專利名稱:用于雙線性型的高效同態(tài)加密方案的制作方法
技術(shù)領(lǐng)域:
本發(fā)明的示例性實施例通常涉及加密和解密算法��,且更具體而言��,涉及用于雙線性型的同態(tài)加密方案��。
背景技術(shù):
支持對加密數(shù)據(jù)的操作(例如同態(tài)加密)的加密方案在安全計算中非常有用��。同態(tài)加密方案是指這樣的加密方案�,其中,在兩個或更多個密文上執(zhí)行的一個或更多個操作(例如加法��、乘法)轉(zhuǎn)化為被解密的明文(即密文的解密)����。例如,如果密文之和(CfC2)的解密產(chǎn)生相應的明文之和(BfB2)(可能模上(modulo)某個值)dec (C^C2) — BJB2�����,則可稱加密方案是加法同態(tài)的����。許多公鑰密碼系統(tǒng)支持加密數(shù)據(jù)的相加或相乘,但要同時實現(xiàn)兩者看來很難�����。 已知使用例如Yao的“加密電路”(garbled circuit)技術(shù)[16��,12],可以實現(xiàn)對加密數(shù)據(jù)來計算任意函數(shù)�,但是密文大小以及解密復雜度至少會隨著被計算的電路中的門數(shù)而線性增加。此外����,Sander等[15]描述了一種允許評估任意電路的技術(shù),但是密文大小隨著電路深度成指數(shù)增加��。這兩種方法都可以僅使用“一般難度假設(shè)”(例如雙流不經(jīng)意傳輸協(xié)議(two-flow Oblivious-Transfer protocol)的存在等)來實現(xiàn)����。Boneh�、Goh和Nissim描述了一種密碼系統(tǒng),其允許任意數(shù)量的加法和一次乘法��,而不會增加密文大小[5]���。該方案在這里被稱為BGN密碼系統(tǒng)����。BGN密碼系統(tǒng)的安全性基于允許雙線性映射(bilinear map)的組合階群(composite-order group)中的子群成員問題(sub-group membershipproblem)0該密碼系統(tǒng)直接隱含了一種用于評估2-析取范式(2DNF)公式(或更一般地雙線性型)的高效協(xié)議�。Boneh等還描述了應用BGN密碼系統(tǒng)來改進私密信息檢索方案(PIR)的效率以及用于投票協(xié)議(voting protocol)。更近以來�,AguilarMelchor、Gaborit 和 Herranz 在[2]中描述了一種“模板”�����,其用于將某些加法同態(tài)的加密轉(zhuǎn)換為同時允許加法和乘法的加密系統(tǒng)����。他們示出了如何使用該模板來將BGN密碼系統(tǒng)與Kawachi等[11]的密碼系統(tǒng)進行組合,由此獲得一種密碼系統(tǒng)����,其支持兩次乘法和任意加法�,基于子群成員問題和格(lattice)中唯一最短向量問題兩者的難度�。他們還示出了如何將該模板與Aguilar Melchor等[I]的密碼系統(tǒng)一起使用,以獲得無限制的乘法深度���,其中密文大小隨著乘法深度成指數(shù)增加,但支持加法而不會增加大小�����。(該最后實現(xiàn)的安全性基于相對未被研究的難度假設(shè)��,其被稱為“微分背包向量問題���,�,(Differential Knapsack Vector Problem))�。已知人們可以從格或線性碼來構(gòu)造加法同態(tài)加密方案。密文中隱性地包含“誤差”�,其隨著密文被一起操作(例如相加、相乘)而增長��。因此�,所產(chǎn)生的密文不會具有和原始密文(例如和單獨解密的)一樣的分布,并且在某個點上�,誤差會變得足夠大從而引起錯誤的解密����。為此����,在該情形下,同態(tài)有時被稱為“偽同態(tài)”(pseudohomomorphism)或“限界同態(tài)��,���,(bounded homomorphism)���。最近,Gentry描述了一種完全同態(tài)的密碼系統(tǒng)[9]�����,其支持多項式數(shù)量(polynomially many)的加法和乘法,而不會增加密文大小����,其安全性基于在理想格(ideallattice)中找到最短向量的難度[8]。
