Universal Thresholdizer:将多种密码学原语门限化

参考文献:

  1. [LS90] Lapidot D, Shamir A. Publicly verifiable non-interactive zero-knowledge proofs[C]//Advances in Cryptology-CRYPTO’90: Proceedings 10. Springer Berlin Heidelberg, 1991: 353-365.
  2. [Shoup00] Shoup V. Practical threshold signatures[C]//Advances in Cryptology—EUROCRYPT 2000: International Conference on the Theory and Application of Cryptographic Techniques Bruges, Belgium, May 14–18, 2000 Proceedings 19. Springer Berlin Heidelberg, 2000: 207-220.
  3. [AJL+12] Asharov G, Jain A, López-Alt A, et al. Multiparty computation with low communication, computation and interaction via threshold FHE[C]//Advances in Cryptology–EUROCRYPT 2012: 31st Annual International Conference on the Theory and Applications of Cryptographic Techniques, Cambridge, UK, April 15-19, 2012. Proceedings 31. Springer Berlin Heidelberg, 2012: 483-501.
  4. [BGI15] Boyle E, Gilboa N, Ishai Y. Function secret sharing[C]//Annual international conference on the theory and applications of cryptographic techniques. Berlin, Heidelberg: Springer Berlin Heidelberg, 2015: 337-367.
  5. [CM15] Clear M, McGoldrick C. Multi-identity and multi-key leveled FHE from learning with errors[C]//Advances in Cryptology–CRYPTO 2015: 35th Annual Cryptology Conference, Santa Barbara, CA, USA, August 16-20, 2015, Proceedings, Part II 35. Springer Berlin Heidelberg, 2015: 630-656.
  6. [GVW15] Gorbunov S, Vaikuntanathan V, Wichs D. Leveled fully homomorphic signatures from standard lattices[C]//Proceedings of the forty-seventh annual ACM symposium on Theory of computing. 2015: 469-477.
  7. [GHK+17] Goyal R, Hohenberger S, Koppula V, et al. A generic approach to constructing and proving verifiable random functions[C]//Theory of Cryptography: 15th International Conference, TCC 2017, Baltimore, MD, USA, November 12-15, 2017, Proceedings, Part II 15. Springer International Publishing, 2017: 537-566.
  8. [BGG+18] Boneh D, Gennaro R, Goldfeder S, et al. Threshold cryptosystems from threshold fully homomorphic encryption[C]//Advances in Cryptology–CRYPTO 2018: 38th Annual International Cryptology Conference, Santa Barbara, CA, USA, August 19–23, 2018, Proceedings, Part I 38. Springer International Publishing, 2018: 565-596.
  9. PZK via OWF
  10. LSSS & MSP
  11. Threshold FHE
  12. Multi-key FHE

文章目录

  • Centralized ThFHE
    • Definition
    • ThFHE from Special LSSS
    • ThFHE from Shamir SSS
  • Decentralized ThFHE
  • Universal Thresholdizer
    • Definition
    • UT from PZK
    • UT from HS
  • Threshold Cryptosystems from UT
    • Function Secret Sharing
    • Threshold Signatures
    • Others

[BGG+18] 基于 门限同态加密,给出了构造 各种门限密码系统的一种通用方法。

Centralized ThFHE

Definition

[BGG+18] 首先给出了 threshold fully homomorphic encryption (ThFHE) for any class of access structures 的接口以及相关属性的定义。这个定义是中心化的,它有一个可信的 Setup 阶段,用于生成公私钥对以及分发私钥。

接口为:

在这里插入图片描述

我们要求 ThFHE 具有:紧凑性、计算正确性、语义安全性(IND-CPA)、模拟安全性(更强)

在这里插入图片描述

在这里插入图片描述

接下来,[BGG+18] 使用了 [AJL+12] 的噪声洪泛策略:为了防止 partial decryption 泄露参与者的 secret share 信息,他们根据 Smudging Lemma,对部分解密的结果(本来噪声的界 B B B)添加上超多项式大小的噪声(污染噪声的界 B s m B_{sm} Bsm 满足 B / B s m = n e g l ( λ ) B/B_{sm}=negl(\lambda) B/Bsm=negl(λ)),这使得包含私钥信息与否的两个分布的统计距离是可忽略的,从而证明模拟安全性。

