密碼學原語如何應用？解析密文同態性的妙用_比特幣

作者：李昊軒

來源：微眾銀行區塊鏈

隱私數據在密文形式下是否依舊可以加減乘除？其背后的同態性原理具體指什么？半同態性和全同態性有什么區別？單密鑰和多密鑰同態加密有哪些奇妙的應用場景？

隱私保護方案設計，往往需要在密文狀態下，對隱私數據進行特定的業務操作，以此保障數據的機密性。

沿用上一論的電子支付例子，客戶目前擁有一張面額1000元的電子支票，電子支票以密文憑證形式存儲，流轉過程中不會輕易泄露金額。客戶使用這張支票時，消費額可能低于1000元，需要將支票進行拆分找零。假定消費額為200元，這一支票需要被拆分成兩份密文憑證，面額200元的給商戶，面額800元的留給客戶自己作為找零。

這個過程中，存在三個隱私保護相關的主要功能點：

客戶不希望其他人獲知找零的金額為800元，相當于在消費時能保護客戶自身財產總額相關信息不泄露。

商戶需要驗證密文支票在本次消費前的余額不小于200元，但無需知道具體的余額。

簽發密文支票的銀行需要驗證，客戶和商戶在交易后，沒有憑空造出更多的錢，即消費額與找零額相加等于拆分前的電子支票中的余額。

Mano 首席技術官：Web3 的額外部分是對等發現層、密碼學和共識協議:金色財經現場報道，在Coinlive舉辦的峰會上，題為“塑造新加坡數字資產類別的未來”的圓桌討論邀請了 Cobo 首席運營官 Lily Z. King、新加坡管理大學 (SMU) 經濟學助理教授（實踐） Goh Jing Rong、Immin Mano Thanabalan 首席技術官、德國創業亞洲 Yitch，區塊鏈協會 (BAS) 合作伙伴總監 Yoon KC (Steven)。關于 Web3 是什么以及數字資產在 Web3 生態系統中扮演什么角色的問題，Mano 首先說 Web3 的額外部分是對等發現層、密碼學和共識協議，這可能是最有趣的。 YC 澄清應該是 Web3 而不是 Web 3.0。

Lily 補充說，EWeb3 有望成為一個更加開放的互聯網，讓所有用戶都能從中受益。 Jing Rong 列出了下一代互聯網的三個定義，使用新聞技術來改進當前的網絡，并專注于去中心化，即控制權被分配給生態系統中的多方。最后一個給出答案的 Yitch 解釋說，歸根結底，數字資產只是數字，除非你可以創造現實世界的效用。其他問題，如數字資產的機構采用、法規等，引起了小組成員的不同回應。[2022/12/22 22:00:54]

以上功能點涉及如何在不解密的限制下，對隱私數據的密文形式進行計算和驗證。而解決問題的關鍵，就在于密文同態性的使用。

谷歌前CEO曾稱贊比特幣是一項卓越的密碼學成就:金色財經報道，在最近被發現的一段舊視頻中，谷歌前CEO Eric Schmidt稱贊比特幣是一項卓越的密碼學成就。據悉，Schmidt是2014年在計算機歷史博物館中發表的這一看法。

他認為，比特幣的技術很重要，但對該資產作為貨幣的用途表示懷疑。他表示，比特幣的技術可以在未來為更多企業提供動力。（Finbold）[2022/8/7 12:07:20]

在數據業務中，密文同態性在需要隱私保護的相關場景方案中應用十分廣泛，可以實現隱私數據可信跨域協作、聯合數據發掘等高價值需求，在多方數據協作、機器學習、云計算等熱門領域皆有用武之地。密碼學同態究竟有何奇妙之處？且隨本文一探究竟。

1.同態性

同態的概念起源于抽象代數，具體是指兩個代數結構之間保持結構不變的映射。

對應地，密碼學意義中的同態，多指一類代數結構能夠滿足在指定運算下結構不變的性質。例如，函數f(x)=3x對應的代數結構滿足加法同態性，函數f(x)=x^3對應的代數結構滿足乘法同態性。

上海市數據隱私安全計算企業重點實驗室參與完成論文被密碼學頂級會議PKC收錄:近日，上海市數據隱私安全計算企業重點實驗室謝翔博士聯合香港大學學者共同合作的論文《Compact Zero-Knowledge Proofs for Threshold ECDSA with Trustless Setup》被公鑰密碼學領域國際頂級會議PKC 2021錄用，該會議將在北京時間2021年5月9日至13日于線上舉行。PKC是國際密碼學會（IACR）主辦的專注于公鑰密碼學方向的旗艦會議，每一年舉辦一次，今年是第24屆，該會議一直是學術界和工業界共同關注的焦點。

