Paillier Cryptosystem

Paillier 加法同态加密

参考slide，维基百科。

算法及相关证明

密钥生成

• 随机选择两个大素数 $p$, $q$，使得他们彼此独立，即满足 $\mathrm{g}\mathrm{c}\mathrm{d}(pq,(p-1)(q-1))=1$，这个属性是为了保证两个质数长度相等。
• 计算 $n=pq$, $\lambda =\mathrm{l}\mathrm{c}\mathrm{m}(p-1)(q-1)$.
• 随机选择一个整数 $g,g\in {\mathbb{Z}}_{n^2}^{\ast }$.
• $\mu =(L(g^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2){)}^{-1}$，这里 $L$ 被定义为 $L(x)=\frac{x-1}{n}$.

公钥（public key）：$(n,g)$;
私钥（secret key）：$(\lambda ,\mu )$.

如果使用等效长度的$p,q$，则可以设置上述密钥生成步骤的更简单的变体$g=n+1$，$lambda=\phi (n)$, $mu=\phi (n{)}^{-1}\mathrm{m}\mathrm{o}\mathrm{d}n$，这里$\phi (n)=(p-1)(q-1)$.

加密

• $m$ 是要被加密的明文，在这里$0\le m<n$.
• 随机选择一个整数 $r,0<r<n,r\in {\mathbb{Z}}_{n^2}^{\ast }$，与$n$互质，即 $\mathrm{g}\mathrm{c}\mathrm{d}(r,n)=1$.
• 计算密文：$c=E(m,r)=g^m\cdot r^n\mathrm{m}\mathrm{o}\mathrm{d}{n}^2$

解密

• $c$ 是要解密的密文，$c\in {\mathbb{Z}}_{n^2}^{\ast }$,

• 计算明文：$m=D(c)=L(c^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)\cdot \mu \mathrm{m}\mathrm{o}\mathrm{d}n$

• 证明解密部分
  证明：
  $m=L(c^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)\cdot \mu \mathrm{m}\mathrm{o}\mathrm{d}n=\frac{L(c^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)}{L(g^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)}\mathrm{m}\mathrm{o}\mathrm{d}n$
  Apply the private key $\lambda$ and use Carmichael’s theorem:
  $c^{\lambda }=(g^m\cdot r^n{)}^{\lambda }=g^{m\lambda }\cdot r^{n\lambda }=g^{m\lambda }$
  Make use of the relationship $(1+n{)}^x\equiv 1+nx\mathrm{m}\mathrm{o}\mathrm{d}{n}^2$
  $g^{m\lambda }=((1+n{)}^{\alpha }{\beta }^n{)}^{\lambda m}=(1+n{)}^{\alpha \lambda m}{\beta }^{n\lambda m}\equiv (1+\alpha \lambda mn)\mathrm{m}\mathrm{o}\mathrm{d}{n}^2$
  Apply the $L(X)$ fuction,
  $\frac{L(c^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)}{L(g^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)}\mathrm{m}\mathrm{o}\mathrm{d}n=\frac{L(1+\alpha \lambda mn)}{L(1+\alpha \lambda n)}\mathrm{m}\mathrm{o}\mathrm{d}n=\frac{\alpha \lambda mn}{\alpha \lambda n}\mathrm{m}\mathrm{o}\mathrm{d}n=m$

同态的性质

• 同态加法
  • 两个密文的乘机将解密为对应的明文之和
    $D(E(m_1,r_1)\cdot E(m_2,r_2)\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)=m_1+m_2\mathrm{m}\mathrm{o}\mathrm{d}n$.
  • 证明
    $D(E(m_1,r_1)\cdot E(m_2,r_2)\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)=D(g^{m_1}\cdot r_1^n\cdot g^{m_2}\cdot r_2^n)\mathrm{m}\mathrm{o}\mathrm{d}{n}^2=D(g^{m_1+m_2}\cdot (r_1{r}_2{)}^n)\mathrm{m}\mathrm{o}\mathrm{d}{n}^2=m_1+m_2$
  • 一个密文与以$g$为底、明文为幂的数相乘将解密为对应明文之和
    $D(E(m_1,r_1)\cdot g^{m_2}\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)=m_1+m_2\mathrm{m}\mathrm{o}\mathrm{d}n$.
  • 证明
    $D(E(m_1,r_1)\cdot g^{m_2}\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)=D(g^{m_1}\cdot r_1^n\cdot g^{m_2})\mathrm{m}\mathrm{o}\mathrm{d}{n}^2=D(g^{m_1+m_2}\cdot r_1^n)\mathrm{m}\mathrm{o}\mathrm{d}{n}^2=m_1+m_2\mathrm{m}\mathrm{o}\mathrm{d}n$
• 同态乘法
  • 密文的明文幂将倍解密为对应明文的乘积
    $D(E(m_1,r_1{)}^{m_2}\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)=m_1{m}_2\mathrm{m}\mathrm{o}\mathrm{d}n$.
    $D(E(m_2,r_2{)}^{m_1}\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)=m_1{m}_2\mathrm{m}\mathrm{o}\mathrm{d}n$.
    更一般地，
    $D(E(m_1,r_1{)}^k\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)=k{m}_1\mathrm{m}\mathrm{o}\mathrm{d}n$.
  • 证明
    $D(E(m_1,r_1{)}^k\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)=D((g^{m_1}\cdot r_1^n{)}^k)\mathrm{m}\mathrm{o}\mathrm{d}{n}^2=D(g^{k{m}_1}\cdot r_1^{k}n)\mathrm{m}\mathrm{o}\mathrm{d}{n}^2=k{m}_1\mathrm{m}\mathrm{o}\mathrm{d}n$.

应用

安全

如上所示的原始密码系统确实提供了针对所选明文攻击（IND-CPA）的语义安全性。成功区分挑战密文的能力基本上等于决定复合剩余的能力。所谓的决策复合剩余假设（DCRA）被认为是难以处理的。

然而，由于上述同态特性，该系统具有可延展性，因此不具有防止自适应选择密文攻击（IND-CCA2）的最高级语义安全性。通常在密码学中，可延展性的概念不被视为“优势”，但在某些应用中，例如安全电子投票和门限密码系统，这种属性可能确实是必要的。

然而，Paillier和Pointcheval继续提出一种改进的密码系统，它将消息m和随机r的组合散列结合起来。与Cramer-Shoup密码系统的意图相似，散列可以防止攻击者（仅给出c）能够以有意义的方式更改m。通过这种调整，改进的方案可以在随机预言模型中显示为IND-CCA2安全。

背景知识

Paillier密码系统利用了可以轻松计算某些离散对数的事实。

例如，通过二项式定理，

$(1+n{)}^x={\sum }_{k=0}^x(\genfrac{}{}{0ex}{}{x}{k})n^k=1+nx+(\genfrac{}{}{0ex}{}{x}{2})n^2+\text{higher powers of }n$
这表明：
$(1+n{)}^x\equiv 1+nx\mathrm{m}\mathrm{o}\mathrm{d}{n}^2$.
因此，如果：
$y=（1+n{）}^x\mathrm{m}\mathrm{o}\mathrm{d}{n}^2$,
那么
$x\equiv \frac{y-1}{n}\mathrm{m}\mathrm{o}\mathrm{d}n$.
从而：
$L((1+n{)}^x{\mathrm{m}\mathrm{o}\mathrm{d}n}^2)\equiv x\mathrm{m}\mathrm{o}\mathrm{d}n$,