多属性环境下基于容错学习的全同态加密方案白平;张薇【摘要】Learning With Errors (LWE)-based fully homomorphic encryption scheme was presented by Gentry,Sahai and Waters (GENTRY C,SALAHAI A,WATERS B.Homomorphic encryption from learning witherrors:conceptually-simpler,asymptotically-faster,attribute-based[C] // Proceedings of the 33rd Annual CryptologyConference.Berlin:Springer,2013:75-92),namely GSW scheme,can only work under single-attribute settings.Aiming at this problem and introducing the concept of fully system,a fully homomorphic encryption scheme under multi-attribute settings was constructed.In the proposed scheme,whether a user was legitimate was determined through a conditional equation.Then,a new ciphertext matrix that meeting the requirements of GSW13 was constructed by using ciphertext expansion algorithm.Finally fuzzy system technology was used to complete the construction.INDistinguishability-X-Chosen Plain Attack (IND-X-CPA) security was proved under the standard model.The advantage of the proposed scheme lies in that it can be used in multi-attribute environment.The disadvantage is that the computational complexity is increased.%针对Gentry、Sahai和Waters提出的基于容错学习(LWE)问题全同态加密方案(GENTRY C,SALAHAI A,WATERS B.Homomorphic encryption from learning with errors:conceptually-simpler,asymptotically-faster,attribute-based[C]//Proceedings of the 33rd Annual Cryptology Conference.Berlin:Springer,2013:75-92)中只能在单个属性环境下工作的问题,通过借鉴“模糊系统”技术,构造了多属性环境下基于LWE的全同态加密方案.首先根据条件等式判断是否为合法用户,然后利用密文扩展算法构造新的密文矩阵,最后采用“模糊系统”技术进行方案构造.在标准的基于X不可区分的选择明文攻击(IND-X-CPA)安全游戏中证明了安全性.所提方案优点是可以将满足一定属性的基于属性加密(ABE)方案转换成多属性环境下的全同态加密方案,缺陷是运算复杂度有所增加.【期刊名称】《计算机应用》【年(卷),期】2018(038)005【总页数】6页(P1377-1382)【关键词】全同态加密;模糊系统;隐私保护;属性加密;容错学习问题【作者】白平;张薇【作者单位】武警工程大学密码工程学院,西安710086;武警工程大学密码工程学院,西安710086;武警工程大学信息安全保密重点实验室,西安710086【正文语种】中文【中图分类】TP309.70 引言近年来,随着云计算技术[1]快速发展,大量用户将个人隐私数据存放或运行在外部云服务器上,然而,用户在获得便利的同时,数据共享、隐私保护等相关一系列问题逐渐凸显出来。
至今为止,在实际应用中这些问题依然没有找到一种高效且实用的解决办法,有关云计算安全问题依然是密码学界的研究热点。
为了能很好地解决上述问题,在密码学领域中“全同态加密”技术应运而生。
2009年,Gentry [2]提出基于理想格(Ideal Lattice)上的最短向量问题(Shortest Vector Problem,SVP),构造出了第一代能够真正实现全同态加密的体制。
此后,对于全同态密码的研究便成为了密码学界一个新的研究热点[3-6]。
2011 年,Brakerski等[7]提出基于容错学习(Learning With Errors,LWE)困难问题的全同态加密体制,基于LWE问题的公钥加密体制继承了格上密码体制的优势,且具有简单的计算形式。
