]G，其中x_T2[j]是椭圆曲线点T₂[j]的横坐标，x_[m]G是椭圆曲线点[m]G的横坐标，z_j为椭圆曲线点[m]G与椭圆曲线点T₂[j]的横坐标之差，将横坐标之差存入表L:{z_j}，L为椭圆曲线点[m]G与椭圆曲线点T₂[j]的横坐标之差的集合，重复上述计算过程，直到跳出循环；其中，j表示BSGS算法的循环次数，m表示明文，G表示椭圆曲线基点，T₂[j]表示表T₂的第j个元素，z_j表示第j个横坐标之差；

步骤32：以L为叶子结点，根据位于父节点下一级的两个子节点数据的乘积作为该父节点数据的生成规则，从下至上生成“乘法二叉树”Tree₁，并记Tree₁的根值为A；

步骤33：计算Tree₁的根值A关于p的逆元A^-1，以A^-1为初始节点从上至下生成“逆元二叉树”Tree₂，生成规则为当前子节点等于该子节点的父节点的值乘以Tree₁在兄弟节点位置的节点值；Tree₂的叶子节点Tree₂[j]为L[j]模p的逆元，j∈[0,2^jlen-1]；p表示大素数；

步骤34：执行BSGS算法，计算m′，其中m′为通过密文还原的明文。

进一步的，采用基于实数域的BSGS算法对密文参数进行明文恢复的过程包括：

S31：设表T₂中的元素为“乘法二叉树”Tree₁的叶子结点，以位于父节点下一级的两个子节点数据在模N下的积作为父节点中的数据为生成规则，从下至上生成Tree₁，并记Tree₁的根值为A；

S32：计算Tree₁根值A关于N的逆元A^-1，以A^-1为初始节点从上至下生成“逆元二叉树”Tree₂，生成规则为当前子节点等于该子节点的父节点的值乘以Tree₁在兄弟节点位置的节点值；Tree₂的所有叶子节点Tree₂[j]为T₂[j]模N的逆元，j∈[0,2^jlen-1]；

S33：执行BSGS算法；计算m′，其中m′为通过密文还原的明文。

进一步的，对明文进行校验的过程包括：对解密后的明文采用与解密前相同的加密算法进行加密，计算重新加密后的密文参数；根据重新计算的密文参数与原始计算的密文参数进行对比，若密文参数相同，则解密得到的明文正确，否则解密失败。

本发明的有益效果：采用本发明提出的方法能够在明文长度相对较短时解决同态加密方案解密速度较慢的问题，同时该方法也能在指数较小时快速求解椭圆曲线上的离散对数问题，具有一定通用性；相比于一般常用的解密算法，本发明所提出的快速解密方法能将同态加密方案的解密速度提升10倍以上。

附图说明

图1为本发明的一种采用SM2同态加密方案的解密流程图；

图2为本发明的一种采用SM2同态加密方案的“乘法二叉树”的结构示意图；

图3为本发明的一种采用SM2同态加密方案的“逆元二叉树”的结构示意图；

图4为本发明的一种采用SM2同态加密方案BSGS算法流程图；

图5为本发明的一种采用SM9同态加密方案的解密流程图；

图6为本发明的一种采用SM9同态加密方案的“乘法二叉树”的结构示意图；

图7为本发明的一种采用SM9同态加密方案的“逆元二叉树”的结构示意图；

图8为本发明的一种采用SM9同态加密方案BSGS算法流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种用于同态加密方案的快速解密方法，该方法包括：：获取加密用户与解密用户采用的同态加密方案，加密用户端和解密用户端根据同态加密方案预计算系统参数；解密用户端接收经过加密用户端加密后的密文，根据加密后的密文计算密文参数；根据系统参数采用改进的BSGS算法对密文参数进行明文恢复，得到明文；解密用户对恢复的明文进行校验，若校验结果正确，则输出解密结果，若校验结果错误，则解密失败。

一种用于同态加密方案的快速解密方法的具体实施方式，该实施例中，采用同态SM2加密算法对消息m进行加密。如图1所示，快速解密方法的过程包括：接收密文，计算[m]G，恢复明文以及解密校验四个部分组成；具体包括：

