基于LWR问题的无证书全同态加密方案

期刊菜单

基于LWR问题的无证书全同态加密方案
Certificateless Fully Homomorphic Encryption Scheme Based on the LWR Problem

DOI: 10.12677/CSA.2023.1310193, PDF, HTML, XML,
作者: 李明祥：河北金融学院金融研究所，河北保定
关键词: 全同态加密；无证书；LWE问题；LWR问题；随机预言机模型；Fully Homomorphic Encryption； Certificateless； LWE Problem； LWR Problem； Random Oracle Model

摘要: 无证书全同态加密(CLFHE)把全同态加密和无证书加密两者的优势结合了起来，它吸引了人们关注的目光。目前人们基于带误差学习(LWE)问题提出了几个CLFHE方案。带舍入学习(LWR)问题是LWE问题的变形。它免除了LWE问题中计算代价高昂的高斯噪声抽样。迄今为止人们尚未提出基于LWR问题的CLFHE方案。本文利用Gentry、Sahai和Waters提出的近似特征向量技术，基于LWR问题设计了一个CLFHE方案，并在随机预言机模型下证明了它满足INDr-CPA安全性。与已有的基于LWE问题的CLFHE方案相比，所设计的方案免除了耗时的高斯噪声抽样而具有更高的计算效率。

Abstract: Certificateless fully homomorphic encryption (CLFHE) combines the advantages of fully homomor-phic encryption and certificateless encryption. Itcatches the attention of researchers. Several CLFHE schemes have been proposed based on the learning with errors (LWE) problem. The learning with rounding (LWR) problem is a variant of the LWE problem. It dispenses withthe costly Gaussian noise sampling required in the LWE problem. So far, no CLFHE scheme based on the LWR problem has been proposed. This paper designs a CLFHE scheme based on the LWR problem using Gentry, Sahai, and Waters’s approximate eigenvector technique and proves that the designed scheme satisfies INDr-CPA securityin the random oracle model. Compared with existing CLFHE schemes based on the LWE problem, the proposedschemedispenses with the costly Gaussian noise sampling and en-joys higher computational efficiency.

文章引用：李明祥. 基于LWR问题的无证书全同态加密方案[J]. 计算机科学与应用, 2023, 13(10): 1948-1964. https://doi.org/10.12677/CSA.2023.1310193

1. 引言

全同态加密(Fully Homomorphic Encryption, FHE)是一种具有特殊性质的公钥加密体制。它能在不解密的情形下对密文数据进行任意计算，即 $Dec (f (Enc (μ_{1}), \dots, Enc (μ_{l}))) = f (μ_{1}, \dots, μ_{l})$ ，其中f为任意函数。2009年Gentry [1] 基于理想格提出了第一个全同态加密方案。Genry开拓性的工作迅速掀起了全同态加密研究的浪潮。2013年Gentry、Sahai和Waters [2] 提出了一种构造全同态加密方案的新技术，他们称之为近似特征向量技术。Gentry、Sahai和Waters [2] 利用近似特征向量技术，基于带误差学习(Learning with Errors, LWE)问题 [3] 构造了一个层次型全同态加密(leveledFHE)方案。在层次型全同态加密方案中，方案的参数取决于方案所能计算的电路深度。利用Gentry [1] 提出的自举技术可以把层次型全同态加密方案转换为全同态加密方案。本文的工作专注于层次型全同态加密方案，故在下文的叙述中经常省去“层次型”一词。

无证书加密(Certificateless Encryption, CLE) [4] 是一种新型公钥加密体制。它消除了基于身份的加密(Identity-Based Encryption, IBE) [5] 固有的密钥托管问题，同时，它也避免了传统公钥加密系统中的公钥证书管理问题。无证书全同态加密(Certificateless Fully Homomorphic Encryption, CLFHE)结合了全同态加密和无证书加密两者的优势，它引起了人们的研究兴趣。2017年Chen等人 [6] 利用近似特征向量技术，基于LWE问题提出了一个无证书全同态加密方案，并在随机预言机模型下证明了它满足IND-CPA安全性。最近，Li [7] 利用近似特征向量技术，基于LWE问题又提出了一个在随机预言模型下可证明安全的无证书全同态加密方案和一个在标准模型下可证明安全的无证书全同态加密方案。

带舍入学习(Learning with Rounding, LWR)问题 [8] 是LWE问题 [3] 的变形。LWE问题需要进行高斯噪声抽样。高斯噪声抽样的计算开销非常大，严重制约了基于LWE问题的全同态加密方案的计算性能。LWR问题不需要进行高斯噪声抽样。近几年来，人们基于LWR问题构造了几个全同态加密方案 [9] [10] 。与Gentry、Sahai和Waters [2] 提出的基于LWE问题的全同态加密方案相比，这些全同态加密方案 [9] [10] 由于舍弃了计算代价高昂的高斯噪声抽样其计算效率有了很大提高。截至目前，人们尚未提出基于LWR问题的无证书全同态加密方案。

鉴于无证书全同态加密的研究现状，本文致力于基于LWR问题的无证书全同态加密方案的设计与分析。首先，利用Gentry、Sahai和Waters [2] 提出的近似特征向量技术，基于LWR问题设计了一个无证书全同态加密方案。其次，在随机预言机模型下证明了所设计的方案满足INDr-CPA安全性。INDr-CPA比IND-CPA的安全性更强，它包括IND-CPA安全性和接收方匿名性。最后，本文具体给出了所设计的方案的系统参数设置。相比于现有的基于LWE问题的无证书全同态加密方案 [6] [7] ，本文所设计的方案省掉了耗时的高斯噪声抽样，其计算效率更高。

2. 预备知识

2.1. 符号约定

下面介绍本文的符号约定，如表1所示。

Table 1. Notations and descriptions

表1. 符号及其描述

2.2. 格

下面简单介绍一下格理论，详细内容可参阅 [11] 。

定义1 设 $B = {b_{1}, \dots, b_{m}} \subset ℝ^{n}$ 是一组线性无关向量，格 $Λ$ 定义为

$Λ = {x \in ℝ^{n} : \exists c \in ℤ^{m}, x = B c = \sum_{i = 1}^{m} c_{i} b_{i}}$ ,

其中 $B$ 称为 $Λ$ 的一组基。这里，n为 $Λ$ 的维数，m为 $Λ$ 的秩，且 $m \leq n$ 。在 $m = n$ 时， $Λ$ 称为满秩格。

定义2 对正整数q、矩阵 $A \in ℤ_{q}^{n \times m}$ 和向量 $u \in ℤ_{q}^{n}$ ，定义m维满秩整数格：

$Λ^{⊥} (A) = {e \in ℤ^{m} : A e = 0 \mod q}$

$Λ_{u}^{⊥} (A) = {e \in ℤ^{m} : A e = u \mod q}$ .

可以看出，如果 $t \in Λ_{u}^{⊥} (A)$ ，则 $Λ_{u}^{⊥} (A) = Λ^{⊥} (A) + t$ 。即 $Λ_{u}^{⊥} (A)$ 是 $Λ^{⊥} (A)$ 的陪集。

定义3 对任意的向量 $c \in ℝ^{n}$ 和实数 $σ > 0$ ， $ℝ^{n}$ 上高斯函数定义为

$\forall x \in ℝ^{n}$ , $ρ_{σ, c} (x) = \exp (- π {‖ x - c ‖}^{2} / σ^{2})$ ,

它以 $c$ 为中心，以 $σ$ 为参数。

对任意的向量 $c \in ℝ^{n}$ 、实数 $σ > 0$ 以及n维格 $Λ$ ， $Λ$ 上的离散高斯分布定义为

$\forall x \in Λ$ , $D_{Λ, σ, c} = \frac{ρ_{σ, c} (x)}{ρ_{σ, c} (Λ)} = \frac{ρ_{σ, c} (x)}{\sum_{x \in Λ} ρ_{σ, c} (x)}$ .