發(fā)明內(nèi)容
在本發(fā)明的一個示例性實施例中�����,一種計算機可讀存儲介質(zhì)有形地體現(xiàn)了可由機器執(zhí)行以執(zhí)行操作的指令程序,所述操作包括接收信息B��,該信息B將根據(jù)包含加密函數(shù)的加密方案被加密為密文C ;以及根據(jù)該加密方案的加密函數(shù)來加密信息B以獲取密文C����,其中,所述加密方案使用對應于至少一個私鑰T的至少一個公鑰A����,其中所述信息B�、密文C、至少一個公鑰A和至少一個私鑰T是矩陣��,其中���,所述加密函數(shù)接收至少一個公鑰A和信息B作為輸入��,并將密文C輸出為C — AS+pX+B (modq)��,其中S是隨機矩陣��,其中X是誤差矩陣�����,其中P是整數(shù)�,其中q是奇素數(shù)。在本發(fā)明的另一示例性實施例中���,一種裝置包括至少一個存儲介質(zhì)����,其被配置為存儲信息B���,該信息B將根據(jù)包含加密函數(shù)的加密方案被加密為密文C ���;以及至少一個處理 器,其被配置為根據(jù)該加密方案的加密函數(shù)來加密信息B以獲取密文C�����,其中�����,所述加密方案使用對應于至少一個私鑰T的至少一個公鑰A�,其中所述信息B、密文C、至少一個公鑰A和至少一個私鑰T是矩陣�����,其中�����,所述加密函數(shù)接收至少一個公鑰A和信息B作為輸入�����,并將密文C輸出為C — AS+pX+B (modq)����,其中S是隨機矩陣�����,其中X是誤差矩陣�����,其中P是整數(shù)���,其中q是奇素數(shù)�����。在本發(fā)明的又一示例性實施例中�����,一種計算機可讀存儲介質(zhì)有形地體現(xiàn)了可由機器執(zhí)行以執(zhí)行操作的指令程序���,所述操作包括接收密文C���,該密文C將根據(jù)包含解密函數(shù)的加密方案被解密為信息B ;以及根據(jù)該加密方案的解密函數(shù)來解密密文C以獲取信息B,其中����,所述加密方案使用至少一個私鑰T,其中所述信息B����、密文C和至少一個私鑰T是矩陣,其中���,所述解密函數(shù)接收至少一個私鑰T和密文C作為輸入��,并根據(jù)B=T4 · (TCTtHiodq) · (Tt)-1Hiodp來輸出信息B���,其中P是整數(shù)��,其中q是奇素數(shù)�����。根據(jù)本發(fā)明的再一示例性實施例����,一種裝置包括至少一個存儲介質(zhì)���,其被配置為存儲密文C��,該密文C將根據(jù)包含解密函數(shù)的加密方案被解密為信息B �;以及至少一個處理器���,其被配置為根據(jù)該加密方案的解密函數(shù)來解密密文C以獲取信息B,其中�����,所述加密方案使用至少一個私鑰T,其中所述信息B����、密文C和至少一個私鑰T是矩陣,其中��,所述解密函數(shù)接收至少一個私鑰T和密文C作為輸入���,并根據(jù)B=T4 · (TCTt modq) · (Tt)-1Hiodp來輸出信息B��,其中P是整數(shù)����,其中q是奇素數(shù)����。根據(jù)本發(fā)明的又一示例性實施例,一種計算機可讀存儲介質(zhì)有形地體現(xiàn)了可由機器執(zhí)行以執(zhí)行操作的指令程序�����,所述操作包括接收信息B���,該信息B將根據(jù)包含加密函數(shù)和解密函數(shù)的加密方案被加密為密文C ;以及根據(jù)該加密方案的加密函數(shù)來加密信息B以獲取密文C��,其中��,所述加密方案使用至少一個公鑰A和對應于該至少一個公鑰A的至少一個私鑰T���,其中所述信息B��、密文C�、至少一個公鑰A和至少一個私鑰T是矩陣����,其中B e 2^'C e SJixm3 A e 且T e SJxm,其中n表示安全參數(shù)且m�,q =poly (η),其中q是奇素數(shù)����,其中P是整數(shù),其中q> P���,其中�����,所述加密函數(shù)接收A和B作為輸