2013年,Gentry等[8]提出了一种全新的层次型全同态加密方案(GSW13方案),这个方案优点在于摆脱了Gentry框架而完全基于LWE问题,去除了运算密钥,利用“近似特征向量”的技术实现矩阵同态加法和矩阵同态乘法的特性,从而实现了层次型全同态。
属性加密最初由Sahai等[9]在2005年提出,是一种具有良好访问控制特性的加密方式,具有如下3个优良的性质:1)加密者只需知道明文对应的属性即可加密,无需了解明文消息的具体内容,从而在一定程度上保护了用户隐私;2)只有正确掌握属性信息的用户才能够解密,从而保证数据的安全性;3)基于属性加密(Attribute Based Encryption,ABE)机制支持基于属性的灵活访问控制策略,可以实现属性的与、或、非和门限操作。
在属性加密系统中,密文不需要以传统的公钥密码体制加密给一个特定用户,而是用户的私钥和密文与一个属性集或属性上的策略相关联,当且仅当用户的私钥和密文相匹配时,用户才能够解密得到正确的明文。
本文针对 Gentry、Sahai和 Waters[8]描述的 GSW13 编译器只能够在单属性环境下工作的不足,通过借鉴“模糊系统”技术实现了多属性环境下的全同态加密。
实现多属性加密主要有以下两层意义:1)对于单个用户来说,属性个数的增加能够很好地增强用户外包数据的访问控制权限,从而减少用户外包数据泄露的概率。
2)对于多个用户来说,能够在保证各自用户数据不泄露的情况下,实现在不同的属性加密情况下,多个用户可以共享彼此外包数据,从而实现了数据的最大利用率。
此外,构造的方案可以实现如下功能:可以将满足一定属性要求的ABE方案转换成多属性环境下的全同态加密方案,进一步提高了用户外包数据的安全性和实用性,提升了全同态加密在云计算外包过程中的运用。
1 预备知识1.1 容错学习问题[10]在正式定义LWE之前,首先介绍几个相关的概率分布:1)将整数域Zq上以0为中心为标准差的离散正态分布称为“误差分布”,记为χ。
2)取定正整数n,对于整数域上的n维向量s,记×Zq 上概率分布为 As,χ。
定义1 设定模数q=q(χ),存在矩阵A和向量v,使得v=As+e,其中A∈Znq,s∈Zq分别在Znq和Zq中依均匀分布随机选择,小变量 e在Znq 上服从误差分布χ。
LWEn,m,q,χ问题可描述为:给出m个As,χ分布上相互独立的变量,求其对应的向量 s。
1.2 基于属性的同态加密方案体制模型一个基于属性的同态加密体制为 ABHE=(Setup,KeyGen,Enc,Dec,Eval),主要由以下5个具体算法构成:初始化算法Setup(1λ)。
输入安全参数λ,输出公开参数params和用户主私钥MSK。
定义一个环R、函数集F和计算关系式:R(x,y),x ∈ {0,1}k,y∈ {0,1}l,其中k,l为任意参数。
设定运算电路为Ω:{0,1}t→ {0,1},电路深度为L。
私钥生成算法KeyGen(MSK,y)。
由主私钥MSK和参数y生成用户私钥sky,其中y∈{0,1}l。
随后对属性x进行哈希运算得到用户公钥pkx,x∈{0,1}k,将用户私钥sky返回给拥有属性x的用户。
加密算法 Enc(params,pkx,μ)。
输入公开参数params、用户公钥pkx和明文消息μ,输出密文c。
解密算法Dec(sky,c')。
若满足式R(x,y)=1,则可根据用户私钥sky和密文c',解密得到明文μ';若R(x,y)≠1,则解密中止,输出无效符号⊥。
密文运算算法 Eval(params,Ω,c1,c2,…,ct)。
由公开参数params、事先设定的运算电路Ω以及用相同属性值x加密的一组密文{c1,c2,…,ct},输出一个新密文 c',即Ω(c1,c2,…,ct) → c'。
定义2 假设ξ表示一个满足以下3个属性的ABE方案:1)属性x对应的解密密钥sky和密文c都是Zm'q上的向量,并且sky的第一个元素系数是1。
2)如果c是明文0对应的密文,则〈cx,sky〉是比较小的。
3)对明文0的加密结果与Zq上的一般向量不可区分。
则ξ的模糊系统OSξ可表示为OSξ=(GenUnivObs,DeriveObs),其中两个概率多项式时间算法满足如下定义:1)GenUnivObs(params,id,μ)。
输入方案ξ的公共参数params、属性信息x 和明文μ∈{0,1},输出泛模糊信息U∈{0,1}* 。
2)DeriveObs(params,U,x')。
输入方案ξ的公共参数params,泛模糊信息U∈{0,1}*和一个属性信息x',输出一对矩阵上述定义的模糊系统OSξ满足以下属性:正确性对于任意(params,MSK)← ξ.Setup(1λ),任意属性信息x,x',私钥vx=Powerof2(x.KeyGen(MSK,x)) ∈和vx'=Powerof2(ξ.KeyGen(msk,x')) ∈ ZNq,明文μ ∈ {0,1}以及所有的U ← GenUnivObs(params,x,μ)和(X,Y)←DeriveObs(params,U,x'),均满足如下的关系式:其中e为允许范围内极小误差值。