当下标 $σ$ 和 $c$ 的值分别为1和 $0$ 时，可省去不写。

2.3. 格上的算法

引理1 ( [12] ) 令 $δ > 0$ 为任意固定常数。存在概率多项式时间算法 $TrapGen (n, q)$ ，它输入正整数n、 $q \geq 2$ 和 $m \geq (5 + 3 δ) \cdot n \log q$ ，输出 $A \in ℤ_{q}^{n \times m}$ 和 $T \in ℤ^{m \times m}$ ，并满足以下条件：① $A$ 的分布统计接近 $ℤ_{q}^{n \times m}$ 上的均匀分布，② $T$ 为 $Λ^{⊥} (A)$ 的一组基，③ $‖ \tilde{T} ‖ \leq O (\sqrt{n \log q})$ 。

引理2 ( [13] ) 存在概率多项式时间算法 $SamplePre (A, T_{A}, u, σ)$ ，它输入矩阵 $A \in ℤ_{q}^{n \times m}$ 、 $Λ^{⊥} (A)$ 的一组基 $T_{A}$ 、向量 $u \in ℤ_{q}^{n}$ 和参数 $σ \geq ‖ {\tilde{T}}_{A} ‖ \cdot ω (\sqrt{\log m})$ ，其中 $q \geq 2$ ， $m > n$ ，输出向量 $e \in ℤ^{m}$ ，并且 $e$ 的分布统计接近分布 $D_{Λ_{u}^{⊥} (A), σ}$ 。

引理3 ( [13] ) 令n和q为正整数，且q为素数，令 $m \geq 2 n \log q$ 。则对几乎所有的 $A \in ℤ_{q}^{n \times m}$ 以及任意的 $σ \geq ω (\sqrt{\log m})$ ， $u = A \cdot e \mod q$ 的分布统计接近 $ℤ_{q}^{n}$ 上的均匀分布，其中 $e \leftarrow D_{ℤ^{m}, σ}$ 。

引理4 ( [14] ) 对任意n维格 $Λ$ 、向量 $c \in ℝ^{n}$ 以及实数 $0 < ε < 1$ 和 $σ \geq η_{ε} (Λ)$ ，有

$\underset{x \leftarrow D_{Λ, σ, c}}{\Pr} [‖ x - c ‖ > σ \sqrt{n}] \leq \frac{1 + ε}{1 - ε} \cdot 2^{- n}$ ,

其中 $η_{ε} (Λ)$ 是光滑参数。对 $Λ$ 的任意一组基 $B$ ，有 $η_{ε} (Λ) \leq ‖ \tilde{B} ‖ \cdot ω (\sqrt{\log n})$ 。

2.4. 困难问题

定义4 令 $λ$ 为安全参数，令 $n = n (λ)$ 和 $q = q (λ)$ 为整数，令 $χ = χ (λ)$ 为 $ℤ$ 上的概率分布。 ${LWE}_{n, q, χ}$ 问题可叙述为：对任意 $m = poly (n)$ ，令 $A \leftarrow ℤ_{q}^{n \times m}$ ， $s \leftarrow ℤ_{q}^{n}$ ， $e \leftarrow χ^{m}$ ， $u \leftarrow ℤ_{q}^{m}$ ， $(A, A^{T} \cdot s + e)$ 和 $(A, u)$ 是计算不可区分的。

定义5 对整数上的分布系集 ${χ_{n}}_{n \in ℕ}$ ，如果 $\Pr_{e \leftarrow χ_{n}} [| e | > B] = negl (n)$ ，则称分布系集 ${χ_{n}}_{n \in ℕ}$ 是B有界的。

引理5 ( [3] [15] ) 对任意 $ε > 0$ ，存在 $q = q (n) \leq 2^{n}$ 、 $χ = χ (n)$ 和 $B = B (n)$ ，且 $χ$ 是B有界的， $q / B \geq 2^{n^{ε}}$ ，使得 ${LWE}_{n, q, χ}$ 至少和 ${GapSVP}_{γ}$ 的经典困难性以及 ${SIVP}_{γ}$ 的量子困难性一样困难，其中 $γ = 2^{Ω (n^{ε})}$ 。

定义6对整数q和p，且 $q \geq p \geq 2$ ，取整函数 ${〚 \cdot 〛}_{p}$ 定义为 ${〚 \cdot 〛}_{p} : ℤ_{q} \to ℤ_{p} : x \mapsto 〚 \frac{p}{q} \cdot x 〛$ 。通过逐项处理，可把 ${〚 \cdot 〛}_{p}$ 扩展到 $ℤ_{q}$ 上的向量或矩阵。

定义7令 $λ$ 为安全参数，令 $n = n (λ)$ 、 $q = q (λ)$ 和 $p = p (λ)$ 为整数，且 $q \geq p \geq 2$ ， ${LWR}_{n, q, p}$ 问题可叙述为：对任意 $m = poly (n)$ ，令 $A \leftarrow ℤ_{q}^{n \times m}$ ， $s \leftarrow ℤ_{q}^{n}$ ， $u \leftarrow ℤ_{p}^{m}$ ， $(A, {〚 A^{T} \cdot s 〛}_{p})$ 和 $(A, u)$ 是计算不可区分的。

引理6 ( [8] ) 令 $χ$ 是 $ℤ$ 上可有效抽样的B有界分布，令 $q \geq p \cdot B \cdot n^{ω (1)}$ ，则求解任一分布上 $s \in ℤ_{q}^{n}$ 的 ${LWR}_{n, q, p}$ 问题，至少与求解同一分布上 $s \in ℤ_{q}^{n}$ 的 ${LWE}_{n, q, χ}$ 问题的一样困难。

3. CLFHE的定义及安全模型

3.1. 定义

CLFHE由系统参数生成Setup、部分私钥抽取Extract、公私钥生成KeyGen、加密Encrypt、解密Decrypt和密文计算Eval六个多项式时间算法组成。其中Setup和Extract算法由密钥生成中心(Key Generation Center, KGC)执行。

$Setup (1^{λ}, 1^{L})$ ：输入安全参数 $λ$ 和电路深度L，输出系统主公钥mpk和主私钥msk。

$Extract (m p k, m s k, i d)$ ：输入主公钥mpk、主私钥msk和身份 $i d \in {0, 1}^{*}$ ，输出身份id的部分私钥 $d_{i d}$ 。 $KeyGen (m p k, i d, d_{i d})$ ：输入主公钥mpk、身份id和部分私钥 $d_{i d}$ ，输出用户的公钥 $p k_{i d}$ 和私钥 $s k_{i d}$ 。

$Encrypt (m p k, i d, p k_{i d}, μ)$ ：输入主公钥mpk、接收方身份id、接收方公钥 $p k_{i d}$ 以及消息 $μ \in M$ ，这里 $M$ 为消息空间，输出密文 $c \in C$ 或错误标识 $⊥$ ，这里 $C$ 为密文空间。

$Decrypt (m p k, s k_{i d}, c)$ ：输入主公钥mpk、接收方私钥 $s k_{i d}$ 以及密文 $c \in C$ ，输出消息 $μ \in M$ 或错误标识 $⊥$ 。

$Eval (m p k, i d, f, c_{1}, \dots, c_{l})$ ：输入主公钥mpk、身份id、电路 $f : M^{l} \to M$ 和身份id下的一组密文 ${c_{1}, \dots, c_{l}}$ ，输出密文 $c_{f} \in C$ 。

CLFHE应满足正确性约束。即

假定 $(m p k, m s k) \leftarrow Setup (1^{λ}, 1^{L})$ ， $d_{i d} \leftarrow Extract (m p k, m s k, i d)$ ， $(p k_{i d}, s k_{i d}) \leftarrow KeyGen (m p k, i d, d_{i d})$ ，则对全部 $c_{f} \leftarrow Eval (m p k, i d, f, c_{1}, \dots, c_{l})$ ，其中 $f : M^{l} \to M$ ， ${c_{i} \leftarrow Encrypt (m p k, i d, p k_{i d}, μ_{i})}_{i \in {1, \dots, l}}$ ，都有 $Decrypt (m p k, s k_{i d}, c_{f}) = f (μ_{1}, \dots, μ_{l})$ 。

3.2. 安全模型

我们这里给出INDr-CPA的安全定义。INDr-CPA比IND-CPA的安全性更强。INDr-CPA包括IND-CPA安全性和接收方匿名性。CLFHE的攻击者分为两类，即第1类攻击者 $A_{Ⅰ}$ 和第2类攻击者 $A_{Ⅱ}$ 。 $A_{Ⅰ}$ 模拟外部攻击者，允许它替换用户的公钥。 $A_{Ⅱ}$ 模拟诚实但好奇的KGC，不允许它替换用户的公钥。

攻击者 $A_{Ⅰ}$ 的INDr-CPA安全游戏如下：

初始化：挑战者产生 $(m p k, m s k) \leftarrow Setup (1^{λ}, 1^{L})$ 。并把主公钥mpk发送给 $A_{Ⅰ}$ 。

阶段1： $A_{Ⅰ}$ 可查询公钥询问(request public key)、公钥替换(replace public key)和部分私钥抽取(extract partial private key)预言机。

公钥询问预言机：输入身份id，它利用KeyGen和Extract产生公钥 $p k_{i d}$ ，并返回 $p k_{i d}$ 。同时它把身份id和它的 $p k_{i d}$ 记载下来。

公钥替换预言机：输入身份id和公钥 $p {k^{'}}_{i d}$ ，它修改身份id的有关记载，这以后id关联的公钥为 $p {k^{'}}_{i d}$ 。部分私钥抽取预言机：输入身份id，它产生部分私钥 $d_{i d} \leftarrow Extract (m p k, m s k, i d)$ ，并返回 $d_{i d}$ 。