[AJL+12] 使用的是形如 s = ∑ i = 1 N s i s = \sum_{i=1}^N s_i s=i=1Nsi 的 additive SSS。根据 FHE 的双线性(内积)解密特点,它在重构时的噪声累积是线性的,但是它只能处理 ( N − 1 ) (N-1) (N1)-out-of- N N N 访问结构。

[BGG+18] 考虑了任意的门限访问结构(threshold access structures , TAS

在这里插入图片描述

为了构造 ThFHE,首先需要一个底层的 FHE,要求它具有:紧凑性、正确性、安全性。[BGG+18] 特别地要求它的解密函数可以明确地分为线性部分以及非线性部分

在这里插入图片描述

ThFHE from Special LSSS

为了减小 LSSS 重建时的噪声累加,[BGG+18] 提出了一类特殊的访问结构,称之为 {0,1}-LSSS 访问结构族,它可以被一些重构系数要么是零要么是壹的 LSSS 所支持。

在这里插入图片描述

这个 {0,1}-LSSS 访问结构族包含了所有可以由 monotone Boolean formulas(MBFs)计算的那些访问结构(只含 AND 以及 OR 的布尔函数,不含 NOT)。特别地,TAS 也包含在内。也就是说 Special LSSS 依旧足够的富有,
TAS ⊆ MBF ⊆ { 0 , 1 } -LSSS \text{TAS} \subseteq \text{MBF} \subseteq \{0,1\}\text{-LSSS} TASMBF{0,1}-LSSS
LSSS 等价于 MSP,分发的 SS 都是由 secret 以及 random 组成的向量和某个 LSSS 矩阵相乘来获得的。各个参与者最终会拿到和 LSSS 矩阵的某些行相关的一个向量。[BGG+18] 将那些被 MSP 接受的那些行的 indices 称为 valid share set,将它们对应的参与者称为 valid party set,可对应地定义两者的 maximal invalid set 以及 minimal valid set

基于 Special FHE 以及 Special LSSS,构造 ThFHE 如下:

在这里插入图片描述

选择的参数应当满足: B + l ⋅ B s m ≤ q / 4 B+l\cdot B_{sm} \le q/4 B+lBsmq/4 以及 B / B s m = n e g l ( λ ) B/B_{sm} = negl(\lambda) B/Bsm=negl(λ),从而需要设置超多项式大小的洪泛噪声的上界 B s m B_{sm} Bsm 以及超多项式大小的底层 FHE 密文模数 q q q,安全假设是超多项式因子的近似格问题的困难性。可以证明构造出的 ThFHE 满足:紧凑性、计算正确性、语义安全性、模拟安全性。

ThFHE from Shamir SSS

使用 LSSS 的一个缺点就是它的 SS 规模太大了,对于 TAS 的描述需要 O ( N 5.2 ) O(N^{5.2}) O(N5.2) 大小的单调公式。而 Shamir SS 的规模是和 secret 大小相同的。但是如果直接使用 Shamir SSS,它的拉格朗日插值系数需要除法(在 Z q \mathbb Z_q Zq 上求逆元,范数往往很大),这导致噪声快速累计从而无法正确解密。