入����,并將密文C輸出為C — AS+pX+B (modq)��,其中S是隨機矩陣且S i其中X是誤差矩陣且其中ψ#是誤差分布����,其中β是由β = l/Poly(n)給出的高斯
誤差參數(shù),其中����,所述解密函數(shù)接收T和C作為輸入,并根據(jù)B=T4 VTCTt modq) -(Tt)^modp來輸出信息B��,其中�����,所述加密方案是同態(tài)的并支持計算雙線性型�。
通過下列詳細描述并結(jié)合附圖,本發(fā)明的實施例的上述和其他方面將變得更為明顯�,在附圖中圖IA示出了根據(jù)本發(fā)明的示例性實施例的示例性加密操作/函數(shù);圖IB示出了根據(jù)本發(fā)明的示例性實施例的示例性解密操作/函數(shù)�����;圖IC示出了根據(jù)本發(fā)明的示例性實施例的示例性密鑰生成(KeyGen)操作/函 數(shù);圖ID示出了根據(jù)本發(fā)明的示例性實施例的示例性密文加法操作/函數(shù)�;圖IE示出了根據(jù)本發(fā)明的示例性實施例的示例性密文乘法操作/函數(shù);圖IF示出了根據(jù)本發(fā)明的示例性實施例的示例性“簡單解密”操作/函數(shù)�����;圖2示出了系統(tǒng)的框圖��,本發(fā)明的各種示例性實施例可以在該系統(tǒng)中實現(xiàn)���;圖3描述了邏輯流圖�����,其示出了根據(jù)本發(fā)明的示例性實施例的示例性方法的操作以及示例性計算機程序的操作��;圖4描述了另一邏輯流圖��,其示出了根據(jù)本發(fā)明的示例性實施例的示例性方法的操作以及示例性計算機程序的操作��;圖5描述了又一邏輯流圖����,其示出了根據(jù)本發(fā)明的示例性實施例的示例性方法的操作以及示例性計算機程序的操作;圖6描述了再一邏輯流圖���,其示出了根據(jù)本發(fā)明的示例性實施例的示例性方法的操作以及示例性計算機程序的操作;且圖7描述了又一邏輯流圖���,其示出了根據(jù)本發(fā)明的示例性實施例的示例性方法的操作以及示例性計算機程序的操作���。
具體實施例方式I.簡介本發(fā)明的示例性實施例構(gòu)造了一種簡單的公鑰加密方案,其支持計算雙線性型(例如多項式數(shù)量的加法和一次乘法)���,類似于Boneh����、Goh和Nissim的密碼系統(tǒng)(BGN)�����。安全性基于帶誤差學習(learning with errors,LWE)問題的難度�,已知該問題和某些最壞情形的格問題難度一樣。示例性密碼系統(tǒng)的某些特征包括支持大的消息空間���、容易獲得公式私密性�����、比BGN有更好的消息到明文擴張率�、以及容易將兩個加密的多項式相乘。此外��,可以使得該方案是基于身份且泄露彈性的(leakage resilient)(以更高的消息到明文擴張率為代價)�����。這里對“z”的任何和所有提及(例如ZJTxti 都應被理解為對應于所有整數(shù)的集合�。此外,這里對秘密�、密鑰或陷門(trapdoor)的任何和所有提及都應被理解為對應于私鑰(例如,如在公鑰一私鑰加密方案中)�����,反之亦然�����。