$A_{Ⅰ}$ 结束查询输出目标身份 $i d^{*}$ 和消息 $μ$ 。

挑战：挑战者随机选择 $b \leftarrow {0, 1}$ 和密文 $c \leftarrow C$ 。若 $b = 0$ ，设置挑战密文 $c^{*} = Encrypt (m p k, i d^{*}, p {k^{'}}_{i d^{*}}, μ)$ ，其中 $p {k^{'}}_{i d^{*}}$ 是 $i d^{*}$ 当前关联的公钥；若 $b = 1$ ，设置挑战密文 $c^{*} = c$ 。挑战者把 $c^{*}$ 发送给 $A_{Ⅰ}$ 。

阶段2： $A_{Ⅰ}$ 继续查询公钥询问、公钥替换和部分私钥抽取预言机。在结束查询时 $A_{Ⅰ}$ 输出猜测 $b^{'} \in {0, 1}$ 。

如果 $b = b^{'}$ ，并且 $A_{Ⅰ}$ 在阶段1没有替换 $i d^{*}$ 的公钥或在两个查询阶段都没有询问 $i d^{*}$ 的部分私钥，则 $A_{Ⅰ}$ 赢得游戏。

$A_{Ⅰ}$ 的优势定义为 ${Adv}_{A_{Ⅰ}} (λ) = | \Pr [b = b^{'}] - \frac{1}{2} |$ 。如果 ${Adv}_{A_{Ⅰ}} (λ)$ 是可忽略的，则称这个CLFHE方案在 $A_{Ⅰ}$ 攻击下是INDr-CPA安全的。

攻击者 $A_{Ⅱ}$ 的INDr-CPA安全游戏如下：

初始化：挑战者产生 $(m p k, m s k) \leftarrow Setup (1^{λ}, 1^{L})$ 。并把主公钥mpk和主私钥msk发送给 $A_{Ⅱ}$ 。

阶段1： $A_{Ⅱ}$ 可查询公钥询问(request public key)预言机。

公钥询问预言机：输入身份id和部分私钥 $d_{i d}$ ，它计算公钥 $(p k_{i d}, s k_{i d}) \leftarrow KeyGen (m p k, i d, d_{i d})$ ，并返回 $p k_{i d}$ 。

$A_{Ⅱ}$ 结束查询输出目标身份 $i d^{*}$ 和消息 $μ$ 。

挑战：挑战者随机选择 $b \leftarrow {0, 1}$ 和密文 $c \leftarrow C$ 。若 $b = 0$ ，设置挑战密文 $c^{*} = Encrypt (m p k, i d^{*}, p k_{i d^{*}}, μ)$ ，其中 $p k_{i d^{*}}$ 是 $i d^{*}$ 关联的公钥；若 $b = 1$ ，设置挑战密文 $c^{*} = c$ 。

阶段2： $A_{Ⅱ}$ 继续查询公钥询问预言机。在结束查询时 $A_{Ⅱ}$ 输出猜测 $b^{'} \in {0, 1}$ 。

如果 $b = b^{'}$ ，则 $A_{Ⅱ}$ 赢得游戏。

$A_{Ⅱ}$ 的优势定义为 ${Adv}_{A_{Ⅱ}} (λ) = | \Pr [b = b^{'}] - \frac{1}{2} |$ 。如果 ${Adv}_{A_{Ⅱ}} (λ)$ 是可忽略的，则称这个CLFHE方案在 $A_{Ⅱ}$ 攻击下是INDr-CPA安全的。

4. 基于LWR问题CLFHE

4.1. 方案描述

我们令向量 $g = {(1, \dots, 2^{⌈ \log p ⌉ - 1})}^{T} \in ℤ_{p}^{⌈ \log p ⌉}$ 。令矩阵 $G = I_{2 m + 1} \otimes g^{T} \in ℤ_{p}^{(2 m + 1) \times N}$ ，其中 $N = (2 m + 1) \cdot ⌈ \log p ⌉$ 。定义反函数 $G^{- 1} : ℤ_{p}^{(2 m + 1) \times N} \to {0, 1}^{N \times N}$ ，它把输入矩阵的每个元素 $a \in ℤ_{p}$ 扩展为比特向量 ${(a_{0}, \dots, a_{⌈ \log p ⌉ - 1})}^{T} \in {0, 1}^{⌈ \log p ⌉}$ ，且满足 $a = \sum_{i = 0}^{⌈ \log p ⌉ - 1} 2^{i} \cdot a_{i}$ 。对任意矩阵 $C \in ℤ_{p}^{(2 m + 1) \times N}$ ，有 $G \cdot G^{- 1} (C) = C$ 。

下面给出基于LWR问题的CLFHE方案，它的消息空间为 $M = {0, 1}$ ，密文空间为 $C = ℤ_{p}^{(2 m + 1) \times N}$ 。

$Setup (1^{λ}, 1^{L})$ ：KGC设置参数 $n = n (λ, L)$ 、 $q = q (λ, L)$ 、 $p = p (λ, L)$ 、 $m = m (λ, L)$ 、 $σ_{1} = σ_{1} (λ, L)$ 和 $σ_{2} = σ_{2} (λ, L)$ 。这些参数具体见4.3节。调用 $TrapGen (n, q)$ 产生矩阵 $A \in ℤ_{q}^{n \times m}$ 和 $Λ^{⊥} (A)$ 的一组基 $T_{A} \in ℤ^{m \times m}$ ，且 $‖ {\tilde{T}}_{A} ‖ \leq O (\sqrt{n \log q})$ 。随机选择矩阵 $\bar{A} \leftarrow ℤ_{q}^{n \times m}$ 和 $B \leftarrow ℤ_{q}^{n \times m}$ 。选择哈希函数 $H : {0, 1}^{*} \to ℤ_{q}^{n}$ 。输出主公钥 $m p k = (n, q, p, m, σ_{1}, σ_{2}, A, \bar{A}, B, H)$ 和主私钥 $m s k = T_{A}$ 。

$Extract (m p k, m s k, i d)$ ：对身份 $i d \in {0, 1}^{*}$ ，KGC计算 $u = H (i d) \in ℤ_{q}^{n}$ 。调用 $SamplePre (A, T_{A}, u, σ_{1})$ 产生向量 $d \in ℤ^{m}$ 。输出部分私钥 $d_{i d} = d$ 。这里有 $A \cdot d = u \mod q$ 。

$KeyGen (m p k, i d, d_{i d})$ ：用户选择 $x \leftarrow D_{ℤ^{m}, σ_{2}}$ ，令 $v = B \cdot x \mod q$ 。此外令 $\bar{u} = \bar{A} \cdot d \mod q$ 。令 $r = (\begin{matrix} - d \\ - x \\ 1 \end{matrix}) \in ℤ^{2 m + 1}$ 。输出公钥 $p k_{i d} = (v, \bar{u})$ 和私钥 $s k_{i d} = r$ 。

$Encrypt (m p k, i d, p k_{i d}, μ)$ ：对消息 $μ \in {0, 1}$ ，计算 $u = H (i d) \in ℤ_{q}^{n}$ 。随机选择矩阵 $S_{1} \leftarrow ℤ_{q}^{n \times N}$ 、 $\bar{S} \leftarrow ℤ_{q}^{n \times N}$ 和 $S_{2} \leftarrow ℤ_{q}^{n \times N}$ ，输出密文

$C = (\begin{matrix} {〚 A^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{A}}^{T} \cdot \bar{S} 〛}_{p} \\ {〚 B^{T} \cdot S_{2} 〛}_{p} \\ {〚 u^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{u}}^{T} \cdot \bar{S} 〛}_{p} + {〚 v^{T} \cdot S_{2} 〛}_{p} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ .

$Decrypt (m p k, s k_{i d}, c)$ ：给定密文 $C \in ℤ_{p}^{(2 m + 1) \times N}$ ，已知 $s k_{i d} = r$ 。输出消息 $μ^{'} = 〚 \frac{r^{T} \cdot c}{2^{⌈ \log p ⌉ - 2}} 〛$ ，其中 $c$ 为密文 $C$ 的倒数第2列。

给定同一身份id下的两个密文 $C_{1} \in ℤ_{p}^{(2 m + 1) \times N}$ 和 $C_{2} \in ℤ_{p}^{(2 m + 1) \times N}$ ，密文同态加法和乘法如下：

$Add (C_{1}, C_{2})$ ：输出 $C_{add} = C_{1} + C_{2} \in ℤ_{p}^{(2 m + 1) \times N}$ 。

$Mult (C_{1}, C_{2})$ ：输出 $C_{mult} = C_{1} \cdot G^{- 1} (C_{2}) \in ℤ_{p}^{(2 m + 1) \times N}$ 。

