密碼學原語如何應用？解析密文同態性的妙用_IOTE

作者：李昊軒

來源：微眾銀行區塊鏈

隱私數據在密文形式下是否依舊可以加減乘除？其背后的同態性原理具體指什么？半同態性和全同態性有什么區別？單密鑰和多密鑰同態加密有哪些奇妙的應用場景？

隱私保護方案設計，往往需要在密文狀態下，對隱私數據進行特定的業務操作，以此保障數據的機密性。

沿用上一論的電子支付例子，客戶目前擁有一張面額1000元的電子支票，電子支票以密文憑證形式存儲，流轉過程中不會輕易泄露金額。客戶使用這張支票時，消費額可能低于1000元，需要將支票進行拆分找零。假定消費額為200元，這一支票需要被拆分成兩份密文憑證，面額200元的給商戶，面額800元的留給客戶自己作為找零。

這個過程中，存在三個隱私保護相關的主要功能點：

客戶不希望其他人獲知找零的金額為800元，相當于在消費時能保護客戶自身財產總額相關信息不泄露。

商戶需要驗證密文支票在本次消費前的余額不小于200元，但無需知道具體的余額。

簽發密文支票的銀行需要驗證，客戶和商戶在交易后，沒有憑空造出更多的錢，即消費額與找零額相加等于拆分前的電子支票中的余額。

密碼學家David Chaum推出保護隱私的CBDC技術:金色財經報道，加密貨幣教父、密碼學家David Chaum推出保護隱私的央行數字貨幣（CBDC）技術，正在與瑞士國家銀行(SNB)合作開發Tourbillon，該項目專為注重隱私的央行貨幣而設計，將在國際清算銀行(BIS)創新中心的主持下開發。

BIS公告稱，Tourbillon旨在通過將盲簽名和混合網絡等技術與密碼學和CBDC設計的最新研究相結合，通過試驗抗量子密碼學來實現網絡彈性、使用與分布式賬本技術兼容但不基于分布式賬本技術的架構來實現可擴展性、為付款發送方但不為接收方提供隱私。[2022/11/10 12:44:30]

以上功能點涉及如何在不解密的限制下，對隱私數據的密文形式進行計算和驗證。而解決問題的關鍵，就在于密文同態性的使用。

在數據業務中，密文同態性在需要隱私保護的相關場景方案中應用十分廣泛，可以實現隱私數據可信跨域協作、聯合數據發掘等高價值需求，在多方數據協作、機器學習、云計算等熱門領域皆有用武之地。密碼學同態究竟有何奇妙之處？且隨本文一探究竟。

1.同態性

同態的概念起源于抽象代數，具體是指兩個代數結構之間保持結構不變的映射。

谷歌前CEO曾稱贊比特幣是一項卓越的密碼學成就:金色財經報道，在最近被發現的一段舊視頻中，谷歌前CEO Eric Schmidt稱贊比特幣是一項卓越的密碼學成就。據悉，Schmidt是2014年在計算機歷史博物館中發表的這一看法。

他認為，比特幣的技術很重要，但對該資產作為貨幣的用途表示懷疑。他表示，比特幣的技術可以在未來為更多企業提供動力。（Finbold）[2022/8/7 12:07:20]

對應地，密碼學意義中的同態，多指一類代數結構能夠滿足在指定運算下結構不變的性質。例如，函數f(x)=3x對應的代數結構滿足加法同態性，函數f(x)=x^3對應的代數結構滿足乘法同態性。

同態性在密碼學中最常見的應用之一，就是用來構造

同態加密算法。

同態加密允許在不解密的條件下，直接對密文形式下的隱私數據進行特定形式的代數運算，運算效果等同于將隱私數據明文直接計算后再加密所獲的效果。

這項技術試圖實現隱私數據協同計算中的數據密文可計算，但明文不可見的效果。

IoTeX密碼學負責人范博士：DID去中心化身份認證對物聯網未來發展影響深遠:官方消息，IoTeX密碼學負責人Xinxin Fan博士在”維也納數字身份會議 (Vienna Digital Identity Meetup)“上主題演講了 IoTeX 最新的“DID去中心化身份認證”研究報告，闡述了IoTeX如何通過區塊鏈和物聯網技術實現去中心化身份創建和身份訪問管理，以及DID去中心化身份認證對未來物聯網的影響和作用。