[BGG+18] 使用了 [Shoup00] 的 clearing out denominators(清理分母)策略:限制各个 party 的插值点为 x = 1 , 2 , ⋯ , N x=1,2,\cdots,N x=1,2,,N,特别地 dealer 插值点是 0 0 0,那么授权集 S ⊆ A t ∪ { 0 } S \subseteq \mathbb A_t \cup \{0\} SAt{0} 的 Lagrange coefficients 形如:
λ i j S = ∏ k ∈ S \ { i } ( j − k ) ∏ k ∈ S \ { i } ( i − k ) ∈ Q \lambda_{ij}^S = \frac{\prod_{k \in S\backslash\{i\}}(j-k)}{\prod_{k \in S\backslash\{i\}}(i-k)} \in \mathbb Q λijS=kS\{i}(ik)kS\{i}(jk)Q
它们被用于计算 s j = ∑ i ∈ S λ i j S ⋅ s i s_j = \sum_{i \in S} \lambda_{ij}^S \cdot s_i sj=iSλijSsi,其中 i ∈ S i \in S iS 是授权集内的参与者,而 j ∈ { 1 , 2 , ⋯ , N } \ S j \in \{1,2,\cdots,N\}\backslash S j{1,2,,N}\S 是其他参与者。容易看出这些插值系数的分母都整除 Δ = ( N ! ) 2 \Delta = (N!)^2 Δ=(N!)2,因此 Δ ⋅ λ i j S ∈ Z \Delta \cdot \lambda_{ij}^S \in \mathbb Z ΔλijSZ 是整数,并且上界是 ∣ Δ ⋅ λ i j S ∣ ≤ ( N ! ) 3 |\Delta \cdot \lambda_{ij}^S| \le (N!)^3 ∣ΔλijS(N!)3,它们都是低范数的整数

基于 Special FHE 以及 Shamir SSS,构造 ThFHE 如下:

在这里插入图片描述

选择的参数应当满足: B + ( N ! ) 3 ⋅ N ⋅ B s m ≤ q / 4 B+(N!)^3\cdot N\cdot B_{sm} \le q/4 B+(N!)3NBsmq/4 以及 B / B s m = n e g l ( λ ) B/B_{sm} = negl(\lambda) B/Bsm=negl(λ),这也需要超多项式近似因子的困难假设。可以证明构造出的 ThFHE 满足:计算正确性、语义安全性、模拟安全性。但是它不满足紧凑性,因为密文模数的规模和 N N N 有关,比特长度的增长因子是 O ( N log ⁡ N ) O(N \log N) O(NlogN)

Decentralized ThFHE

上述的 ThFHE 是中心化的,它在很多场景下有限制。除了是否存在可信方这个问题,还有参与者动态地加入和退出的情况,这导致 Setup 的频繁执行。

[BGG+18] 定义了一个去中心化的版本,记为 dThFHE,它没有 Setup 阶段。为了实现门限,他们在 Enc 算法中让各个参与者独立地生成 FHE 私钥及其 SS,然后再利用 PKE 封装这些 SS 到密文中。接口为:

在这里插入图片描述

类似的,定义它的一些属性:计算正确性、语义安全、模拟安全。由于 dThFHE 密文中需要包含给各个参与者的 SS 的 PKE 加密,因此密文规模一定会和 N N N 有关,因此定义了弱紧凑性。这些属性的定义我就不抄过来了,太繁琐。

构造如下:

在这里插入图片描述

它是一个满足各项属性的 dThFHE 方案。注意 TFHE.Setup 必须在每次 Enc 时独立地生成,因为它的私钥已经被分发在了密文中的 PKE 部分,不应该复用。所以,即使是单个参与者生成的不同密文,它们之间也无法相互作用。

不过,如果将底层的 FHE 替换为 [CM15] 提出的 Multi-Key FHE,那么获得的 MK dThFHE 是可以数据交互的。对于 ThFHE.Setup 生成独立的公私钥,它们的密文总可以先利用 masking system 转换成某组参与者对应的 expanded ciphertext,然后这些扩展的密文互相之间可以运算,最后解密时需要这组参与者中每个人的 FHE 私钥,这被从 PKE 密文中恢复出来。

Universal Thresholdizer

Definition

[BGG+18] 利用 ThFHE 给出了其他密码学原语的门限版本的通用构造:门限转化器(universal thresholdizer, UT

他们把 Setup 和 Enc 合并(使用 ThFHE 加密 secret 作为 pp 的一部分),把 Eval 和 PartDec 合并(各个参与者对这个 secret 密文做同一个运算,然后部分解密),并添加了 PartVerify 提供鲁棒性。确切地说,UT 提供了这样的一个功能:由 dealer 分发 ThFHE 私钥,同时 dealer 还用 ThFHE 加密某个秘密 x x x 获得 c t ( x ) ct(x) ct(x) 密文;接着对于公开的某个电路 C C C,各个 party 同态计算出 c t ( C ( x ) ) ct(C(x)) ct(C(x)),然后立即部分解密得到 p i p_i pi,它们是计算结果 C ( x ) C(x) C(x) 的一组 SS;最终这些 SS 可以合成为 C ( x ) C(x) C(x) 本身。即 UT 把关于秘密 x x x 的电路 C C C 给 “门限化” 了,只有满足访问结构的一组参与者同时计算 C ( x ) C(x) C(x) 以获得它的 SS,才能最终获得 C ( x ) C(x) C(x) 结果,这里的 x x x 是被 Setup 固定到 pp 里的,而公开的电路 C C C 可以随意变化。