這里使用的術(shù)語是為了描述本發(fā)明的各種示例性實施例的目的���,而不是要限制本發(fā)明�。如這里所使用的,單數(shù)形式“一個”和“該”旨在也包含復數(shù)形式��,除非上下文明確另外說明����。還應該理解,術(shù)語“包含”和/或“包括”在本說明書中使用時�����,表示所述特征����、整體��、步驟�����、操作����、元素和/或組件的存在,但不是要排除一個或多個其他特征�����、整體、步驟��、操作��、元素�����、組件和/或其組合的存在或添加���。I. I.引言在本文中�����,描述了一種示例性加密方案��,它是加 法同態(tài)的�,并且還支持一次乘法����。該示例性方案基于Gentry、Peikert和Vaikuntanathan[10]提出的陷門函數(shù)(以下將被稱
為GPV陷門函數(shù))�。在GPV陷門函數(shù)中公鑰”是矩陣A€ (對于參數(shù)q > P且m > n)�,且相應的陷門是具有小的條目的滿秩整數(shù)矩陣TeZmxm��,從而TA = 0(mod q)����。該示例性密碼系統(tǒng)中的公鑰和私鑰和GPV陷門函數(shù)中的完全一樣。通過設(shè)置C = AS+pX+Bmodq來加密矩陣BeZrW其中�����,S是隨機“系數(shù)矩陣”SeZf*且X是具有條目的
59
“噪聲矩陣”x e Zmxm�,從而X的條目比q要小很多��。密文矩陣可以被相加�����,并且支持單次矩陣相乘C= C1 -C�����; mod(^/(Ct是c的轉(zhuǎn)置矩陣)��。為了解密�,令B = T-1 · (TCTtIiiodq) · (Tt)-1Iiiodp示例性方案的安全性等價于帶誤差學習(LWE)的難度��。該問題與眾所周知的“具有噪聲的奇偶性學習”(learning parity with noise)相關(guān),它在基于格的密碼學的研究中已經(jīng)成為標準��。該問題最初由Regev [14]提出�,并由Regev [14]和Peikert [14]表明���,它和整數(shù)格中的各種問題的最壞情形實例的難度一樣���。這里簡要地指出,LWE問題與關(guān)聯(lián)誤差分布相關(guān)����。I. 2 貢獻該示例性方案與以前的工作的主要區(qū)別可能在于作為基礎(chǔ)的難度假設(shè)。特別地��,示例性方案是所報告的第一種基于LWE且不限于加法同態(tài)的密碼系統(tǒng)�。此外,示例性方案非常高效它可以在時間內(nèi)對Hi2個元素的矩陣進行加密���,且解密所花的時間相當���。示例性方案與BGN密碼系統(tǒng)的一個重要區(qū)別是,BGN密碼系統(tǒng)只能對來自小的空間的消息加密(因為在解密時���,只能恢復群元素gm�����,并且然后需要搜索消息m)����。在示例性方案中,可以對于任何P對Zp上的矩陣加密����,只要q比P足夠大。一個相關(guān)的優(yōu)勢是�,通過選擇大的模數(shù)P,可以使得示例性方案具有0(1)的密文擴張(而BGN密碼系統(tǒng)將O(Iogn)比特的明文擴展為0(n)比特密文)��。需要注意�����,在示例性方案中定義消息空間的模數(shù)P可以由加密機動態(tài)選擇同一公鑰/私鑰對可以被用來加密/解密消息模上很多個不同的域(或環(huán))���。示例性方案還支持密文隱藏(blinding)(即,給定的密文被轉(zhuǎn)換為加密同一事物的隨機密文)����,以及更強的模隱藏屬性給定加密了矩陣的密文��,且給定P的某個除數(shù)Ρ\可以生成隨機密文來加密Bmodpt15例如���,如果原始明文矩陣具有η比特的數(shù)字(例如在 中),則可以隱藏密文��,從而消去除了 B中條目的最低有效位之外的一切����。(標準)隱藏屬性以及消息空間選擇靈活性的一個結(jié)果是,示例性系統(tǒng)提供了用于公式私密安全計算的非常簡單的過程�。即,很容易在密文上計算2DNF公式(或更一般的雙線性型)��,而同時向私鑰的持有者隱藏關(guān)于公式本身的一切(除了在給定輸入上應用它的結(jié)果)����。最后,示例性方案繼承了基于LWE的密碼系統(tǒng)帶有的大量靈活性�。