全同态加密：原理介绍与应用场景

提到"加密"时，人们通常会想到静态加密和传输中加密。静态加密将数据加密后存储在硬件设备中,只有授权人员可以查看解密后的内容。传输中加密则确保通过互联网传输的数据只能被指定接收者解读。

这两种场景都使用加密算法,并额外保证数据完整性,即数据在传输过程中未被篡改,这被称为"认证加密"。一旦数据被加密,参与传输的人无法私自解密(保密性),任何人也不能随意篡改密文(完整性/真实性)。

然而,某些多方协作场景需要对密文进行复杂处理,这属于隐私保护技术范畴,全同态加密(FHE)就是其中之一。以线上投票为例:选民加密投票结果提交给中间实体,该实体收集所有投票并统计结果,最后只公布最终选举结果。

使用传统的"认证加密"方案时,负责统计的中间人需要解密所有人的投票数据才能执行统计,这会暴露每个人的投票结果。虽然可以对数据进行混洗,但很难将加密后的选票与选民身份完全分离。

为应对这种情况,可以引入全同态加密(FHE)技术。FHE允许在不解密密文的情况下直接对密文进行函数计算,获得该函数输出的加密结果,从而保护隐私。

在FHE中,函数f的数学构造是公开的,因此输入密文x输出结果f(x)的处理流程可以在云端执行,而不会泄露隐私。x和f(x)都是加密的密文,需要密钥解密,通常使用相同的解密密钥。

FHE是紧凑型加密方案,输出结果f(x)的密文大小和解密工作量仅取决于输入数据x对应的原始明文,不依赖于计算过程。这与非紧凑型加密系统不同,后者往往简单地将x与函数f的源码连接,让接收者解密x并输入f中计算。

在实际应用中,FHE外包模式通常被视为TEE等安全执行环境的替代方案。FHE的安全性基于密码学算法,不依赖硬件设备,因此不受被动侧信道攻击或云服务器被攻击的影响。对于需要外包敏感数据计算的情况,FHE可以提供更高的安全保障。

FHE系统通常包含几组密钥:

• 解密密钥:主密钥,用于解密FHE密文,通常在用户本地生成且不对外传输。
• 加密密钥:用于将明文转换为密文,在公钥模式下可以公开。
• 计算密钥:用于对密文进行同态运算,可以公开发布。

解密密钥持有者需确保整个同态操作链条有效,最终密文安全,然后解密得到明文结果。同态操作可以公开进行并被验证,降低了恶意操作的风险。

FHE的具体场景/模式

外包模式

外包模式是FHE的首个历史性应用,旨在将普通云计算转变为类似SGX和TEE的私密计算,但安全性基于密码学算法而非硬件。Alice拥有私密数据但计算能力有限,Bob拥有强大计算资源但不贡献额外私密数据。Alice加密输入参数传给Bob,Bob同态计算后返回加密结果。

目前FHE外包模式主要用于私有信息检索(PIR)场景,如公共服务器拥有大型数据库,客户端请求数据但不想泄露查询内容。

两方计算模式

两方计算模式中,Bob在计算过程中贡献私密数据。FHE是理想的两方计算解决方案,具有最小通信复杂度,并保证双方隐私。潜在应用包括"百万富翁问题"等电子商务场景。

聚合模式

聚合模式改进了外包模式,以紧凑且可验证的方式聚合多个参与者的数据。典型应用包括联邦学习和线上投票系统。

客户端-服务器模式

客户端-服务器模式改进了双方计算模式,服务器为多个独立密钥的客户端提供FHE计算服务。可用于私有AI模型运算服务,如客户端有私密数据,服务器有私有AI模型。

其他细节

• FHE可通过引入冗余或使用数字签名等方式确保外部计算结果有效。
• 可通过限制访问中间密文或采用秘密共享方式分配解密密钥来确保只解密最终结果。
• FHE有三种类型:部分同态加密(PHE)、分级同态加密(LHE)和完全同态加密(FHE)。FHE最为灵活,但需要定期执行自举操作以控制噪声。

全同态加密技术为隐私保护计算提供了强大工具,未来有望在多个领域得到广泛应用。