4.2. 方案分析

4.2.1. 正确性

对于Encrypt输出的密文 $C \in ℤ_{p}^{(2 m + 1) \times N}$ ，有

$\begin{array}{l} r^{T} \cdot C = {(\begin{matrix} - d \\ - x \\ 1 \end{matrix})}^{T} \cdot (\begin{matrix} {〚 A^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{A}}^{T} \cdot \bar{S} 〛}_{p} \\ {〚 B^{T} \cdot S_{2} 〛}_{p} \\ {〚 u^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{u}}^{T} \cdot \bar{S} 〛}_{p} + {〚 v^{T} \cdot S_{2} 〛}_{p} \end{matrix}) + μ \cdot r^{T} \cdot G \\ = {〚 u^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{u}}^{T} \cdot \bar{S} 〛}_{p} + {〚 v^{T} \cdot S_{2} 〛}_{p} - d^{T} \cdot ({〚 A^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{A}}^{T} \cdot \bar{S} 〛}_{p}) - x^{T} \cdot {〚 B^{T} \cdot S_{2} 〛}_{p} + μ \cdot r^{T} \cdot G \\ = ({〚 u^{T} \cdot S_{1} 〛}_{p} - d^{T} \cdot {〚 A^{T} \cdot S_{1} 〛}_{p}) + ({〚 {\bar{u}}^{T} \cdot \bar{S} 〛}_{p} - d^{T} \cdot {〚 {\bar{A}}^{T} \cdot \bar{S} 〛}_{p}) + ({〚 v^{T} \cdot S_{2} 〛}_{p} - x^{T} \cdot {〚 B^{T} \cdot S_{2} 〛}_{p}) + μ \cdot r^{T} \cdot G \\ = \frac{p}{q} (u^{T} - d^{T} A^{T}) S_{1} + e_{1}^{T} - d^{T} E_{1} + \frac{p}{q} ({\bar{u}}^{T} - d^{T} {\bar{A}}^{T}) \bar{S} + {\bar{e}}^{T} - d^{T} \bar{E} + \frac{p}{q} (v^{T} - x^{T} B^{T}) S_{2} + e_{2}^{T} - x^{T} E_{2} + μ \cdot r^{T} \cdot G \\ = e_{1}^{T} + {\bar{e}}^{T} + e_{2}^{T} - (d^{T} E_{1} + d^{T} \bar{E} + x^{T} E_{2}) + μ \cdot r^{T} \cdot G \end{array}$

其中

$e_{1}^{T} = {〚 u^{T} \cdot S_{1} 〛}_{p} - \frac{p}{q} \cdot u^{T} \cdot S_{1} \in {[- \frac{1}{2}, \frac{1}{2}]}^{1 \times N}$

$E_{1} = {〚 A^{T} \cdot S_{1} 〛}_{p} - \frac{p}{q} \cdot A^{T} \cdot S_{1} \in {[- \frac{1}{2}, \frac{1}{2}]}^{m \times N}$

${\bar{e}}^{T} = {〚 {\bar{u}}^{T} \cdot \bar{S} 〛}_{p} - \frac{p}{q} \cdot {\bar{u}}^{T} \cdot \bar{S} \in {[- \frac{1}{2}, \frac{1}{2}]}^{1 \times N}$

$\bar{E} = {〚 {\bar{A}}^{T} \cdot \bar{S} 〛}_{p} - \frac{p}{q} \cdot {\bar{A}}^{T} \cdot \bar{S} \in {[- \frac{1}{2}, \frac{1}{2}]}^{m \times N}$

$e_{2}^{T} = {〚 v^{T} \cdot S_{2} 〛}_{p} - \frac{p}{q} \cdot v^{T} \cdot S_{2} \in {[- \frac{1}{2}, \frac{1}{2}]}^{1 \times N}$

$E_{2} = {〚 B^{T} \cdot S_{2} 〛}_{p} - \frac{p}{q} \cdot B^{T} \cdot S_{2} \in {[- \frac{1}{2}, \frac{1}{2}]}^{m \times N}$ .

令 $w^{T} = e_{1}^{T} + {\bar{e}}^{T} + e_{2}^{T} - (d^{T} E_{1} + d^{T} \bar{E} + x^{T} E_{2})$ ，则 $C$ 的误差

$\begin{matrix} {‖ w^{T} ‖}_{\infty} = {‖ e_{1}^{T} + {\bar{e}}^{T} + e_{2}^{T} - (d^{T} E_{1} + d^{T} \bar{E} + x^{T} E_{2}) ‖}_{\infty} \\ \leq {‖ e_{1}^{T} + {\bar{e}}^{T} + e_{2}^{T} ‖}_{\infty} + {‖ d^{T} E_{1} + d^{T} \bar{E} + x^{T} E_{2} ‖}_{\infty} \\ \leq \frac{3}{2} + m \cdot {‖ d ‖}_{\infty} \cdot {‖ E_{1} ‖}_{\infty} + m \cdot {‖ d ‖}_{\infty} \cdot {‖ \bar{E} ‖}_{\infty} + m \cdot {‖ x ‖}_{\infty} \cdot {‖ E_{2} ‖}_{\infty} \\ \leq \frac{3}{2} + m \cdot {‖ d ‖}_{\infty} + \frac{1}{2} \cdot m \cdot {‖ x ‖}_{\infty} \\ \leq \frac{3}{2} + m \cdot ‖ d ‖ + \frac{1}{2} \cdot m \cdot ‖ x ‖ \\ \leq \frac{3}{2} + m \sqrt{m} \cdot (σ_{1} + \frac{1}{2} \cdot σ_{2}) \end{matrix}$

其中 $‖ d ‖ \leq σ_{1} \cdot \sqrt{m}$ ， $‖ x ‖ \leq σ_{2} \cdot \sqrt{m}$ 。我们记 ${‖ w^{T} ‖}_{\infty} \leq Δ = \frac{3}{2} + m \sqrt{m} \cdot (σ_{1} + \frac{1}{2} \cdot σ_{2})$ 。

对 $Add (C_{1}, C_{2})$ 输出的密文 $C_{add}$ ，有

$r^{T} \cdot C_{add} = r^{T} \cdot (C_{1} + C_{2}) = w_{1}^{T} + w_{2}^{T} + (μ_{1} + μ_{2}) \cdot r^{T} \cdot G$ .

令 $w_{add}^{T} = w_{1}^{T} + w_{2}^{T}$ ，则 $C_{add}$ 的误差 ${‖ w_{add}^{T} ‖}_{\infty} = {‖ w_{1}^{T} + w_{2}^{T} ‖}_{\infty} \leq {‖ w_{1}^{T} ‖}_{\infty} + {‖ w_{2}^{T} ‖}_{\infty} \leq 2 Δ$ 。

对 $Mult (C_{1}, C_{2})$ 输出的密文 $C_{mult}$ ，有

$\begin{matrix} r^{T} \cdot C_{mult} = r^{T} \cdot C_{1} \cdot G^{- 1} (C_{2}) \\ = (w_{1}^{T} + μ_{1} \cdot r^{T} \cdot G) \cdot G^{- 1} (C_{2}) \\ = w_{1}^{T} \cdot G^{- 1} (C_{2}) + μ_{1} \cdot r^{T} \cdot G \cdot G^{- 1} (C_{2}) \\ = w_{1}^{T} \cdot G^{- 1} (C_{2}) + μ_{1} \cdot r^{T} \cdot C_{2} \\ = w_{1}^{T} \cdot G^{- 1} (C_{2}) + μ_{1} \cdot (w_{2}^{T} + μ_{2} \cdot r^{T} \cdot G) \\ = w_{1}^{T} \cdot G^{- 1} (C_{2}) + μ_{1} \cdot w_{2}^{T} + μ_{1} μ_{2} \cdot r^{T} \cdot G \end{matrix}$

令 $w_{mult} = w_{1}^{T} \cdot G^{- 1} (C_{2}) + μ_{1} \cdot w_{2}^{T}$ ，则 $C_{mult}$ 的误差

$\begin{matrix} {‖ w_{mult} ‖}_{\infty} = {‖ w_{1}^{T} \cdot G^{- 1} (C_{2}) + μ_{1} \cdot w_{2}^{T} ‖}_{\infty} \\ \leq {‖ w_{1}^{T} \cdot G^{- 1} (C_{2}) ‖}_{\infty} + {‖ μ_{1} \cdot w_{2}^{T} ‖}_{\infty} \\ \leq N \cdot {‖ w_{1} ‖}_{\infty} \cdot {‖ G^{- 1} (C_{2}) ‖}_{\infty} + Δ \\ \leq N Δ + Δ = (N + 1) Δ \end{matrix}$

