全同態加密FHE:簡介與應用場景

"加密"一詞通常讓人聯想到靜態加密和傳輸中加密。靜態加密將數據加密後存儲在硬件設備或雲服務器中,只有授權人員能查看解密後的內容。傳輸中加密則確保通過互聯網傳輸的數據只能被指定接收者解讀,即使數據經過公共路由器或通道,中間人也無法解密。

這兩種場景都依賴加密算法,並額外保證數據完整性。"認證加密"不僅防止未授權解密(保密性),還阻止中間人篡改密文(完整性/真實性)。

某些多方協作場景需要對密文進行復雜處理,這屬於隱私保護技術範疇,全同態加密(FHE)就是其中之一。以線上投票爲例:選民加密投票結果提交給中間實體,該實體匯總所有結果,計算每位候選人得票數,最後只公布最終結果。

傳統"認證加密"方案中,負責統計的中間人需解密所有投票數據才能執行統計,這會暴露個人投票結果。與紙質選票不同,傳統密碼學機制難以在保證數據完整性的同時將加密選票與選民身分分離。

一種解決方案是在計票中間人周圍添加硬件隔離牆,如可信執行環境(TEE)。但硬件漏洞可能導致解密密鑰泄露,且難以修復。

全同態加密(FHE)技術可以應對這種場景。FHE允許直接對密文進行函數計算,無需解密就能獲得加密後的計算結果,從而保護隱私。

在FHE中,函數 𝑓 的數學構造是公開的,因此輸入密文 𝑥 輸出結果𝑓(𝑥) 的處理過程可在雲端執行而不泄露隱私。需注意, 𝑥 和 𝑓(𝑥) 都是密文,需要密鑰解密,通常使用相同的解密密鑰。

FHE是緊湊型加密方案,輸出結果𝑓(𝑥) 的密文大小和解密工作量僅取決於輸入數據 𝑥 的原始明文,不依賴計算過程。這與非緊湊型加密系統不同,後者簡單地將 𝑥 與函數 𝑓 的源碼連接,讓接收者自行解密 𝑥 並輸入 𝑓 計算。

實踐中,FHE外包模式常被視爲TEE等安全執行環境的替代方案。FHE安全性基於密碼學算法,不依賴硬件設備,因此不受被動側信道攻擊或雲服務器被攻擊影響。對於需外包敏感數據計算的場景,FHE比基於雲的虛擬機或TEE更安全可靠。

FHE系統要破解私密信息,必須破解其密碼學算法,這在當前幾乎不可能。但攻擊者可能通過主動側信道攻擊修改輸出結果 𝑓(𝑥),FHE設計中可通過計算流程冗餘來規避這類攻擊。

FHE通常使用幾組密鑰:

1. 解密密鑰:主密鑰,在用戶本地生成,從不外傳,只有持有者可用於解密FHE密文。

2. 加密密鑰:在公鑰模式下用於將明文轉換爲密文。當生成初始密文的人不是主密鑰持有者時使用。通常由隨機零加密組成,足以加密任何消息。

3. 計算密鑰:用於對密文 𝑥 進行同態運算,無需解密即可執行函數計算。可公開發布,獲得者只能進行同態運算,無法破解密文 𝑥。

解密密鑰持有者最爲敏感,負責確保整個同態操作鏈有效安全,最終解密得到明文結果。惡意操作可能導致解密時密鑰泄露,但同態操作可公開驗證。

FHE有幾種常見場景/模式:

1. 外包模式:Alice擁有私密數據但計算能力有限,Bob擁有強大計算資源但不貢獻私密數據。Alice加密輸入參數傳給Bob,Bob同態計算後返回加密結果。主要用於PIR(私有信息檢索)場景。

2. 兩方計算模式:Bob在計算中貢獻私密數據。適用於"百萬富翁問題"等電子商務應用。

3. 聚合模式:對外包模式的改進,聚合多個參與者數據。用於聯邦學習和線上投票系統。

4. 客戶端-服務器模式:改進的雙方計算模式,服務器爲多個獨立密鑰客戶端提供FHE計算。用於私有AI模型運算服務。

FHE在多方合作場景中更易使用,因各方都有動機遵守協議。在非合作場景中,可引入冗餘(如多籤/共識)確保計算正確性。完全同態籤名是另一種無需第三方驗證的方法。

爲確保接收者只解密最終結果,可限制其訪問中間密文,或採用祕密共享分配解密密鑰。

同態加密分爲部分同態加密(PHE)、分級同態加密(LHE)和完全同態加密(FHE)。FHE可支持任意計算任務,且參數不隨任務復雜度增加而增長。但FHE需定期執行代價較高的自舉操作以控制噪聲。