Paillier加法同态加密原理及证明

基础知识

1. 算术基本定理（唯一分解定理）：任何大于１的自然数，都可以唯一分解成有限个质数的乘积，记为$n=p_1^{a_1}{p}_2^{a_2}\cdots p_k^{a_k}={\Pi }_{i=1}^k{p}_i^{a_i}$，其中$p_i$为素数，$a_i$为正整数。

2. 欧拉函数：计算不大于n且与n互素的正整数的个数，用φ(n)表示。这些正整数的集合记为${\mathbb{Z}}_n^{\ast }$，则$\phi (n)=|{\mathbb{Z}}_n^{\ast }|$。

3. 引理一：若$p$为素数，则${\mathbb{Z}}_p={\mathbb{Z}}_p^{\ast }$，且$\phi (p)=p-1$。
   证明：

4. 引理二：若$p$为素数，任一整数r，则$\phi (p^r)=p^{r-1}\phi (p)=p^{r-1}(p-1)$。
   证明：

5. 引理3：设$m=m_1{m}_2$，若$m_1$和$m_2$互素且均为大于1的整数，则$\phi (m)=\phi (m_1)\phi (m_2)$。
   证明：证明过程较长，可参考这里。

6. 引理4（引理3的扩展通用形式）：$\phi (x)=x{\Pi }_{i=1}^k(1-\frac{1}{p_i})$，其中$x>1$，$p_i$为$x$的所有素因数。
   证明：根据算术基本定理，$x=p_1^{a_1}{p}_2^{a_2}\cdots p_k^{a_k}={\Pi }_{i=1}^k{p}_i^{a_i}$；显然$p_i$两两之间互素，易证若干素数的幂方乘积与另外若干不同素数的幂方乘积互素；根据引理3，$\phi (x)={\Pi }_{i=1}^k\phi (p_i^{a_i})$；根据引理2，$\phi (x)={\Pi }_{i=1}^k[p_i^{a_i-1}(p_i-1)]={\Pi }_{i=1}^k[p_i^{a_i}(1-\frac{1}{p_i})]=x{\Pi }_{i=1}^k(1-\frac{1}{p_i})$。

7. 欧拉定理：正整数n，$a\in {\mathbb{Z}}_n$，若a与n互素，即$a\in {\mathbb{Z}}_n^{\ast }$，则$a^{\phi (n)}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}n$。

8. 引理5（乘法逆元）：根据欧拉定理，$a^{\phi (n)}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}n$，则有$a{a}^{\phi (n)-1}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}n$，因为$a{a}^{-1}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}n$，显然乘法逆元必定存在，且$a^{-1}=a^{\phi (n)-1}$。

9. 费马小定理（欧拉定理的特例）：大素数p，$a\in {\mathbb{Z}}_p$，显然${\mathbb{Z}}_p={\mathbb{Z}}_p^{\ast }$，则有$a^{\phi (p)}=a^{p-1}\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}p$，即$a^p\equiv a\mathrm{m}\mathrm{o}\mathrm{d}p$。

10. 二项式定理：泰勒展开$y=(1+n{)}^x={\sum }_{k=0}^x{C}_x^k{n}^k=1+nx+C_x^2{n}^2+更高阶可以被n^2整除的部分$，显然$(1+n{)}^x\equiv 1+nx\mathrm{m}\mathrm{o}\mathrm{d}{n}^2$。显然$y-1\equiv nx\mathrm{m}\mathrm{o}\mathrm{d}{n}^2$，根据同余定理，同÷n，$x\equiv \frac{y-1}{n}\mathrm{m}\mathrm{o}\mathrm{d}n$。故在Paillier方案中，会构造函数$L(y)=\frac{y-1}{n}$，可得$L(y\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)\equiv x\mathrm{m}\mathrm{o}\mathrm{d}n$。

Paillier密码系统

1. 密钥生成：KeyGen()⟶(pk, sk)；
   随机选取两个独立的大素数 p 和 q，且满足 (, ( − 1)( − 1)) = 1，使得p 和 q长度相当。
   计算 n =， = ( − 1, − 1)，随机选取$g\in {\mathbb{Z}}_{n^2}^{\ast }$，简单起见，不如选择$g=n+1$，则令公钥 = (n, )，私钥 = ()。

2. 加密算法：Encryption(pk, m)⟶c；
   随机选择$r\in {\mathbb{Z}}_n^{\ast }$，显然$r\in {\mathbb{Z}}_{n^2}^{\ast }$同样成立，计算密文$c=g^m{r}^n\mathrm{m}\mathrm{o}\mathrm{d}{n}^2$。

3. 解密算法：Decryption(sk, c)⟶ m；
   令函数$L(x)=\frac{x-1}{n}$，可以计算明文$m=\frac{L(c^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)}{L(g^{\lambda }\mathrm{m}\mathrm{o}\mathrm{d}{n}^2)}\mathrm{m}\mathrm{o}\mathrm{d}n$。

4. 正确性证明：
   
   $(r^{n\lambda })\equiv 1\mathrm{m}\mathrm{o}\mathrm{d}{n}^2$利用Carmichael定理证明，如下：
   

5. 加法同态性质：
   

6. 扩展至批量乘法（常数与明文相乘等同于密文的常数次幂）：

$(E(m_1){)}^k=(g^{m_1}{r}^n{)}^k\mathrm{m}\mathrm{o}\mathrm{d}{n}^2=g^{k\times m_1}(r^k{)}^n\mathrm{m}\mathrm{o}\mathrm{d}{n}^2=E(k\times m_1)$。