UT 的接口为:

在这里插入图片描述

紧凑性、计算正确性、验证正确性:

在这里插入图片描述

鲁棒性:

在这里插入图片描述

模拟安全性:

在这里插入图片描述

UT from PZK

带预处理的 ZKP 系统(zero knowledge proof system with pre-processing, PZK)是 NIZK 的弱化,它的存在性只需要比 NIZK 所要求的弱得多的假设。PZK 只有最后一轮通信需要从 Prover 发往 Verifier,之前的所有通信轮次都可以被双方离线计算。

在这里插入图片描述

[BGG+18] 利用 ThFHE、PZK 系统(证明执行了正确的计算)、非交互的承诺(绑定 ThFHE 私钥的 SS),给出了 UT 的构造。

  • [LS90] 在 OWF 存在的假设下,给出了 NIZK with CRS 的构造,我们可以根据 LWE 问题来构造 OWF(虽然效率会很低)
  • [GHK+17] 基于(超多项式近似因子的) LWE 假设,构造了 non-interactive commitments,因此并不引入新的假设。

构造如下:

在这里插入图片描述

可以证明它满足 UT 所要求的各种属性。

UT from HS

同态签名(homomorphic signature, HS)允许在签名上执行同态运算,可用于证明 y y y(生成 y y y 的签名)确实是 x x x(已经被签名)在电路 C C C(公开的)上正确计算的。它的接口是:

在这里插入图片描述

HS 的功能是:

在这里插入图片描述

假设 SIS 困难,[GVW15] 给出了 (Leveled) FHS 的构造。因此利用 HS 提供 UT 的鲁棒性,也只需要格上困难问题,并没有引入新的假设。这篇文章我还没看,具体的构造,略。

HS 比 NIZK 更加紧凑,并且可以直接基于 LWE 构造出来,因此将它应用到 UT 的构造中替换 NIZK 以提供鲁棒性,在性能上会更好一些。容易把上述的 UT from PZK 修改为 UT from HS,略。

Threshold Cryptosystems from UT

[BGG+18] 利用 Universal Thresholdizer,将其他的多种密码原语转换成对应的门限版本。

Function Secret Sharing

[BGI15] 提出了函数秘密分享(Function Secret Sharing, FSS),类似于 SSS,但是分发的不再是消息,而是去分发函数。接口是:

在这里插入图片描述

紧凑性、计算正确性、安全性:

在这里插入图片描述

利用 UT 以及 PRF,可以给出 FSS 的构造。简记 U ( f , x ) \mathcal U(f,x) U(f,x) 是计算 f ( x ) f(x) f(x) 的通用电路(universal circuit),简记 U x \mathcal U_x Ux 是硬编码 x x x 的电路。

在这里插入图片描述

Threshold Signatures

门限签名是把 signing key 分发给多个签名者,只有满足某访问结构的签名者小组可以共同生成一个合法的签名。

在这里插入图片描述

紧凑性、计算正确性、部分验签正确性:

在这里插入图片描述

(弱)不可伪造性:

在这里插入图片描述

鲁棒性、匿名性:

在这里插入图片描述

使用 UT 将底层 Sign 门限化,

在这里插入图片描述

Others

[BGG+18] 还利用 UT 给出了:CCA Threshold PKECompact ThFHEThreshold Distributed PRFs

基本的思路都是:对于携带秘密的原始电路 C ( k , s ) C(k,s) C(k,s)将它的秘密 k k k 使用 UT.Setup 分发,然后使用 UT.Eval 对硬编码了字符串 s s s 的电路关于这些秘密的 SS 做运算,生成了运算结果的 SS,最后再用 UT.Combine 将它们组合成最终的结果。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/323246.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

七、 数据出境安全评估申报需要多长时间?