本次上海市數據隱私安全計算企業重點實驗室參與完成的論文亮點在于零知識證明（ZKP）方向的研究。在理論層面，我們提出的零知識證明包括HSM群中的離散對數關系和Castagnos-Laguillaumie（CL）密文的格式良好性。在實際應用層面，我們利用零知識證明改進了兩方ECDSA和門限ECDSA的性能。

上海市數據隱私安全計算企業重點實驗室以矩陣元科研中堅力量為基礎，匯集國內密碼學專家、學者組建而成。研究內容為針對數據融合與協同計算基礎設施建設過程中保護數據安全與隱私的基礎理論技術。[2021/4/7 19:55:55]

同態性在密碼學中最常見的應用之一，就是用來構造

密碼學之父：不管每個人擁有多少的財富都會想要去貢獻自己所擁有的價值:在2018分散經濟討論會上， 密碼學之父David Chaum發表演講稱，不管每個人擁有多少的財富都會想要去貢獻自己所擁有的價值。盲簽名是一種只需要數字就能收款的具有革新價值的想法，類似于比特幣和以太幣等虛擬貨幣，以區塊鏈為基礎的技術可以確保收款人和匯款人的匿名性，加密學幫助了人們的日常生活，希望日后可以共享、分享信息，更進一步可以直接以民主的方式開創可能性。[2018/4/3]

同態加密算法。

同態加密允許在不解密的條件下，直接對密文形式下的隱私數據進行特定形式的代數運算，運算效果等同于將隱私數據明文直接計算后再加密所獲的效果。

這項技術試圖實現隱私數據協同計算中的數據密文可計算，但明文不可見的效果。

同態加密一直是密碼學研究領域的一個重要課題，經典的算法有RSA、ElGamal、Paillier加密算法。2009年9月，CraigGentry從理論上取得了重大突破，提出了全同態加密的構造方法，即可以在不解密的條件下，對隱私數據的密文形式進行任意形式的運算，并使得運算之后的結果密文滿足同態性。

美國密碼學專家：首個通過主網測試的閃電網絡軟件是一場實驗的開端，而不是僅僅是成功的果實:關于閃電網絡實驗室本周四發布了閃電網絡LND 0.4-beta的重磅級好消息，來自美國約翰霍普金斯大學的密碼學專家馬修?格林(Matthew Green)近日在推特上寫道：“許多人將閃電網絡LND 0.4-beta——首個通過主網測試的閃電網絡軟件視為成功的果實，而不是一項剛剛才開始、充滿挑戰的實驗。”[2018/3/17]

除了同態加密外，其他密碼學原語，如上一論中提及的密碼學承諾，也可能具有同態性。

同態加密與具有同態性的密碼學承諾在功能上的區別在于：

同態加密重在計算，即對多方提供的隱私數據的密文形式進行一定計算后，對結果密文解密后得到的值，等同于對明文數據進行對應運算得到的結果。這個過程不會泄露隱私數據明文，但解密之前無法獲知結果。

具有同態性的密碼學承諾重在驗證，即通過密碼學承諾密文形式的同態性，對于已知的結果，構造相應的零知識證明，用以證明多個承諾滿足一定的約束條件。密碼學承諾難以支持計算結果未知、且需要從多方收集隱私數據的密文計算過程。

同態性在不同的密碼學原語中會有不同的功能和限制，本文以同態加密算法為例，對同態性的特性和應用進行分享，其他相關密碼學原語會在后續專題中展開。

2.半同態vs全同態

同態加密根據支持的運算類型的限制，可分為半同態加密和全同態加密。

對于一個半同態加密算法，其密文形式僅僅對部分運算方式滿足同態性，有代表性的密碼學算法體系如下：

加法運算同態性：UnpaddedRSA，ElGamal，Benaloh，Paillier

邏輯運算同態性：Goldwasser-Micali

半同態加密算法的優點在于構造相對簡單，工程實現效率高，目前已經可以達到商用的性能要求。

對于引言中密文支票電子支付的例子，使用一個具備加法運算同態性算法便可以構造出滿足相關的隱私保護需求的密碼學協議。除了支付之外，對于日常業務中的大多數場景，如投票、選舉、競拍等，半同態加密算法一般都可以滿足對應的隱私保護需求。