步骤1：接收密文；在用户端接收密文前包括系统建立、预计算表T₁与T₂、密钥生成、加密、将密文发送至解密用户五个过程。

步骤2：计算[m]G；用户端接收到密文后从密文中计算出[m]G。

步骤3：恢复明文；用户端根据预计算表T₁与T₂从[m]G中恢复出明文m。

步骤4：解密校验；解密用户对恢复的明文m进行校验，检查是否解密正确。

在SM2加密方案中,推荐的曲线方程为y²＝x³+ax+b,参数a,b分别为

a:787968B4 FA32C3FD 2417842E 73BBFEFF 2F3C848B 6831D7E0 EC65228B3937E498。

b:8542D69E 4C044F18 E8B92435 BF6FF7DE 45728391 5C45517D 722EDB8B08F1DFC3。

在接收密文阶段系统进行的对应的处理过程包括：

系统建立：此过程用于生成系统公开参数，向系统输入安全参数l，随后系统输出公共参数pp。用户提前设定与系统输出的公共参数相同的参数pp，其中p是大素数，E为定义在有限域F_p上的椭圆曲线，G是椭圆曲线的q阶基点的坐标(x_G,y_G)，明文空间M的比特长度mlen设为40比特，若[k]G代表椭圆曲线基点G的k倍点；/>表示与q互素且小于等于q的正整数集合，其取值为{1,2,…,q}。可选的，明文空间M的比特长度mlen的取值范围为(0，50)。

预计算表：生成BSGS算法所需的表T₁与表T₂，两个表均仅需生成一次并永久保存。具体步骤包括：

步骤1：自定义正整数ilen，jlen使得mlen＝ilen+jlen成立，其中ilen越大，本方法的解密速度越快，但需要的额外内存空间更多。

步骤2：计算键值对型数据结构T₁＜H([i]G),i＞，i∈[1,2ⁱ]，并永久保存。H(·)为哈希函数，可只取前Hlen比特，如Hlen可取64；i表示选取表T₁中的第i个数据，G表示椭圆曲线基点。

优选的，在计算键值对型数据结构过程中，采用Cuckoo hashing处理数据之间的碰撞，得到表T₁；即使用两个hash函数来处理碰撞，从而使得每个key对应到两个位置。具体的，对key值进行hash操作，生成两个hash key值hashk1和hashk2；在生成的两个hash key值中，若对应的两个位置有一个为空，则直接将key值插入到为空的位置上；否则任选一个位置将key值插入到该位置上，并将已经存在该位置的key值提出来，被踢出来的key值重新插入，直到没有key值被踢出来为止，得到最终的表T₁。

步骤3：计算集合型数据结构T₂([-2^ilen·j]G)，j∈[0,2^jlen-1]，并永久保存。

密钥生成：用户计算自身的公私钥对(pk,sk)；随机选择计算pk＝[sk]G。用户保存私钥sk，将公钥pk公开。

加密：加密用户使用解密用户的公钥pk加密明文m，得到密文c。

将密文发送至解密用户：加密用户将明文m加密并安全的发送给解密用户。具体过程包括：随机选择根据随机选择的r计算密文第一部分c₁＝[r]G；根据随机数r与公钥pk计算密文第二部分c₂，根据第一密文和第二密文得到发送到解密用户端的密文c(c₁,c₂)；计算密文第二部分c₂的公式为：

c₂＝[m]G+[r]pk

其中，m表示明文，G表示椭圆曲线的q阶基点，r表示选取的随机数，pk表示解密用户端的公钥。

解密用户端接收到密文后从密文中计算出[m]G的过程包括：

步骤21：根据解密用户端接收的密文计算椭圆曲线点[sk]c₁。

步骤22：根据椭圆曲线点计算[m]G，其公式为：[m]G＝c₂-[sk]c₁。

从[m]G中恢复出明文m的具体过程包括：

步骤31：计算[m]G与T₂[j]的横坐标之差并保存，其中j∈[0,2^jlen-1]；计算过程为：设置循环次数j∈[0,2^jlen-1]；计算其中/>是椭圆曲线点T[j]的横坐标，x_[m]G是椭圆曲线点[m]G的横坐标，z_j为椭圆曲线点[m]G与椭圆曲线点T₂[j]的横坐标之差，将其存入表L{z_j}，L为椭圆曲线点[m]G与椭圆曲线点T₂[j]的横坐标之差的集合；重复上述计算过程，直到跳出循环；其中，j表示BSGS算法的循环次数，m表示明文，G表示椭圆曲线基点，T₂[j]表示表T₂的第j个元素，z_j表示第j个横坐标之差。

步骤32：以L为叶子结点，根据位于父节点下一级的两个子节点数据的乘积作为该父节点数据的生成规则，从下至上生成“乘法二叉树”Tree₁，并记Tree₁的根值为A，如图2所示。

步骤33：计算Tree₁的根值A关于p的逆元A^-1，以A^-1为初始节点从上至下生成“逆元二叉树”Tree₂，生成规则为当前子节点等于该子节点的父节点的值乘以Tree₁在兄弟节点位置的节点值。Tree₂的叶子节点Tree₂[j]为L[j]模p的逆元，j∈[0,2^jlen-1]，如图3所示。