《评估申报指南(第二版)》未区分数据处理者进行数据出境安全评估线上申报和线下申报整体所需时间。一般情况下,数据出境安全评估的申报时长周期如图所示: 根据《评估申报指南(第二版)》第二条的规定&#…

Spirng-IOC零碎知识点

Spirng IOC 依赖注入 根据名称注入 <?xml version"1.0" encoding"UTF-8"?> <beansxmlns"http://www.springframework.org/schema/beans"xmlns:xsi"http://www.w3.org/2001/XMLSchema-instance"xmlns:util"http://w…

引入RabbitMQ

前置条件 docker 安装 mq docker run \-e RABBITMQ_DEFAULT_USERdudu \-e RABBITMQ_DEFAULT_PASS123456 \-v mq-plugins:/plugins \--name mq \--hostname mq \-p 15672:15672 \-p 5672:5672 \--network hmall \-d \rabbitmq:3.8-management可能会出现&#xff1a;docker: Er…

【深度学习】【Lora训练0】StabelDiffusion,Lora训练,kohya_ss训练

文章目录 环境数据自动标注kohya_ss BLIP2kohya_ss WD14 后续 资源&#xff1a; &#xff08;1&#xff09;训练ui kohya_ss&#xff1a; https://github.com/bmaltais/kohya_ss &#xff08;2&#xff09;kohya_ss 的docker 其他docker https://github.com/ashleykleynhans…

GraphGPT——图结构数据的新语言模型

在人工智能的浪潮中&#xff0c;图神经网络&#xff08;GNNs&#xff09;已经成为理解和分析图结构数据的强大工具。然而&#xff0c;GNNs在面对未标记数据时&#xff0c;其泛化能力往往受限。为了突破这一局限&#xff0c;研究者们提出了GraphGPT&#xff0c;这是一种为大语言…

AcWing 161:电话列表 ← 字典树(Trie 树)之前缀匹配

【题目来源】https://www.acwing.com/problem/content/163/【题目描述】 给出一个电话列表&#xff0c;如果列表中存在其中一个号码是另一个号码的前缀这一情况&#xff0c;那么就称这个电话列表是不兼容的。 假设电话列表如下&#xff1a;Emergency 911 Alice 97625999 Bob …

2022 亚马逊云科技中国峰会,对话开发者论坛

目录 前言 最近整理资料发现还有一些前 2 年的内容没发出来&#xff0c;故补发记录&#xff0c;每年都有新的感悟。 开发者论坛 1. 你认为什么是开发者社区&#xff0c;如何定义一个成功的开发者社区&#xff1f; 我认为可以把开发者社区看成一个 “产品” 来对待&#xff…

ESP8266-01s刷入固件报SP8266 Chip efuse check error esp_check_mac_and_efuse

一、遇到的问题 使用ESP8266 固件烧录工具flash_download_tools_v3.6.8 烧录固件报错&#xff1a; 二、解决方法 使用espressif推出发基于python的底层烧写工具&#xff1a;esptool 安装方法&#xff1a;详见https://docs.espressif.com/projects/esptool/en/latest/esp32/ …

电脑中的两个固态硬盘比一个好,想知道为什么吗

你当前的电脑很有可能有一个NVME SSD作为主驱动器&#xff0c;但可能至少还有一个插槽可以放另一个SSD&#xff0c;而且这样做可能是个好主意。 两个SSD可以提高性能 如果你有两个固态硬盘&#xff0c;你可以从中获得比有一个更好的性能。一种方法是使用RAID 0将两个驱动器组…

《ESP8266通信指南》14-连接WIFI(基于Lua)

往期 《ESP8266通信指南》13-Lua 简单入门&#xff08;打印数据&#xff09;-CSDN博客 《ESP8266通信指南》12-Lua 固件烧录-CSDN博客 《ESP8266通信指南》11-Lua开发环境配置-CSDN博客 《ESP8266通信指南》10-MQTT通信&#xff08;Arduino开发&#xff09;-CSDN博客 《ES…

eNSP-浮动静态路由配置

ip route-static 192.168.1.0 24 192.168.3.2 preference 60 #设置路由 目标网络地址 和 下一跳地址 preference值越大 优先级越低 一、搭建拓扑结构 二、主机配置 pc1 pc2 三、配置路由器 1.AR1路由器配置 <Huawei>sys #进入系统视图 [Huawei]int g0/0/0 #进入接…