通过迭代调用 $Add (C_{1}, C_{2})$ 和 $Mult (C_{1}, C_{2})$ ，密文计算 $Eval (f, C_{1}, \dots, C_{l})$ 可输出密文 $C_{f} \in ℤ_{p}^{(2 m + 1) \times N}$ 。因为 $f : M^{l} \to M$ 的电路深度 $depth (f) \leq L$ 。又知道有 ${‖ w_{add}^{T} ‖}_{\infty} \leq 2 Δ$ ， ${‖ w_{mult} ‖}_{\infty} \leq (N + 1) Δ$ ，即 ${‖ w_{add}^{T} ‖}_{\infty} ≪ {‖ w_{mult} ‖}_{\infty}$ 。故 $C_{f} \in ℤ_{p}^{(2 m + 1) \times N}$ 的误差 ${‖ w_{f} ‖}_{\infty} \leq {(N + 1)}^{L} Δ$ 。于是对 $C_{f} \in ℤ_{p}^{(2 m + 1) \times N}$ 的倒数第2列 $c_{f} \in ℤ_{p}^{2 m + 1}$ ，有 $r^{T} \cdot c_{f} \leq {‖ w_{f}^{T} ‖}_{\infty} + μ_{f} \cdot 2^{⌈ \log p ⌉ - 2}$ 。因为 $2^{⌈ \log p ⌉ - 2} \in [p / 4, p / 2)$ ，故如果 ${‖ w_{f}^{T} ‖}_{\infty} \leq {(N + 1)}^{L} Δ < p / 8$ ， $Eval (f, C_{1}, \dots, C_{l})$ 输出的密文 $C_{f} \in ℤ_{p}^{(2 m + 1) \times N}$ 可正确解密得到消息 $μ_{f} = f (μ_{1}, \dots, μ_{l})$ 。

4.2.2. 安全性

所提出的CLFHE在 $A_{Ⅰ}$ 攻击下是INDr-CPA安全的。即：

定理1令哈希函数H为随机预言机。若攻击者 $A_{Ⅰ}$ 在INDr-CPA安全游戏中以优势 ${Adv}_{A_{Ⅰ}} (λ)$ 攻破所提出的CLFHE方案，且H预言、公钥询问次数为 $q_{H}$ 、 $q_{rpk}$ 。则存在以优势 ${Adv}_{B} (λ)$ 解决 ${LWR}_{n, q, p}$ 问题的算法 $B$ 。其中

${Adv}_{A_{Ⅰ}} (λ) \leq 2 (q_{rpk} + q_{H}) \cdot {Adv}_{B} (λ)$ .

证明：我们基于游戏序列进行证明。并定义 $Y_{i}$ 为攻击者 $A_{Ⅰ}$ 在Game i中赢得游戏这一事件。

Game 0 它是攻击所提出的方案的 $A_{Ⅰ}$ 和挑战者之间的原始INDr-CPA游戏。在这个游戏中， $A_{Ⅰ}$ 的优势 ${Adv}_{A_{Ⅰ}}^{CLFHE} (λ) = | \Pr [Y_{0}] - \frac{1}{2} |$ 。

Game 1这个游戏相比Game 0的变化是以下四个方面：

① 始化：挑战者随机选择 $A \leftarrow ℤ_{q}^{n \times m}$ 。

② H预言机：当 $A_{Ⅰ}$ 询问身份id的H预言时，挑战者选择 $d \leftarrow D_{ℤ^{m}, σ_{1}}$ ，令 $u = A \cdot d \mod q$ 和 $\bar{u} = \bar{A} \cdot d \mod q$ ，把元组 $(i d, u, \bar{u}, d)$ 存储起来，并返回 $u$ 给 $A_{Ⅰ}$ 。

③ 公钥询问预言机：当 $A_{Ⅰ}$ 询问身份id的公钥时，挑战者选择 $x \leftarrow D_{ℤ^{m}, σ_{2}}$ ，令 $v = B \cdot x \mod q$ 。从H记载里找到元组 $(i d, u, \bar{u}, d)$ 。令公钥 $p k_{i d} = (v, \bar{u})$ ，把元组 $(i d, p k_{i d}, *)$ 存储起来，并返回 $p k_{i d}$ 给 $A_{Ⅰ}$ 。其中 $*$ 表示该元素空缺，它用于存储替换公钥 $p {k^{'}}_{i d}$ 。

④ 部分私钥抽取预言机：当 $A_{Ⅰ}$ 询问身份id的部分私钥时，挑战者从H记载里找到元组 $(i d, u, \bar{u}, d)$ ，把 $d$ 返回给 $A_{Ⅰ}$ 。

由引理3等可知，Game 0和Game 1是统计不可区分的。故 $| \Pr [Y_{0}] - \Pr [Y_{1}] | = negl (λ)$ 。

Game 2 这个游戏相比Game 1调整了以下两个地方：

① 始化：挑战者随机产生猜测 $η \leftarrow {0, 1}$ 。 $η = 0$ 表示 $A_{Ⅰ}$ 会询问目标身份的部分私钥， $η = 1$ 表示 $A_{Ⅰ}$ 不会询问目标身份的部分私钥。

② 获胜条件：令Extract表示 $A_{Ⅰ}$ 询问了目标身份的部分私钥。则

如果 $η = 0$ ，并且Extract发生了，则在 $b = b^{'}$ 时 $A_{Ⅰ}$ 获胜；

如果 $η = 1$ ，并且Extract发生了，则 $A_{Ⅰ}$ 以概率 $\frac{1}{2}$ 获胜；

如果 $η = 0$ ，并且Extract没有发生，则 $A_{Ⅰ}$ 以概率 $\frac{1}{2}$ 获胜；

如果 $η = 1$ ，并且Extract没有发生，则在 $b = b^{'}$ 时 $A_{Ⅰ}$ 获胜。

经简单计算可知 $| \Pr [Y_{2}] - \frac{1}{2} | = \frac{1}{2} | \Pr [Y_{1}] - \frac{1}{2} |$ 。又

$\begin{matrix} | \Pr [Y_{2}] - \frac{1}{2} | = | \frac{1}{2} \Pr [Y_{2} | η = 0] + \frac{1}{2} \Pr [Y_{2} | η = 1] - \frac{1}{2} | \\ \leq \frac{1}{2} | \Pr [Y_{2} | η = 0] - \frac{1}{2} | + \frac{1}{2} | \Pr [Y_{2} | η = 1] - \frac{1}{2} | \end{matrix}$

于是接下来我们依据猜测 $η \in {0, 1}$ 的值把游戏分为两条不同的链。即猜测 $η = 0$ 下的链 ${Game i_{η = 0}}$ 和猜测 $η = 1$ 下的链 ${Game i_{η = 1}}$ 。因为猜测 $η \in {0, 1}$ 只能为0或1，所以在Game 2之后只可能选择其中的一条链执行。

$Game 3_{η = 0}$ 这个游戏相比Game 2的变化是以下三点：

① 初始化：挑战者选择 $i \leftarrow {1, \dots, q_{rpk}}$ 。

② 公钥询问预言机：如果身份id是第i次公钥询问，挑战者随机选择 $v_{i} \leftarrow ℤ_{q}^{n}$ 。从H记载里找到元组 $(i d, u, \bar{u}, d)$ 。令公钥 $p k_{i d} = (v_{i}, \bar{u})$ ，把元组 $(i d, p k_{i d}, *)$ 存储起来，并返回 $p k_{i d}$ 给 $A_{Ⅰ}$ 。否则，挑战者选择 $x \leftarrow D_{ℤ^{m}, σ_{2}}$ ，令 $v = B \cdot x \mod q$ 。从H记载里找到元组 $(i d, u, \bar{u}, d)$ 。令公钥 $p k_{i d} = (v, \bar{u})$ ，把元组 $(i d, p k_{i d}, *)$ 存储起来，并返回 $p k_{i d}$ 给 $A_{Ⅰ}$ 。

③ 挑战：如果目标身份 $i d^{*}$ 不是第i次询问的公钥预言机，则挑战者中止并输出 $⊥$ 。否则挑战者选择 $S_{1} \leftarrow ℤ_{q}^{n \times N}$ 、 $\bar{S} \leftarrow ℤ_{q}^{n \times N}$ 和 $S_{2} \leftarrow ℤ_{q}^{n \times N}$ ，设定挑战密文

$C^{*} = (\begin{matrix} {〚 A^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{A}}^{T} \cdot \bar{S} 〛}_{p} \\ {〚 B^{T} \cdot S_{2} 〛}_{p} \\ {〚 u^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{u}}^{T} \cdot \bar{S} 〛}_{p} + {〚 v_{i}^{T} \cdot S_{2} 〛}_{p} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ .

