自己的沙场:全同态加密研究分享 http://blog.sciencenet.cn/u/chzg99 不要对我说生命中无聊的事,不要对我说失败是命运的事。

博文

云安全:从全同态加密到函数加密 精选

已有 19679 次阅读 2013-7-12 18:57 |个人分类:信息安全|系统分类:科研笔记| 加密, 云安全

   小小一片云,搅动大世界。云计算已经成为产业界、学术界、政府等各界均十分关注的焦点。云计算虽好,其安全性却令人担忧。


  人们希望云平台能够保证用户数据的机密性与完整性。很自然的一个方法就是:用户对自己的数据加密,然后将加密的数据外包到云端,云端使用全同态加密技术,就可以对密文进行计算。上述方法只是保证了数据的机密性,因为云端看不到用户真实的数据,看到的只是密文。数据的完整性可以通过校验技术等来保证。这里我们只对数据的机密性来讨论。


  全同态加密,这一不可思议的技术,无疑是现代密码学最重要的成果之一,当然也是计算机科学界一项重大的成果。


  千万不要以为有了云计算才有了全同态加密,事实上全同态加密早在云计算前就有了,这可以追述到1978年,Rivest, Adleman Dertouzos就提出:是否无需密钥就能够对密文做任意功能的计算呢?从代数角度看这就是同态性。当时称为隐私同态。


  历史有时有惊人的巧合。2007年当人们大力追捧云计算时,云计算的安全也就显得尤为重要,全同态加密的实现更加显得迫切。尽管在这之前,人们已经有了一些同态加密方案,这些方案要么是满足加法同态,要么是满足乘法同态的,还有一些能够同时满足有限次加法与乘法的同态方案,但是在这些方案中没有一个是全同态的。 


     2009年Gentry的全同态加密方案如一道惊雷,炸响了学术界与工业界。学术界忙着探讨与改造Gentry的方案,工业界争论着全同态是否可以实践。


     我认为,Gentry实现全同态的理论框架,至今都没有被打破。可以说目前所有安全的全同态加密方案都是基于Gentry架构的。这种架构的出发点就是对密文计算中不断增长的噪音进行消减。消减的技术就是同态解密,即对一个密文同态解密后得到一个新的密文,新的密文与原密文对应的是同一个明文,只是这个新密文的噪音如果比原密文小的话,就达到消减密文噪音的目的了。由于同态解密开销非常大,所以后面的人们又发明了密钥交换技术、模交换技术等来消减密文噪音。可能有人会问:是否可以构造出密文计算过程中噪音不增加的方案?如果这样的方案有,那么将会是一个大的突破。然而没有,所以现在的全同态加密方案还是在Gentry的大框架下进行构造。


     Gentry的构造方法是一种非自然的方法,得到的不是一个天然的方案,是一个经过了人为的、拼凑的、工程性质的构造方法。这样说不是贬义,而是给我们了一种启示,要想达到某种目的,就要使用各种手段。所以你看到的全同态加密方案不是普通上的一个加密方案,而是一个需要若干步才能得到,而且还有各种限制的一个方案。最近在EPRINT上有一篇论文:An efficient FHE based on the hardness of solving systems of non-linear multivariate equations。这篇论文是我目前看到得唯一一个非Gentry框架的全同态加密方案,但是这个方案的安全性有缺陷,所以还不成气候。但是有一点我可以肯定的,直觉告诉我:非Gentry的构造方法应该是存在的,使用的方法依然是拼凑法。


      全同态加密用于解决云安全有个问题,就是密文及密文计算的结果对于云平台完全是“不懂的”,这种“不懂”看似是完全安全的,但是实际用起来却做不了很多事情。例如,邮件服务器的垃圾邮件过滤,按道理用户把邮件加密后发出去,邮件服务器收到加密的邮件,可以通过全同态技术,运行垃圾邮件检测算法对加密邮件进行垃圾邮件检测,然而得到的检测结果是密文,邮件服务器“读不懂”检测结果,所以无法判断是否为垃圾邮件。还有很多其他例子,例如数据库的检索,由于要对密文进行比较,而比较的结果是密文,服务器无法判断是否找到了匹配的记录。


     那么有没有一种方法,例如能让服务器只知道检测结果是否为垃圾邮件,而不知道邮件的内容呢?包括数据库的检索也一样。


     有的,这就是所谓的函数加密。例如,任何人可以使用公钥PK对明文m进行加密得到密文Enc(m),密钥的持有者对某个函数 F 颁发一个KEY, 任何拥有KEY和密文Enc(m)的一方,都可以计算F(m), 但是除了F(m)外不能获得关于m的任何信息。


    这样上述垃圾邮件检测的例子就可以通过函数加密来解决。例如,Alice公开自己的公钥以及给邮件服务器一个KEY,这个KEY用于邮件服务器的垃圾邮件检测函数。当有人要发邮件给Allice的时候,先用Alice的公钥加密邮件,然后发出。邮件服务器收到邮件后,就可以通过垃圾邮件检测算法判断出邮件是否为垃圾邮件,然后做出相应的操作。


    所以,一个支持所有函数的函数加密方案是非常有用的。这样的函数加密方案存在么?


    Agrawal, Gorbunov, Vaikuntanathan and Wee [AGVW12] 的结果说明:对多个通用函数能够提供任意多数量KEY的函数加密方案是不可能的。目前最好的结果就是:对任意一个通用函数提供一个KEY的函数加密方案。这个方案来自于今年STOC会议的论文:Succinct Functional Encryption and Applications Reusable Garbled Circuits and Beyond。是函数加密的一个最大进展。


     

     

     

 

     



https://blog.sciencenet.cn/blog-411071-707426.html

上一篇:可实践的同态加密:IBM发布了开源软件库
下一篇:2013密码学方向高中的国家自然学科学基金
收藏 IP: 218.71.157.*| 热度|

5 唐常杰 黄富强 李宇斌 孙静宇 李浪

该博文允许注册用户评论 请点击登录 评论 (4 个评论)

数据加载中...
扫一扫,分享此博文

Archiver|手机版|科学网 ( 京ICP备07017567号-12 )

GMT+8, 2024-6-24 01:13

Powered by ScienceNet.cn

Copyright © 2007- 中国科学报社

返回顶部