IoTeX作為硅谷開源項目成立于2017年，以鏈接現實世界和數字世界為發展目標，是與以太坊全兼容的高性能公有區塊鏈。[2021/10/6 20:09:33]

同態加密一直是密碼學研究領域的一個重要課題，經典的算法有RSA、ElGamal、Paillier加密算法。2009年9月，CraigGentry從理論上取得了重大突破，提出了全同態加密的構造方法，即可以在不解密的條件下，對隱私數據的密文形式進行任意形式的運算，并使得運算之后的結果密文滿足同態性。

除了同態加密外，其他密碼學原語，如上一論中提及的密碼學承諾，也可能具有同態性。

同態加密與具有同態性的密碼學承諾在功能上的區別在于：

聲音 | 楊慶峰：現代密碼學結合區塊鏈技術可基本消除技術層面的安全問題:據澎湃新聞消息，上海大學哲學系教授楊慶峰發文指出，如果說長三角一體化建設過程中數據共享會成為一個問題，數據共享會影響到未來長三角一體化公共服務的落實，那么這個問題就必須嚴肅對待。同時，其表示現代密碼學的方法已完全可以解決這一問題，再加上區塊鏈技術的未來運用的可能性極大，這基本上消除技術層面出現的安全問題。需要擔憂的是倫理方面的問題，諸如隱私保護、被遺忘權等方面的問題。[2019/3/14]

同態加密重在計算，即對多方提供的隱私數據的密文形式進行一定計算后，對結果密文解密后得到的值，等同于對明文數據進行對應運算得到的結果。這個過程不會泄露隱私數據明文，但解密之前無法獲知結果。

具有同態性的密碼學承諾重在驗證，即通過密碼學承諾密文形式的同態性，對于已知的結果，構造相應的零知識證明，用以證明多個承諾滿足一定的約束條件。密碼學承諾難以支持計算結果未知、且需要從多方收集隱私數據的密文計算過程。

同態性在不同的密碼學原語中會有不同的功能和限制，本文以同態加密算法為例，對同態性的特性和應用進行分享，其他相關密碼學原語會在后續專題中展開。

聲音 | “公鑰密碼學之父”Diffie：區塊鏈是降低和改變網絡不安全性的一個主要方向:11月11日，2015年圖靈獎得主、有“公鑰密碼學之父”之稱的Whitfield Diffie在上海舉行的區塊鏈底層技術學術交流會上發表主題演講。Diffie認為，互聯網有三個主要性質：開放性、去中心化與支持社會變革，但它不可避免地存在一定不安全性，區塊鏈則是降低和改變網絡不安全性的一個主要方向。他稱，網絡安全涉及以下重要元素：一是安全計算，二是密碼學，三是從發現惡意軟件開始，防范它甚至回擊它。Diffie最后提出對網絡安全的幾點意見：開發抗量子的公鑰加密系統；重新審視未被解決的經典計算機安全問題，并用人工智能和其他新技術來解決；開發更多大規模的可信賴軟件系統。[2018/11/11]

2.半同態vs全同態

同態加密根據支持的運算類型的限制，可分為半同態加密和全同態加密。

對于一個半同態加密算法，其密文形式僅僅對部分運算方式滿足同態性，有代表性的密碼學算法體系如下：

加法運算同態性：UnpaddedRSA，ElGamal，Benaloh，Paillier

邏輯運算同態性：Goldwasser-Micali

半同態加密算法的優點在于構造相對簡單，工程實現效率高，目前已經可以達到商用的性能要求。

對于引言中密文支票電子支付的例子，使用一個具備加法運算同態性算法便可以構造出滿足相關的隱私保護需求的密碼學協議。除了支付之外，對于日常業務中的大多數場景，如投票、選舉、競拍等，半同態加密算法一般都可以滿足對應的隱私保護需求。