在这个游戏中， $A_{Ⅰ}$ 若没有询问目标身份 $i d^{*}$ 的部分私钥，挑战者输出一个随机比特，否则输出 $A_{Ⅰ}$ 的猜测 $b^{'}$ 。

$Game 3_{η = 0}$ 不中止输出 $⊥$ 的概率为 $\Pr [\neg abort] = \frac{1}{q_{rpk}}$ 。故 $| \Pr [Y_{3} | η = 0] - \frac{1}{2} | = \frac{1}{q_{rpk}} \cdot | \Pr [Y_{2} | η = 0] - \frac{1}{2} |$ 。

$Game 3_{η = 1}$ 这个游戏相比Game 2的变化是以下四点：

① 初始化：挑战者选择 $j \leftarrow {1, \dots, q_{H}}$ 。

② H预言机：如果id是第j次H询问，挑战者随机选择 $u_{j} \leftarrow ℤ_{q}^{n}$ 和 $\bar{u} \leftarrow ℤ_{q}^{n}$ ，把元组 $(i d, u_{j}, \bar{u}, ⊥)$ 存储起来，并把 $u_{j}$ 返回给 $A_{Ⅰ}$ 。否则，挑战者选择 $d \leftarrow D_{ℤ^{m}, σ_{1}}$ ，令 $u = A \cdot d \mod q$ 和 $\bar{u} = \bar{A} \cdot d \mod q$ ，把元组 $(i d, u, \bar{u}, d)$ 存储起来，并返回 $u$ 给 $A_{Ⅰ}$ 。

③ 部分私钥抽取预言机：当 $A_{Ⅰ}$ 提交身份id询问其部分私钥时，挑战者从H记载里找到元组 $(i d, u, \bar{u}, d)$ ，如果 $d = ⊥$ ，挑战者中止并输出一个随机比特。否则把 $d$ 返回给 $A_{Ⅰ}$ 。

④ 挑战：如果目标身份 $i d^{*}$ 不是第j次询问的H预言机，则挑战者中止并输出 $⊥$ 。否则挑战者选择 $S_{1} \leftarrow ℤ_{q}^{n \times N}$ 、 $\bar{S} \leftarrow ℤ_{q}^{n \times N}$ 和 $S_{2} \leftarrow ℤ_{q}^{n \times N}$ ，设定挑战密文

$C^{*} = (\begin{matrix} {〚 A^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{A}}^{T} \cdot \bar{S} 〛}_{p} \\ {〚 B^{T} \cdot S_{2} 〛}_{p} \\ {〚 u_{j}^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{u}}^{'}^{T} \cdot \bar{S} 〛}_{p} + {〚 {v^{'}}^{T} \cdot S_{2} 〛}_{p} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ ,

其中 $p {k^{'}}_{i d^{*}} = (v^{'}, {\bar{u}}^{'})$ 是目标身份 $i d^{*}$ 当前关联的公钥。

$Game 3_{η = 1}$ 不中止输出 $⊥$ 的概率为 $\Pr [\neg abort] = \frac{1}{q_{H}}$ 。故 $| \Pr [Y_{3} | η = 1] - \frac{1}{2} | = \frac{1}{q_{H}} \cdot | \Pr [Y_{2} | η = 1] - \frac{1}{2} |$ 。

$Game 4_{η = 0}$ 这个游戏只对 $Game 3_{η = 0}$ 进行了一处修改。即

挑战：挑战者随机选择 $\tilde{B} \leftarrow ℤ_{p}^{m \times N}$ 和 $\tilde{b} \leftarrow ℤ_{p}^{N}$ ，令挑战密文

$C^{*} = (\begin{matrix} {〚 A^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{A}}^{T} \cdot \bar{S} 〛}_{p} \\ \tilde{B} \\ {〚 u^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{u}}^{T} \cdot \bar{S} 〛}_{p} + {\tilde{b}}^{T} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ .

假设 $A_{Ⅰ}$ 以不可忽略的优势区分 $Game 3_{η = 0}$ 和 $Game 4_{η = 0}$ ，则利用 $A_{Ⅰ}$ 可构造解决 ${LWR}_{n, q, p}$ 问题的算法 $B$ 。 $B$ 的输入是一个 ${LWR}_{n, q, p}$ 问题实例 $((F | f), (\begin{matrix} Z \\ z^{T} \end{matrix})) \in ℤ_{q}^{n \times (m + 1)} \times ℤ_{p}^{(m + 1) \times N}$ 。 $B$ 模拟挑战者与 $A_{Ⅰ}$ 交互如下：初始化： $B$ 令 $B = F$ 。并选择 $i \leftarrow {1, \dots, q_{rpk}}$ 。

公钥询问预言机：如果id是第i次公钥询问， $B$ 令 $v_{i} = f$ 。从H记载里找到元组 $(i d, u, \bar{u}, d)$ 。令公钥 $p k_{i d} = (f, \bar{u})$ ，把元组 $(i d, p k_{i d}, *)$ 存储起来，并返回 $p k_{i d}$ 给 $A_{Ⅰ}$ 。

挑战： $B$ 选择 $S_{1} \leftarrow ℤ_{q}^{n \times N}$ 和 $\bar{S} \leftarrow ℤ_{q}^{n \times N}$ ，设定挑战密文

$C^{*} = (\begin{matrix} {〚 A^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{A}}^{T} \cdot \bar{S} 〛}_{p} \\ Z \\ {〚 u^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{u}}^{T} \cdot \bar{S} 〛}_{p} + z^{T} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ .

其余的内容 $B$ 都与 $Game 3_{η = 0}$ 一样进行处置。

若 $(\begin{matrix} Z \\ z^{T} \end{matrix}) \in ℤ_{p}^{(m + 1) \times N}$ 是通过密钥 $S \in ℤ_{q}^{n \times N}$ 产生的， $C^{*}$ 的分布和 $Game 3_{η = 0}$ 中一样。若 $(\begin{matrix} Z \\ z^{T} \end{matrix}) \in ℤ_{p}^{(m + 1) \times N}$ 是随机选择的， $C^{*}$ 的分布和 $Game 4_{η = 0}$ 中一样。故 $| \Pr [Y_{3} | η = 0] - \Pr [Y_{4} | η = 0] | = {Adv}_{B} (λ)$ 。

$Game 4_{η = 1}$ 这个游戏只对 $Game 3_{η = 1}$ 进行了一处修改。即

挑战：挑战者随机选择 $\tilde{A} \leftarrow ℤ_{p}^{m \times N}$ 和 $\tilde{a} \leftarrow ℤ_{p}^{N}$ ，令挑战密文

$C^{*} = (\begin{matrix} \tilde{A} + {〚 {\bar{A}}^{T} \cdot \bar{S} 〛}_{p} \\ {〚 B^{T} \cdot S_{2} 〛}_{p} \\ {\tilde{a}}^{T} + {〚 {\bar{u}}^{'}^{T} \cdot \bar{S} 〛}_{p} + {〚 {v^{'}}^{T} \cdot S_{2} 〛}_{p} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ .

假设 $A_{Ⅰ}$ 以不可忽略的优势区分 $Game 3_{η = 1}$ 和 $Game 4_{η = 1}$ ，则利用 $A_{Ⅰ}$ 可构造解决 ${LWR}_{n, q, p}$ 问题的算法 $B$ 。 $B$ 的输入是一个 ${LWR}_{n, q, p}$ 问题实例 $((F | f), (\begin{matrix} Z \\ z^{T} \end{matrix})) \in ℤ_{q}^{n \times (m + 1)} \times ℤ_{p}^{(m + 1) \times N}$ 。 $B$ 模拟挑战者与 $A_{Ⅰ}$ 交互如下：

初始化： $B$ 令 $A = F$ 。并选择 $j \leftarrow {1, \dots, q_{H}}$ 。

H预言机：如果id是第j次H询问， $B$ 令 $u_{j} = f$ 。 $B$ 随机选择 $\bar{u} \leftarrow ℤ_{q}^{n}$ 。把元组 $(i d, f, \bar{u}, ⊥)$ 存储起来，并把 $f$ 返回给 $A_{Ⅰ}$ 。

挑战： $B$ 选择 $\bar{S} \leftarrow ℤ_{q}^{n \times N}$ 和 $S_{2} \leftarrow ℤ_{q}^{n \times N}$ ，设定挑战密文

$C^{*} = (\begin{matrix} Z + {〚 {\bar{A}}^{T} \cdot \bar{S} 〛}_{p} \\ {〚 B^{T} \cdot S_{2} 〛}_{p} \\ z^{T} + {〚 {\bar{u}}^{'}^{T} \cdot \bar{S} 〛}_{p} + {〚 {v^{'}}^{T} \cdot S_{2} 〛}_{p} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ .

其余的内容 $B$ 都与 $Game 3_{η = 1}$ 一样进行处置。

若 $(\begin{matrix} Z \\ z^{T} \end{matrix}) \in ℤ_{p}^{(m + 1) \times N}$ 是由密钥 $S \in ℤ_{q}^{n \times N}$ 产生的， $C^{*}$ 的分布和 $Game 3_{η = 1}$ 中一样。若 $(\begin{matrix} Z \\ z^{T} \end{matrix}) \in ℤ_{p}^{(m + 1) \times N}$ 是随机选择的， $C^{*}$ 的分布和 $Game 4_{η = 1}$ 中一样。故 $| \Pr [Y_{3} | η = 1] - \Pr [Y_{4} | η = 1] | = {Adv}_{B} (λ)$ 。

$Game 5_{η = 0}$ 它只对 $Game 4_{η = 0}$ 进行了一处修改。即

挑战：挑战者随机选择 $\hat{b} \leftarrow ℤ_{p}^{N}$ ，令挑战密文为

$C^{*} = (\begin{matrix} {〚 A^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{A}}^{T} \cdot \bar{S} 〛}_{p} \\ \tilde{B} \\ {\hat{b}}^{T} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ .

在 $Game 4_{η = 0}$ 中， $\tilde{b} \leftarrow ℤ_{p}^{N}$ 是均匀随机的，故 ${〚 u^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{u}}^{T} \cdot \bar{S} 〛}_{p} + {\tilde{b}}^{T}$ 亦是均匀随机的。故

$| \Pr [Y_{4} | η = 0] - \Pr [Y_{5} | η = 0] | = negl (λ)$ 。

$Game 5_{η = 1}$ 它只对 $Game 4_{η = 1}$ 进行了一处修改。即

挑战：挑战者随机选择 $\hat{A} \leftarrow ℤ_{p}^{m \times N}$ 和 $\hat{a} \leftarrow ℤ_{p}^{N}$ ，令挑战密文为

$C^{*} = (\begin{matrix} \hat{A} \\ {〚 B^{T} \cdot S_{2} 〛}_{p} \\ \hat{a} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ .

在 $Game 4_{η = 1}$ 中， $\tilde{A} \leftarrow ℤ_{p}^{m \times N}$ 和 $\tilde{a} \leftarrow ℤ_{p}^{N}$ 是均匀随机的，故 $\tilde{A} + {〚 {\bar{A}}^{T} \cdot \bar{S} 〛}_{p}$ 和 ${\tilde{a}}^{T} + {〚 {\bar{u}}^{'}^{T} \cdot \bar{S} 〛}_{p} + {〚 {v^{'}}^{T} \cdot S_{2} 〛}_{p}$ 亦是均匀随机的。故 $| \Pr [Y_{4} | η = 1] - \Pr [Y_{5} | η = 1] | = negl (λ)$ 。

$Game 6_{η = 0}$ 相比 $Game 5_{η = 0}$ 只进行了一处修改。即

挑战：挑战者随机选择 $A^{'} \leftarrow ℤ_{p}^{m \times N}$ ，令挑战密文为

$C^{*} = (\begin{matrix} {〚 A^{T} \cdot S_{1} 〛}_{p} + A^{'} \\ \tilde{B} \\ {\hat{b}}^{T} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ .

假设 $A_{Ⅰ}$ 以不可忽略的优势区分 $Game 5_{η = 0}$ 和 $Game 6_{η = 0}$ ，则利用 $A_{Ⅰ}$ 可构造解决 ${LWR}_{n, q, p}$ 问题的算法 $B$ 。 $B$ 的输入是一个 ${LWR}_{n, q, p}$ 问题实例 $(F, Z) \in ℤ_{q}^{n \times m} \times ℤ_{p}^{m \times N}$ 。 $B$ 模拟挑战者与 $A_{Ⅰ}$ 交互如下：

初始化： $B$ 令 $\bar{A} = F$ 。

挑战： $B$ 选择 $S_{1} \leftarrow ℤ_{q}^{n \times N}$ ，令挑战密文为

$C^{*} = (\begin{matrix} {〚 A^{T} \cdot S_{1} 〛}_{p} + Z \\ \tilde{B} \\ {\hat{b}}^{T} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ .

其余的内容 $B$ 都与 $Game 5_{η = 0}$ 一样进行处置。

若 $Z \in ℤ_{p}^{m \times N}$ 是通过密钥 $S \in ℤ_{q}^{n \times N}$ 产生的， $C^{*}$ 的分布和 $Game 5_{η = 0}$ 中一样。若 $Z \in ℤ_{p}^{m \times N}$ 是随机选择的， $C^{*}$ 的分布和 $Game 6_{η = 0}$ 中一样。故 $| \Pr [Y_{5} | η = 0] - \Pr [Y_{6} | η = 0] | = {Adv}_{B} (λ)$ 。

$Game 6_{η = 1}$ 相比 $Game 5_{η = 1}$ 只进行了一处修改。即

挑战：挑战者随机选择 $B^{'} \leftarrow ℤ_{p}^{m \times N}$ ，令挑战密文为

$C^{*} = (\begin{matrix} \hat{A} \\ B^{'} \\ \hat{a} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ .

假设 $A_{Ⅰ}$ 以不可忽略的优势区分 $Game 5_{η = 1}$ 和 $Game 6_{η = 1}$ ，则利用 $A_{Ⅰ}$ 可构造解决 ${LWR}_{n, q, p}$ 问题的算法 $B$ 。 $B$ 的输入是一个 ${LWR}_{n, q, p}$ 问题实例 $(F, Z) \in ℤ_{q}^{n \times m} \times ℤ_{p}^{m \times N}$ 。 $B$ 模拟挑战者与 $A_{Ⅰ}$ 交互如下：

初始化： $B$ 令 $B = F$ 。

挑战： $B$ 令挑战密文为 $C^{*} = (\begin{matrix} \hat{A} \\ Z \\ \hat{a} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ 。

其余的内容 $B$ 都与 $Game 5_{η = 1}$ 一样进行处置。

若 $Z \in ℤ_{p}^{m \times N}$ 是由密钥 $S \in ℤ_{q}^{n \times N}$ 产生的， $C^{*}$ 的分布和 $Game 5_{η = 1}$ 中一样。若 $Z \in ℤ_{p}^{m \times N}$ 是随机选择的， $C^{*}$ 的分布和 $Game 6_{η = 1}$ 中一样。故 $| \Pr [Y_{5} | η = 1] - \Pr [Y_{6} | η = 1] | = {Adv}_{B} (λ)$ 。

$Game 7_{η = 0}$ 相比 $Game 6_{η = 0}$ 只有一处修改。即

挑战：挑战者随机选择 $A^{″} \leftarrow ℤ_{p}^{m \times N}$ ，令挑战密文为

$C^{*} = (\begin{matrix} A^{″} \\ \tilde{B} \\ {\hat{b}}^{T} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ .

在 $Game 6_{η = 0}$ 中， $A^{'} \leftarrow ℤ_{p}^{m \times N}$ 是均匀随机的，故 ${〚 A^{T} \cdot S_{1} 〛}_{p} + A^{'}$ 亦是均匀随机的。故 $| \Pr [Y_{6} | η = 0] - \Pr [Y_{7} | η = 0] | = negl (λ)$ 。

$Game 7_{η = 1}$ 相比 $Game 6_{η = 1}$ 只有一处修改。即

挑战：挑战者随机选择 $C^{*} \leftarrow ℤ_{p}^{(2 m + 1) \times N}$ 。

在 $Game 6_{η = 1}$ 中 $(\begin{matrix} \hat{A} \\ B^{'} \\ \hat{a} \end{matrix}) \in ℤ_{p}^{(2 m + 1) \times N}$ 是均匀随机的，故 $(\begin{matrix} \hat{A} \\ B^{'} \\ \hat{a} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ 亦是均匀随机的。故

$| \Pr [Y_{6} | η = 1] - \Pr [Y_{7} | η = 1] | = negl (λ)$ 。

在 $Game 7_{η = 1}$ 中，挑战密文 $C^{*} \leftarrow ℤ_{p}^{(2 m + 1) \times N}$ 是均匀随机的，故 $| \Pr [Y_{7} | η = 1] - \frac{1}{2} | = 0$ 。

$Game 8_{η = 0}$ 只对 $Game 7_{η = 0}$ 进行了一处修改。即

挑战：挑战者随机选择 $C^{*} \leftarrow ℤ_{p}^{(2 m + 1) \times N}$ 。

在 $Game 7_{η = 0}$ 中 $(\begin{matrix} A^{″} \\ \tilde{B} \\ {\hat{b}}^{T} \end{matrix}) \in ℤ_{p}^{(2 m + 1) \times N}$ 是均匀随机的，故 $(\begin{matrix} A^{″} \\ \tilde{B} \\ {\hat{b}}^{T} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ 亦是均匀随机的。故

$| \Pr [Y_{7} | η = 0] - \Pr [Y_{8} | η = 0] | = negl (λ)$ 。

在 $Game 8_{η = 0}$ 中，挑战密文 $C^{*} \leftarrow ℤ_{p}^{(2 m + 1) \times N}$ 是均匀随机的，故 $| \Pr [Y_{8} | η = 0] - \frac{1}{2} | = 0$ 。

综上，我们有

$\begin{matrix} {Adv}_{A_{Ⅰ}} (λ) = | \Pr [Y_{0}] - \frac{1}{2} | = 2 | \Pr [Y_{2}] - \frac{1}{2} | \\ \leq | \Pr [Y_{2} | η = 0] - \frac{1}{2} | + | \Pr [Y_{2} | η = 1] - \frac{1}{2} | \\ = q_{rpk} \cdot | \Pr [Y_{3} | η = 0] - \frac{1}{2} | + q_{H} \cdot | \Pr [Y_{3} | η = 1] - \frac{1}{2} | \\ = 2 q_{rpk} \cdot {Adv}_{B} (λ) + 2 q_{eppk} \cdot {Adv}_{B} (λ) \\ = 2 (q_{rpk} + q_{eppk}) \cdot {Adv}_{B} ( λ ) \end{matrix}$

所提出的CLFHE在 $A_{Ⅱ}$ 攻击下是INDr-CPA安全的。即：

定理2 若攻击者 $A_{Ⅱ}$ 在INDr-CPA安全游戏中以优势 ${Adv}_{A_{Ⅱ}} (λ)$ 攻破所提出的CLFHE方案，且公钥询问次数为 $q_{rpk}$ 。则存在以优势 ${Adv}_{B} (λ)$ 解决 ${LWR}_{n, q, p}$ 问题的算法 $B$ 。其中

${Adv}_{A_{Ⅱ}} (λ) \leq 2 q_{rpk} \cdot {Adv}_{B} (λ) + negl (λ)$ .