步骤34：执行BSGS算法。如图4所示，具体的过程包括：

计算T₂[j]与[m]G的纵坐标差值h，其中j∈[0,2^jlen-1]；计算公式为：

根据T₂[j]与[m]G的纵坐标差值h计算λ；λ的计算公式为：

λ＝h·Tree₂[j]mod p

其中，λ代表椭圆曲线点T₂[j]与[m]G之间的斜率，mod p表示模运算，保证λ在域F_p内。

根据计算得到的λ计算Q_j；其计算公式为：

其中，Q_j表示椭圆曲线点[m]G横坐标与椭圆曲线点T₂[j]横坐标之和，x_[m]G表示[m]G的横坐标，表示T₂[j]的横坐标，T₂[j]表示表T₂的第j个元素。

选取H(Q_j)的前Hlen比特，重复上述过程，直到选取完所有的j值。查找T₁中是否存在H(Q_j)，若存在，取键H(Q_j)在T₁中对应的i，计算m′＝j·2^ilen+i，其中m′为通过密文还原的明文，其中，H(Q_j)表示，j表示，i表示。

进行解密校验的具体过程包括：

步骤41：计算[m′]G，判断[m′]G＝[m]G是否成立。

步骤42：若成立，输出m′为解密结果。若不成立，输出⊥代表解密失败。

一种用于同态加密方案的快速解密方法的具体实施方式，该实施例中，采用同态SM9加密算法对信息进行加密。如图5所示，快速解密方法的过程包括：接收密文，计算g^m，恢复明文以及解密校验四个部分组成。具体包括：

S1、收到密文：该部分主要描述解密用户在拿到密文前的整个过程，其中包括系统建立、预计算表T₁与T₂、密钥生成、加密、将密文发送至解密用户五个过程。

S2、计算g^m：当解密用户拿到密文后，首先需要从密文中计算出g^m。

S3、恢复明文：利用改进的BSGS算法从g^m中恢复出明文m。

S4、解密校验：解密用户对恢复的明文m进行校验，检查是否解密正确。

在SM9加密方案中,群G₁、G₂中元素均为椭圆曲线上的点，曲线方程采用y²＝x³+5。

在接收密文阶段系统进行的对应的处理过程包括：

系统建立：此过程用于生成系统公开参数，KGC提前设定公开参数pp，其中G₁、G₂为阶是素数N的加法循环群，P₁、P₂是它们的生成元，G_T为阶是素数N的乘法循环群，hid是加密私钥生成函数识别符。e是从G₁×G₂到G_T的双线性对，明文空间M的比特长度mlen为40比特(也可是其他的比特长度，但尽量控制在50比特以内)。对若u是随机数，[u]P代表群G₁、G₂中元素P的u倍。密码杂凑函数随机选择msk∈[1,N-1]作为加密主私钥，计算G₁中的元素mpk＝[msk]P₁作为加密主公钥，则加密主密钥对为(msk,mpk)。KGC保存msk，公开mpk。g为群G_T元素e(mpk,P₂)。

预计算表：生成BSGS算法所需的预计算表T₁与T₂，两个表均仅需生成一次并永久保存。具体的计算过程包括：

步骤2：计算键值对型数据结构T₁＜H(gⁱ),i＞，i∈[1,2^ilen]，并永久保存。H(·)为哈希函数，可只取前Hlen比特，如Hlen＝64。

步骤3：计算集合型数据结构并永久保存。

用户密钥生成：设解密用户的标识为ID，KGC在有限域F_N上计算t₁＝H₁(ID||hid,N)+msk，若t₁＝0则需重新执行系统建立算法，否则计算解密用户的解密私钥sk_ID＝[t₂]P₂。其中，t₁表示计算解密私钥中间值，H₁表示密码杂凑函数，hid表示加密私钥生成函数识别符，N表示素数，msk表示加密主私钥，t₂表示计算解密私钥中间值。

加密：加密用户使用解密用户的标识ID加密明文m，得到密文c。

将密文发送至解密用户：加密用户将密文安全的发送给解密用户。具体的过程包括：

步骤1：计算群G₁中的元素Q＝H₁(ID||hid,N)P₁+mpk。其中，H₁表示密码杂凑函数，ID表示解密用户的标识，hid表示加密私钥生成函数识别符，N表示素数，P₁表示加法循环群G₁的生成元，mpk表示加密主公钥。

步骤2：选择随机数r∈[1,N-1]，计算群G₁中的元素c₁＝[r]Q、群G_T中的元素w＝g^r；。

步骤3：根据明文m以及群G_T中的元素计算c₂＝g^m×w。

步骤4：输出密文c＝(c₁,c₂)。

从密文中计算出g^m的具体过程包括：

S21：验证c₁∈G₁是否成立，若不成立则报错并退出，若成立，则执行步骤S22。

S22：计算群G_T中的元素w′＝e(c₁,sk_ID)。

S23：根据元素w′计算g^m＝c₂×w′^-1。。

利用BSGS算法从g^m中恢复出明文m，如图8所示。具体过程包括：

S31：设表T₂中的元素为叶子结点，以位于父节点下一级的两个子节点数据在模N下的积作为父节点中的数据为生成规则，从下至上生成第一颗二叉树Tree₁，并记Tree₁的根值为A，如图6所示。