特別地,使用Gentry等[10]的構(gòu)造�����,可以使得它是基于身份的,并且使用Dodis等[6]的最近結(jié)果�,可以使得它是泄露彈性的。這兩種應用都來源于觀察到[10]中的“對偶Regev密碼系統(tǒng)”(dualRegev cryptosystem)可以被描述為示例性密碼系統(tǒng)的特殊情形��。應用很明顯��,示例性方案可以在應用中被用作Boneh等[5]在論文中討論的投票和PIR的簡易替代(drop-in replacement)��。此外����,由于示例性方案天然地加密矩陣,對受益于批處理(batching)的應用,以及在高效線性代數(shù)很重要的時候�,它是很好的匹配。批處理的某些例子包括(例如需要)將多項式(其系數(shù)將被編碼在明文矩陣的條目中)或大整數(shù)(其比特被編碼表示將在明文矩陣的條目中)相乘的應用����。在5. 3節(jié)中,描述了這些是如何在矩陣 中加密的��,從而mXm矩陣的單次相乘可以被用來將兩個階-(m-Ι)的多項式(或兩個m比特的整數(shù))相乘��,從而結(jié)果不會泄露除了其乘積以外的關(guān)于輸入的任何信息�����。I. 3示例性方案總覽下面簡要描述了示例性方案的構(gòu)造的主要思想�。示例性方案基于決策LWE問題的難度,該問題描述了對于安全參數(shù)η和多項式大小(polynomially large)的m,給定均勻隨
機矩陣AeZJwi�,向量As+x是偽隨機的(對于均勻的Se 以及“小的誤差向量
)。決策LWE的難度目前是基于格的密碼系統(tǒng)的研究中的一個標準假設(shè)�,Regev[14]和Peikert[13]表明該問題和解決若干最壞情形下的標準格問題難度一樣。示例性方案的公鑰是隨機矩陣AeZf'且私鑰是具有小的條目的“陷門矩陣” τ��,滿足TMZOOnod q)�。加
密方案的消息空間為m乘m整數(shù)矩陣modp的環(huán)(具有矩陣相加和相乘的操作)。該方案可以工作于任何環(huán)Zp上���,只要P比LWE模數(shù)q足夠小���。見第3節(jié)中更詳細的描述。為了加密矩陣BeO卩密機從LWE誤差分布中選擇隨機矩陣SeZf*和“小誤
差矩陣”x���。然后密文C為C = A · S+p · X+B需要留意�����,密文是(低階矩陣)+ (可被P整除的小噪聲)+ (消息)的形式����。對密文解密涉及在密文左側(cè)乘上陷門矩陣T (其除去了低階矩陣),然后乘上T1HlOdp來消去噪聲��,B = T-1 · (T · Cmodq) modp.這是可行的�����,因為T�、X和B都小,從而T · (pX+B)中的所有條目都小于q��,這意味著(T · Cmodq)在整數(shù)上等于T · (pX+B)(不僅是mod q),且因此它等于T · Bmodp�����。容易看到����,若干個矩陣的加密之和將被解密為這些矩陣之和,只要(例如Τ· Σ CiHiodq中的)所有條目仍然小�。為了獲得兩個矩陣的相乘的加密,令
權(quán)利要求
1.一種計算機可讀存儲介質(zhì)�����,有形地體現(xiàn)了可由機器執(zhí)行以執(zhí)行操作的指令程序�,所述操作包括 接收信息B,該信息B將根據(jù)包含加密函數(shù)的加密方案被加密為密文C ����;以及 根據(jù)該加密方案的加密函數(shù)來加密信息B以獲取密文C, 其中�,所述加密方案使用對應于至少一個私鑰T的至少一個公鑰A,其中信息B����、密文C、至少一個公鑰A和至少一個私鑰T是矩陣��, 其中����,所述加密函數(shù)接收至少一個公鑰A和信息B作為輸入,并將密文C輸出為C — AS+pX+B (mod q)�,其中S是隨機矩陣,其中X是誤差矩陣����,其中P是整數(shù),其中q是奇素數(shù)��。
