同态加密(HE)的概念最初由Rivest等人在1978年提出[243]。
同态加密提供了一种对加密数据进行处理的功能,是一种允许对密文进行计算操作并生成加密结果的加密技术。
在密文上获得的计算结果被解密后与在明文上的计算结果相匹配,就如同对明文执行了一样的计算操作。如图:
作为一种不需要将密文解密就可以处理密文的方法,同态加密是目前联邦学习系统里最常用的隐私保护机制,例如横向联邦学习里基于同态加密的安全聚合方法、基于同态加密的纵向联邦学习、基于同态加密的联邦迁移学习。
同态加密机制能够在不对密文进行解密的情况下计算密文(这样计算方就不需要了解明文内容,只要获得密文就可以了),可以很好地保护敏感数据和信息,同时又可以执行计算操作(例如在加密状态下的加减乘除四则运算)。
也就是说,其他人可以对加密数据进行处理,但是处理过程不会泄露任何原始内容。同时,拥有解密密钥的参与方解密处理过的数据后,得到的结果正好是处理相应的明文的结果。
同态加密方案H是一种通过对密文进行有效计算操作(计算方不需要获知解密密钥),从而允许在加密内容上进行特定代数运算的加密方案。一个同态加密方案H由一个四元组组成:
• KeyGen表示密钥生成函数。对于非对称同态加密,一个密钥生成元g被输入KeyGen,并输出一个密钥对{pk,sk}=KeyGen(g),其中pk表示用于对明文进行加密的公钥(public key),sk表示用于对密文进行解密的私钥(secret key)。对于对称同态加密,只生成一个密钥sk=KeyGen(g),用于加密和解密操作。
• Enc表示加密函数。对于非对称同态加密,一个加密函数以公钥pk和明文m作为输入,并产生一个密文c=Encpk(m)作为输出。对于对称同态加密,加密过程会使用公共密钥sk和明文m作为输入,并生成密文c=Encsk(m)。
• Dec表示解密函数。对于非对称和对称同态加密,私钥sk和密文c被用来作为计算相关明文m=Decsk(c)的输入。
• Eval表示评估函数。评估函数Eval将密文c和公共密钥pk(对于非对称同态加密)作为输入,并输出与明文对应的密文,用于验证加密算法的正确性。
同态加密方法可以分为三类:
部分同态加密(Partially Homomorphic Encryp-tion,PHE),PHE的特点是,要求其加密操作符运算只需要满足加法同态或者乘法同态中的一个即可,不需要两个同时满足。
些许同态加密(Somewhat Homomorphic Encryption,SHE),些许同态加密(SHE)是指经过同态加密后的密文数据,在其上执行的操作(如加法、乘法等)只能是有限的次数。一些文献中也定义SHE为只有包含有限数量的某些电路(如跳转程序,混淆电路)能够支持进行任意次数的运算,例如BV、BGN和IP。SHE方案为了安全性使用了噪声(noise)数据。密文上的每一次操作都会增加密文上的噪声量,而乘法操作是增长噪声量的主要技术手段。当噪声量超过一个上限值之后,解密操作就不能得出正确结果了。这就是为什么绝大多数的SHE方案会要求限制计算操作次数的原因,正是这些缺点导致它在实际应用中受到很多限制。
全同态加密(Fully Homomorphic Encryption,FHE),全同态加密算法允许对密文进行无限次的加法和乘法运算操作。当前,FHE的研究仍在高速发展,在高效的自举算法、多密钥全同态加密等领域都有许多人在进行研究。目前的FHE建立在些许同态加密(SHE)方法的基础上,并通过代价高昂的自助法(bootstrap)操作实现。由于自助法的代价高昂,FHE方案计算十分缓慢且在实践中往往并不比传统的安全多方计算方法更好,因此,许多研究人员目前正着眼于发现满足特定需求的更有效的SHE方案,而非去发掘FHE方案。
不同的同态加密方案的计算复杂度区别很大。