S32：计算Tree₁根值A关于N的逆元A^-1，以A^-1为初始节点从上至下生成“逆元二叉树”Tree₂，生成规则为当前子节点等于该子节点的父节点的值乘以Tree₁在兄弟节点位置的节点值。Tree₂的所有叶子节点Tree₂[j]为T[j]模N的逆元，j∈[0,2^jlen-1]，如图7所示。

S33：执行BSGS算法。循环j∈[0,2^jlen-1]，计算g^m与Tree₂[j]的乘积，U_j＝g^m·Tree₂[j]modN，H(U_j)的前Hlen比特。查找T₁中是否存在H(U_j)，若存在，取键H(U_j)在T₁中对应的i，计算m′＝j·2^ilen+i。其中，U_j表示逆元二叉树中第j个加密后的值g^m·Tree₂[j]，H(U_j)表示U_j的哈希值。

解密用户对恢复的明文m进行校验的过程包括：

S41：计算g^m′，判断g^m′≡g^mmodN是否成立。

S42：若成立，输出m′为解密结果。若不成立，输出⊥代表解密失败。

以上所举实施例，对本发明的目的、技术方案和优点进行了进一步的详细说明，所应理解的是，以上所举实施例仅为本发明的优选实施方式而已，并不用以限制本发明，凡在本发明的精神和原则之内对本发明所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种用于同态加密方案的快速解密方法，其特征在于，包括：获取加密用户与解密用户采用的同态加密方案，加密用户端和解密用户端根据同态加密方案预计算系统参数；解密用户端接收经过加密用户端加密后的密文，根据加密后的密文计算密文参数；根据系统参数采用改进的BSGS算法对密文参数进行明文恢复，得到明文；解密用户对恢复的明文进行校验，若校验结果正确，则输出解密结果，若校验结果错误，则解密失败；

采用改进的BSGS算法对密文参数进行明文恢复包括：解密用户端判断同态加密方法；若为椭圆曲线的同态加密方法，则采用基于椭圆曲线的BSGS算法对密文参数进行明文恢复；若为实数域的加密方法，则采用基于实数域的BSGS算法对密文参数进行明文恢复；

采用基于椭圆曲线的BSGS算法对密文参数进行明文恢复的过程包括：

步骤34：执行BSGS算法，计算m′，其中m′为通过密文还原的明文；

采用基于实数域的BSGS算法对密文参数进行明文恢复的过程包括：

S33：执行BSGS算法，计算m′，其中m′为通过密文还原的明文；

得到表T₁和表T₂的过程包括：

2.根据权利要求1所述的一种用于同态加密方案的快速解密方法，其特征在于，加密用户端与解密用户端采用的同态加密方案为椭圆曲线的同态加密方法或者实数域的加密方法。

3.根据权利要求1所述的一种用于同态加密方案的快速解密方法，其特征在于，加密用户端和解密用户端根据同态加密方案预计算系统参数的过程包括：获取系统公共参数；确定加密用户端对明文进行加密的方案；若加密方案为公钥同态加密方案，则加密用户端获取加密公钥pk，解密用户端获取解密私钥sk，并预计算表T₁和表T₂；若加密方案为基于身份的同态加密方案，则引入密钥生成中心KGC，密钥生成中心KGC生成加密主密钥对；用户端直接得到解密用户端的身份标识ID，KGC生成解密私钥sk_ID，并发送给解密用户端，解密用户端预计算表T₁和T₂。

4.根据权利要求1所述的一种用于同态加密方案的快速解密方法，其特征在于，解密用户端接收经加密后的密文的过程包括：判断密文的加密方案，若为公钥同态加密方案，则加密用户端使用加密公钥pk加密明文m得到密文c；若为基于身份的同态加密方案，加密用户端使用解密用户标识ID加密明文m得到密文c；加密用户端将密文c安全的发送给解密用户端。

5.根据权利要求1所述的一种用于同态加密方案的快速解密方法，其特征在于，解密用户端计算密文参数的过程包括：根据同态加密方案采用对应的解密算法对密文进行解密，得到密文参数[m]G或g^mmodN；其中，[m]G是椭圆曲线点G的m倍点，g^mmodN是群元素g的m次幂模阶数N，modN表示模阶数N。

6.根据权利要求1所述的一种用于同态加密方案的快速解密方法，其特征在于，对明文进行校验的过程包括：对解密后的明文采用与解密前相同的加密算法进行加密，计算重新加密后的密文参数；根据重新计算的密文参数与原始计算的密文参数进行对比，若密文参数相同，则解密得到的明文正确，否则解密失败。