2.如權(quán)利要求I所述的計算機可讀存儲介質(zhì),其中����,Belf1自,Cezyxm,A € 2『XTI,S 卜且X i Ψ^(£ ) η><7η 其中�,η 表示安全參數(shù)且 m, q = poly (η),其中���,Ψ卩是誤差分布�����,其中�,β是由β = l/poly(n)給出的高斯誤差參數(shù)��。
3.如權(quán)利要求I所述的計算機可讀存儲介質(zhì)���,其中���,所述加密方案是同態(tài)的,并支持計算雙線性型���。
4.如權(quán)利要求I所述的計算機可讀存儲介質(zhì)����,其中P=2,且信息B包括二進制值的矩陣����。
5.如權(quán)利要求I所述的計算機可讀存儲介質(zhì)����,其中,c= c (η) > O, q >22V(c+4)Vc 4Iog5Iwi = β — 27ρn1+C3c/2) logηlogβ
6.如權(quán)利要求5所述的計算機可讀存儲介質(zhì)���,其中�����,所述加密方案支持矩陣環(huán)上的任何階中的ηε次加法和一次乘法���。
7.一種裝置,包括 至少一個存儲介質(zhì)����,其被配置為接收信息B,該信息B將根據(jù)包含加密函數(shù)的加密方案被加密為密文C ;以及 至少一個處理器,其被配置為根據(jù)該加密方案的加密函數(shù)來加密信息B以獲取密文C����,其中��,所述加密方案使用對應于至少一個私鑰T的至少一個公鑰Α�����,其中信息B����、密文C、至少一個公鑰A和至少一個私鑰T是矩陣����, 其中,所述加密函數(shù)接收至少一個公鑰A和信息B作為輸入�,并將密文C輸出為C — AS+pX+B (mod q),其中S是隨機矩陣����,其中X是誤差矩陣,其中P是整數(shù)��,其中q是奇素數(shù)��。
8.如權(quán)利要求7所述的裝置,其中����,gg I7^xm3C e6*-且XI,其中��,η表示安全參數(shù)且m��,q = poly (η)����,其中����,是誤差分布���,其中�,β是由β = 1/poly (η)給出的高斯誤差參數(shù)���。
9.如權(quán)利要求7所述的裝置����,其中�,所述加密方案是同態(tài)的,并支持計算雙線性型���。
10.如權(quán)利要求7所述的裝置��,其中ρ=2�����,且信息B包括二進制值的矩陣����。
11.如權(quán)利要求7 所述的裝置,其中����,c = c (η) > O,q > 220p2 (c+4) 3n3c+4log5n,
12.如權(quán)利要求11所述的裝置����,其中,所述加密方案支持矩陣環(huán)
13.一種計算機可讀存儲介質(zhì)�����,其有形地體現(xiàn)了可由機器執(zhí)行以執(zhí)行操作的指令程序�,所述操作包括 接收密文C,該密文C將根據(jù)包含解密函數(shù)的加密方案被解密為信息B ;以及 根據(jù)該加密方案的解密函數(shù)來解密密文C以獲取信息B�����, 其中���,所述加密方案使用至少一個私鑰T����,其中信息B�、密文C和至少一個私鑰T是矩陣, 其中�����,所述解密函數(shù)接收至少一個私鑰T和密文C作為輸入����,并根據(jù)B=T4 · (TCTtHiodq) · (Tt)-1Hiodp來輸出信息B���,其中P是整數(shù)��,其中q是奇素數(shù)��。
14.如權(quán)利要求13所述的計算機可讀存儲介質(zhì)��,其中����,
15.如權(quán)利要求13所述的計算機可讀存儲介質(zhì),其中�����,所述加密方案是同態(tài)的�����,并支持計算雙線性型��。
16.如權(quán)利要求13所述的計算機可讀存儲介質(zhì)���,其中ρ=2�,且信息B包括二進制值的矩陣�。
17.如權(quán)利要求13所述的計算機可讀存儲介質(zhì),其中��,c= c (η) > O, q >
