全同态加密 (FHE) 框架

同态加密密码系统是一种解密是态射的密码系统。

Decrypt(a*b) = Decrypt(a) * Decrypt(b)

同态加密密码系统允许在不解密的情况下对密文进行操作。它确保了端到端的语义安全，这确保了对诚实但好奇的对手的安全性。

与机密计算不同，FHE 采用基于软件的数据加密/保护。由于 FHE 不在可信执行环境 (TEE) 中执行计算处理，因此在处理过程中可能会发生未经授权的访问或修改数据和应用程序代码。因此，FHE 不支持应用程序代码完整性和代码机密性。

同态加密密码系统解决了带错误的环学习（RLWE）问题。RLWE 和大多数同态加密方案被认为对量子计算机是安全的。同态加密密码系统使其“比分解和基于离散对数的系统（如 RSA 和许多形式的椭圆曲线密码学）更安全”[3]。

1978年，Ronald Rivest、Leonard Adleman和Mike Dertouzos提出了使用同态加密来保护数据信息安全的想法[1]。第一个同态加密框架由 Craig Gentry 在 2009 年构建 [4]。这种基于格的密码系统能够对评估的密文进行计算，并引起了许多密码专家和学者的关注。基于同态加密，人们可以委托第三方来处理数据，无论是可信的还是不可信的第三方。2010 年，Dijk、Gentry 和 Vaikuntanathan 提出了一种基于整数的全同态加密方案 [5]。该设计基于近似最大公因数问题。原来的解决方案只支持低阶多项式的运算。借助自举技术，

有几种广泛采用的全同态加密方案。它们被分组为对应于底层方法的代[2]。详细的方案和算法解释请参考：

http://homomorphicencryption.org/wp-content/uploads/2018/11/HomomorphicEncryptionStandardv1.1.pdf

1. Pre-FHE，其中操作受限于无界同态加密操作
   • RSA 密码系统（无限数量的模乘）
   • ElGamal 密码系统（无限数量的模乘）
   • Goldwasser–Micali 密码系统（无限数量的异或操作）
   • Benaloh 密码系统（无限数量的模加法）
   • Paillier 密码系统（无限数量的模块化添加）
   • Sander-Young-Yung 系统（经过 20 多年解决了对数深度电路的问题）
   • Boneh–Goh–Nissim 密码系统（无限次加法运算，但最多一次乘法）
   • Ishai-Paskin 密码系统（多项式大小的分支程序）
2. 第一代 FHE，基于格模型，但是“仅限于评估加密数据上的低次多项式”[3]。
   • Marten van Dijk、Craig Gentry、Shai Halevi 和 Vinod Vaikuntanathan (idea lattice)
3. 第二代 FHE，基于 RLWE 和 NTRU 相关问题。
   • Brakerski-Gentry-Vaikuntanathan (BGV, 2011) 计划。
   • Lopez-Alt、Tromer 和 Vaikuntanathan 的基于 NTRU 的方案（LTV，2012）。
   • Brakerski/Fan-Vercauteren (BFV, 2012) 方案，关于 Brakerski 的尺度不变密码系统。
   • Bos、Lauter、Loftus 和 Naehrig（BLLN，2013 年）基于 NTRU 的方案，建立在 LTV 和 Brakerski 的尺度不变密码系统之上；
4. 第三代 FHE
   • Craig Gentry、Amit Sahai 和 Brent Waters (GSW)，关于构建 FHE 方案以避免同态乘法中昂贵的“重新线性化”步骤。
   • FHEW (2014)，GSW 密码系统的环形变体
   • TFHE (2016)，GSW 密码系统的环形变体
   • CKKS 方案，专注于机器学习，在加密状态下进行高效的舍入操作。

上述全同态加密方案有几种开源实现。

全同态加密技术是一种趋势技术，广泛应用于外包计算、隐私保护机器学习、安全多方计算、联邦学习、数据交换共享等领域。大量专家学者对此进行了研究。目前，同态加密技术的研究主要集中在提高计算速度、缩短密文长度、扩展数据类型、扩展支持的运算等方面。

随着隐私保护边缘计算的蓬勃发展，全同态加密越来越受到关注。

参考：

[1] Rivest, RL, Adleman, L., & Dertouzos, ML (1978)。关于数据库和隐私同态。安全计算的基础，4 (11), 169-180。

[2] 同态加密参考Homomorphic Encryption References

[3]同态加密标准化网页，Homomorphic Encryption Standardization – An Open Industry / Government / Academic Consortium to Advance Secure Computation

[4] Gentry, C.（2009 年 5 月）。使用理想格的全同态加密。在第四十届年度 ACM 计算理论研讨会论文集上（第 169-178 页）。

[5] Van Dijk, M.、Gentry, C.、Halevi, S. 和 Vaikuntanathan, V.（2010 年 5 月）。整数上的完全同态加密。在关于密码技术理论和应用的年度国际会议上（第 24-43 页）。施普林格，柏林，海德堡。

[6] Gentry, C.、Halevi, S. 和 Smart, NP（2012 年 5 月）。更好地引导完全同态加密。在公钥密码学国际研讨会上（第 1-16 页）。施普林格，柏林，海德堡。

• 这篇文章的作者：
• 张文辉