對于一個全同態加密算法，其密文形式在理論上對任意運算方式都滿足同態性。對于數據密文計算相關同態加密算法設計，這一要求通常體現為密文對應的代數結構對加法和乘法同時滿足同態性。

對于任意的隱私數據x，y，全同態加密算法提供了一對加密算法E和解密算法D，滿足如下關系：

相比半同態加密算法，全同態加密算法功能更強大、設計更復雜，整體性能遠不及半同態加密算法。例如可能面臨密文數據膨脹困擾。相關研究報告顯示，在一次使用全同態加密開源庫為敏感醫療數據構建密文線性回顧模型的嘗試中，需要將隱私數據進行編碼轉換，映射到密文的向量空間中。

此過程，1M的明文數據編碼后可能膨脹至約10G密文數據；同時，針對值域范圍為512位的明文數據，單次密文乘法運算，在普通個人計算機實測耗時約5秒左右，通常一個需要全同態計算的場景涉及的密文乘法次數很多，總體耗時較高。

由此可見，全同態加密算法的愿景雖美，但目前還處于理論探索層面，離工程實用化、支持高頻次和大數據量的業務需求尚有一定距離。

3.單密鑰vs多密鑰

同態加密根據數據控制方的數量，可分為單密鑰同態加密和多密鑰同態加密。

早期的同態加密算法都是單密鑰算法，主要應用于外包計算場景。數據控制方對自身的數據進行加密，然后發送到云計算服務平臺，在密文的形式下完成一系列運算，最后下載結果密文，本地解密之后獲得最后的計算結果。

上一節提到的ElGamal、Paillier等加密算法都是單密鑰同態加密，即對于隱私數據只能使用同一對的密鑰進行加解密。

單密鑰同態加密優點在于構造相對簡單、性能高，可用于有一定信任基礎或強監管環境下的聯合計算場景。

由于涉及到可信初始化和密鑰選用的問題，單密鑰同態加密在多方參與的協作場景中，會遇到不少挑戰，例如：

如何決定使用哪一方提供的密鑰？數據由誰來解密？

如何平衡單密鑰所代表的單一數據控制權？如何確保數據提供方的敏感數據輸入不被解密？如何防范數據控制方惡意提前終止協議？

如何讓所有參與方都能驗證最終結果正確性？

實際業務流程中，隱私數據可以由多方提供，在可信初始化之后使用同一個公鑰加密數據，并匯總密文數據進行計算，計算結束之后，需要委托可信方或者使用分布式解密協議，對最終結果進行解密。

相比單密鑰同態加密算法，多密鑰同態加密較好地解決了信任相關的問題。

一個多密鑰同態加密算法，允許不同參與方使用各自不同的密鑰對加密，加密后的密文可以通過各個參與方的公鑰進行密文擴展，擴展后的密文對于指定的運算方式依舊滿足同態性。解密過程可以通過分布式解密協議，在不泄露各自數據私鑰的前提下，對約定的結果密文進行解密。

典型的多密鑰同態加密算法可以參考ClearandMcGoldrick(CRYPTO2015)、MukherjeeandWichs(EUROCRYPT2016)相關的論文。

目前多密鑰同態加密方案，隨著參與方個數的增加，系統性能會急劇降低。對于一些需求比較明確的多方協作場景，相較于多密鑰同態加密方案，定制構造的安全多方計算協議或許更有效。

總體而言，密文同態性可以為業務場景中，常見的隱私數據的計算和驗證需求，提供有效解決方案，根據具體的業務需求，基本技術選型可以參考下圖：

正是：隱私數據密文亦無妨，計算驗證同態兩相宜！

具有同態性的密碼學原語提供了一系列直觀、便捷的密鑰學協議構造利器，在保障隱私數據機密性的同時，允許多個協作方對隱私數據的密文形式進行直接運算和驗證操作，以此適配多樣化的隱私保護需求。

除計算和驗證需求外，多方授權也是常見的業務需求之一，如對多方共有的業務數據進行授權使用，此時需要用到門限密碼學相關技術，欲知詳情，敬請關注下文分解。

Tags：WEBWEB3比特幣數字資產web3游戲有哪些web3幣圈比特幣交易騙局數字資產管理系統

BNB