18.如權(quán)利要求17所述的計算機可讀存儲介質(zhì)�,其中,所述加密方案支持矩陣環(huán) 上的任何階中的y次加法和一次乘法。
19.一種裝置,包括 至少一個存儲介質(zhì)��,其被配置為存儲密文C�����,該密文C將根據(jù)包含解密函數(shù)的加密方案被解密為信息B ;以及 至少一個處理器�,被配置為根據(jù)該加密方案的解密函數(shù)來解密密文C以獲取信息B, 其中���,所述加密方案使用至少一個私鑰T���,其中信息B、密文C和至少一個私鑰T是矩陣�, 其中,所述解密函數(shù)接收至少一個私鑰T和C作為輸入�,并根據(jù)B=T4 · (TCTtHiodq) · (Tt)-1Hiodp來輸出信息B,其中P是整數(shù)����,其中q是奇素數(shù)����。
20.如權(quán)利要求19所述的裝置,其中,
21.如權(quán)利要求19所述的裝置���,其中����,所述加密方案是同態(tài)的��,并支持計算雙線性型����。
22.如權(quán)利要求19所述的裝置,其中p=2��,且信息B包括二進制值的矩陣��。
23.如權(quán)利要求19 所述的裝置�,其中,c = c(n) > O, q > 220p2 (c+4) 3n3c+4log5n,
24.如權(quán)利要求23所述的裝置�,其中,所述加密方案支持矩陣環(huán)Iftxw上的任何階中的次加法和一次乘法���。
25.一種計算機可讀存儲介質(zhì)����,其有形地體現(xiàn)可由機器執(zhí)行以執(zhí)行操作的指令程序,所述操作包括 接收信息B���,該信息B將根據(jù)包含加密函數(shù)和解密函數(shù)的加密方案被加密為密文C ����;以及 根據(jù)該加密方案的加密函數(shù)來加密信息B以獲取密文C����, 其中,所述加密方案使用至少一個公鑰A和對應于該至少一個公鑰A的至少一個私鑰T��,其中信息B����、密文C、至少一個公鑰A和至少一個私鑰T是矩陣��,其中B e ILfjcm,C e IIixwiA 6 IJ1職且T 6 I 艦����,其中η表示安全參數(shù)且m,q = poly (η)����,其中q是奇素數(shù),其中P是整數(shù)���,其中q > P���, 其中,所述加密函數(shù)接收A和B作為輸入���,并將密文C輸出為C — AS+pX+B (modq)�����,其中S是隨機矩陣����,且S2JX'其中X是誤差矩陣且X — Ψβ(q)mxm,其中%是誤差分布,其中β是由β = 1/poly (η)給出的高斯誤差參數(shù)�, 其中,所述解密函數(shù)接收T和C作為輸入��,并根據(jù)B=iT1 .(TCTt modq) . (Tt)-1Hiodp來輸出信息B���,其中�����,所述加密方案是同態(tài)的并支持計算雙線性型����。
全文摘要
在一個示例性實施例中,計算機可讀存儲介質(zhì)有形地體現(xiàn)了可由機器執(zhí)行以執(zhí)行操作的指令程序�����,所述操作包括接收信息B�,該信息B將根據(jù)具有加密函數(shù)的加密方案被加密為密文C;以及根據(jù)加密函數(shù)來加密B以獲取C����,該方案使用公鑰A,其中B����、C和A是矩陣,加密函數(shù)接收A和B作為輸入����,并將C輸出為C~AS+pX+B(modq),S是隨機矩陣��,X是誤差矩陣����,p是整數(shù),q是奇素數(shù)���。在其他實施例中���,加密方案包括解密函數(shù),其接收至少一個私鑰T(矩陣)和C作為輸入����,并將B輸出為B=T-1˙(TCTtmodq)˙(Tt)-1modp。
文檔編號G06F17/14GK102822816SQ201180015097
公開日2012年12月12日 申請日期2011年3月29日 優(yōu)先權(quán)日2010年3月30日
發(fā)明者C·B·根特里, S·哈萊維, V·維昆塔納森 申請人:國際商業(yè)機器公司