喜报|知从科技荣获“2023年度浦东新区创新创业奖”

4月11日&#xff0c;由上海市浦东新区人民政府举办的“2024年浦东新区经济突出贡献企业表彰活动”在上海国际会议中心隆重举行。知从科技凭借过去一年在行业内卓越的技术创新实力及对浦东新区发展作出的杰出贡献&#xff0c;入选创新创业20强企业&#xff0c;荣获“2023年度浦东…

C++类和对象(4)

目录 1.初始化列表 2.单参数里面的隐式类型转换 3.多参数的隐式类型转换 4.匿名对象 1.初始化列表 &#xff08;1&#xff09;首先看一下初始化列表具体是什么&#xff1f; 这个就是初始化列表的具体形式&#xff0c;对&#xff0c;你没有看错&#xff0c;这个初始化列表里…

Hotcoin Research | 模块化将是大势所趋:拆解模块化区块链的现状和未来

关于模块化区块链叙事的讨论源于Celestia和其代币TIA的亮眼表现。实际上&#xff0c;模块化是未来区块链设计的主要发展方向和大势所趋。模块化区块链就像乐高积木一样&#xff0c;将区块链系统拆分为可重用的模块&#xff0c;通过定制组合可实现不同功能的区块链网络。这种灵活…

锂电池恒流恒压CCCV充电模型MATLAB仿真

微❤关注“电气仔推送”获得资料&#xff08;专享优惠&#xff09; CCCV简介 CCCV充电过程是恒流充电&#xff08;CC&#xff09;和恒压充电&#xff08;CV&#xff09;的结合。在CC阶段对电池施加恒定电流&#xff0c;以获得更快的充电速度&#xff0c;此时电池电压持续升高…

C++基础——输入输出(文件)

一、标准输入输出流 C 的输入输出是程序与用户或外部设备&#xff08;如文件、网络等&#xff09;之间交换信息的过程。 C 提供了丰富的标准库来支持这种交互&#xff0c;主要通过流的概念来实现。 流&#xff1a;抽象概念&#xff0c;表示一连串的数据&#xff08;字节或字…

C++语言·string类

1. 为什么有string类 C语言中&#xff0c;字符串是以\0结尾的一些字符的集合&#xff0c;为了操作方便&#xff0c;C标准库中提供了一些str系列的库函数(strcpy,strcat)&#xff0c;但是这些库函数与字符串是分离开的&#xff0c;不太符合OOP(Object Oriented Programming面向对…

Java 语法 (杂七杂八的知识)

面向对象三大特性 封装, 多态, 继承 基本数据类型 一字节 (Byte) 占八位 (bit) JDK, JRE, JVM JDK (Java Development Kit) : Java 开发工具包, 包括了 JRE, 编译器 javac, 和调试工具 Jconsole, jstack 等 JRE (Java Runtime Environment) : Java 运行时环境, 包括了 JVM , …

【牛客】Tokitsukaze and Average of Substring

原题链接&#xff1a;登录—专业IT笔试面试备考平台_牛客网 目录 1. 题目描述 2. 思路分析 3. 代码实现 1. 题目描述 2. 思路分析 前缀和。 开一个int类型的前缀和数组pre[30][N]&#xff08;pre[i][j]表示某字符转成的数字 i 在一段区间的前缀个数。因为字母表有‘a’~z…

【使用ChatGPT的API之前】OpenAI API提供的可用模型

文章目录 一. ChatGPT基本概念二. OpenAI API提供的可用模型1. InstructGPT2. ChatGPT3. GPT-4 三. 在OpenAI Playground中使用GPT模型-ing 在使用GPT-4和ChatGPT的API集成到Python应用程序之前&#xff0c;我们先了解ChatGPT的基本概念&#xff0c;与OpenAI API提供的可用模型…