對于一個全同態加密算法，其密文形式在理論上對任意運算方式都滿足同態性。對于數據密文計算相關同態加密算法設計，這一要求通常體現為密文對應的代數結構對加法和乘法同時滿足同態性。

對于任意的隱私數據x，y，全同態加密算法提供了一對加密算法E和解密算法D，滿足如下關系：

相比半同態加密算法，全同態加密算法功能更強大、設計更復雜，整體性能遠不及半同態加密算法。例如可能面臨密文數據膨脹困擾。相關研究報告顯示，在一次使用全同態加密開源庫為敏感醫療數據構建密文線性回顧模型的嘗試中，需要將隱私數據進行編碼轉換，映射到密文的向量空間中。

此過程，1M的明文數據編碼后可能膨脹至約10G密文數據；同時，針對值域范圍為512位的明文數據，單次密文乘法運算，在普通個人計算機實測耗時約5秒左右，通常一個需要全同態計算的場景涉及的密文乘法次數很多，總體耗時較高。

由此可見，全同態加密算法的愿景雖美，但目前還處于理論探索層面，離工程實用化、支持高頻次和大數據量的業務需求尚有一定距離。

3.單密鑰vs多密鑰

同態加密根據數據控制方的數量，可分為單密鑰同態加密和多密鑰同態加密。

早期的同態加密算法都是單密鑰算法，主要應用于外包計算場景。數據控制方對自身的數據進行加密，然后發送到云計算服務平臺，在密文的形式下完成一系列運算，最后下載結果密文，本地解密之后獲得最后的計算結果。

上一節提到的ElGamal、Paillier等加密算法都是單密鑰同態加密，即對于隱私數據只能使用同一對的密鑰進行加解密。

單密鑰同態加密優點在于構造相對簡單、性能高，可用于有一定信任基礎或強監管環境下的聯合計算場景。

由于涉及到可信初始化和密鑰選用的問題，單密鑰同態加密在多方參與的協作場景中，會遇到不少挑戰，例如：

如何決定使用哪一方提供的密鑰？數據由誰來解密？

如何平衡單密鑰所代表的單一數據控制權？如何確保數據提供方的敏感數據輸入不被解密？如何防范數據控制方惡意提前終止協議？

如何讓所有參與方都能驗證最終結果正確性？

實際業務流程中，隱私數據可以由多方提供，在可信初始化之后使用同一個公鑰加密數據，并匯總密文數據進行計算，計算結束之后，需要委托可信方或者使用分布式解密協議，對最終結果進行解密。

相比單密鑰同態加密算法，多密鑰同態加密較好地解決了信任相關的問題。

一個多密鑰同態加密算法，允許不同參與方使用各自不同的密鑰對加密，加密后的密文可以通過各個參與方的公鑰進行密文擴展，擴展后的密文對于指定的運算方式依舊滿足同態性。解密過程可以通過分布式解密協議，在不泄露各自數據私鑰的前提下，對約定的結果密文進行解密。

典型的多密鑰同態加密算法可以參考ClearandMcGoldrick(CRYPTO2015)、MukherjeeandWichs(EUROCRYPT2016)相關的論文。

目前多密鑰同態加密方案，隨著參與方個數的增加，系統性能會急劇降低。對于一些需求比較明確的多方協作場景，相較于多密鑰同態加密方案，定制構造的安全多方計算協議或許更有效。

總體而言，密文同態性可以為業務場景中，常見的隱私數據的計算和驗證需求，提供有效解決方案，根據具體的業務需求，基本技術選型可以參考下圖：

正是：隱私數據密文亦無妨，計算驗證同態兩相宜！

具有同態性的密碼學原語提供了一系列直觀、便捷的密鑰學協議構造利器，在保障隱私數據機密性的同時，允許多個協作方對隱私數據的密文形式進行直接運算和驗證操作，以此適配多樣化的隱私保護需求。

除計算和驗證需求外，多方授權也是常見的業務需求之一，如對多方共有的業務數據進行授權使用，此時需要用到門限密碼學相關技術，欲知詳情，敬請關注下文分解。

Tags：區塊鏈IOTEIOTFFI什么是區塊鏈技術IOTENGIOTTOyffii幣怎么樣

抹茶交易所