证明：我们基于游戏序列进行证明。并定义 $Y_{i}$ 为攻击者 $A_{Ⅱ}$ 在Game i中赢得游戏这一事件。

Game 0它是攻击所提出的方案的 $A_{Ⅱ}$ 和挑战者之间的原始INDr-CPA游戏。在这个游戏中， $A_{Ⅱ}$ 的优势 ${Adv}_{A_{Ⅱ}} (λ) = | \Pr [Y_{0}] - \frac{1}{2} |$ 。

Game 1 这个游戏相比Game 0修改了以下三点：

① 初始化：挑战者选择 $i \leftarrow {1, \dots, q_{rpk}}$ 。

② 公钥询问预言机：如果id是第i次公钥询问，挑战者随机选择 $v_{i} \leftarrow ℤ_{q}^{n}$ ，令 $\bar{u} = \bar{A} \cdot d \mod q$ ，并返回 $p k_{i d} = (v_{i}, \bar{u})$ 给 $A_{Ⅱ}$ 。否则，挑战者计算 $(p k_{i d}, s k_{i d}) \leftarrow KeyGen (m p k, i d, d_{i d})$ ，并返回 $p k_{i d}$ 给 $A_{Ⅱ}$ 。

③ 挑战：如果 $i d^{*}$ 不是第i次询问的公钥预言机，则挑战者中止并输出 $⊥$ 。否则挑战者选择 $S_{1} \leftarrow ℤ_{q}^{n \times N}$ 、 $\bar{S} \leftarrow ℤ_{q}^{n \times N}$ 和 $S_{2} \leftarrow ℤ_{q}^{n \times N}$ ，令挑战密文

Game 1不中止输出 $⊥$ 的概率为 $\Pr [\neg abort] = \frac{1}{q_{rpk}}$ 。故 $| \Pr [Y_{1}] - \frac{1}{2} | = \frac{1}{q_{rpk}} \cdot | \Pr [Y_{0}] - \frac{1}{2} |$ 。

Game 2 这个游戏相比Game 1只修改了一处。即

挑战：挑战者随机选择 $\tilde{B} \leftarrow ℤ_{p}^{m \times N}$ 和 $\tilde{b} \leftarrow ℤ_{p}^{N}$ ，令挑战密文

假设 $A_{Ⅱ}$ 以不可忽略的优势区分Game 1和Game 2，则利用 $A_{Ⅱ}$ 可解决一个 ${LWR}_{n, q, p}$ 问题实例 $((F | f), (\begin{matrix} Z \\ z^{T} \end{matrix})) \in ℤ_{q}^{n \times (m + 1)} \times ℤ_{p}^{(m + 1) \times N}$ 。于是，有 $| \Pr [Y_{1}] - \Pr [Y_{2}] | = {Adv}_{B} (λ)$ 。

Game 3 相比Game 2只修改了一个地方。即

挑战：挑战者随机选择 $\hat{b} \leftarrow ℤ_{p}^{N}$ ，令挑战密文为

$C^{*} = (\begin{matrix} {〚 A^{T} \cdot S_{1} 〛}_{p} + {〚 {\bar{A}}^{T} \cdot \bar{S} 〛}_{p} \\ \tilde{B} \\ {\hat{b}}^{T} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ .

这里有 $| \Pr [Y_{2}] - \Pr [Y_{3}] | = negl (λ)$ 。

Game 4 相比Game 3只修改了一个地方。即

挑战：挑战者随机选择 $A^{'} \leftarrow ℤ_{p}^{m \times N}$ ，令挑战密文为

$C^{*} = (\begin{matrix} {〚 A^{T} \cdot S_{1} 〛}_{p} + A^{'} \\ \tilde{B} \\ {\hat{b}}^{T} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ .

假设 $A_{Ⅱ}$ 以不可忽略的优势区分Game 3和Game 4，则利用 $A_{Ⅱ}$ 可解决一个 ${LWR}_{n, q, p}$ 问题实例 $(F, Z) \in ℤ_{q}^{n \times m} \times ℤ_{p}^{m \times N}$ 。于是，有 $| \Pr [Y_{3}] - \Pr [Y_{4}] | = {Adv}_{B} (λ)$ 。

Game 5 相比Game 4只进行了一处修改。即

挑战：挑战者随机选择 $A^{″} \leftarrow ℤ_{p}^{m \times N}$ ，令挑战密文为

$C^{*} = (\begin{matrix} A^{″} \\ \tilde{B} \\ {\hat{b}}^{T} \end{matrix}) + μ \cdot G \in ℤ_{p}^{(2 m + 1) \times N}$ .

这里有 $| \Pr [Y_{4}] - \Pr [Y_{5}] | = negl (λ)$ 。

Game 6 只对Game 5进行了一处修改。即

挑战：挑战者随机选择 $C^{*} \leftarrow ℤ_{p}^{(2 m + 1) \times N}$ 。

这里，有 $| \Pr [Y_{5}] - \Pr [Y_{6}] | = negl (λ)$ ，且有 $| \Pr [Y_{6}] - \frac{1}{2} | = 0$ 。

综上，我们有

$\begin{matrix} {Adv}_{A_{Ⅱ}}^{CLFHE} (λ) = | \Pr [Y_{0}] - \frac{1}{2} | = q_{rpk} \cdot | \Pr [Y_{1}] - \frac{1}{2} | \\ \leq q_{rpk} \cdot | \Pr [Y_{2}] + {Adv}_{B} (λ) - \frac{1}{2} | + negl (λ) \\ \leq q_{rpk} \cdot | \Pr [Y_{4}] + 2 {Adv}_{B} (λ) - \frac{1}{2} | + negl (λ) \\ \leq q_{rpk} \cdot | \Pr [Y_{6}] + 2 {Adv}_{B} (λ) - \frac{1}{2} | + negl (λ) \\ \leq 2 q_{rpk} \cdot {Adv}_{B} (λ) + negl ( λ ) \end{matrix}$

4.3. 参数设置

所提出的CLFHE方案应满足以下条件：

$m \geq 6 n \log q$

$σ_{1} \geq ‖ \tilde{T} ‖ \cdot ω (\sqrt{\log m})$ ，其中 $‖ \tilde{T} ‖ \leq O (\sqrt{n \log q})$

$σ_{2} \geq ω (\sqrt{\log m})$

$p > 8 {(N + 1)}^{L} Δ$ ，其中 $Δ = \frac{3}{2} + m \sqrt{m} \cdot (σ_{1} + \frac{1}{2} \cdot σ_{2})$

$q \geq p \cdot B \cdot n^{ω ( 1 )}$

$q \leq 2^{n}$ ， $q / B \geq 2^{n^{ε}}$ ，其中 $ε > 0$ 。

于是，所提出的CLFHE方案的系统参数可设置如下：

$n = n (λ, L)$

$m = 6 n^{1 + ξ} = O (n \cdot L \cdot \log n)$

$σ_{1} = \sqrt{m} \cdot ω (\sqrt{\log n})$

$σ_{2} = ω (\sqrt{\log n})$

$p = 2^{O (L \cdot \log n)}$

$q = B \cdot 2^{O (L \cdot \log n)}$ ,

其中 $ξ$ 使得 $n^{ξ} > ⌈ \log q ⌉ = O (L \cdot \log n)$ 。

5. 结束语

本文提出了第一个基于LWR问题的CLFHE方案，并在随机预言机模型下证明了它是INDr-CPA安全的。LWR问题是LWE问题的变形。它省掉了LWE问题中的高斯噪声抽样。高斯噪声抽样计算开销非常大。因此本文所提出的CLFHE方案比现有基于LWE问题的CLFHE方案 [6] [7] 具有更高的计算效率。我们接下来会致力于基于所提出的CLFHE方案构造相关安全协议解决物联网、云计算和区块链等面临的安全问题。

参考文献

参考文献

[1]	Gentry, C. (2009) Fully Homomorphic Encryption Using Ideal Lattices. Proceedings of the 41st Annual ACM Symposi-um on Theory of Computing, Bethesda, 31 May 2009-2 June 2009, 169-178. https://doi.org/10.1145/1536414.1536440
[2]	Gentry, C., Sahai, A. and Waters, B. (2013) Homomorphic Encryp-tion from Learning with Errors: Conceptually-Simpler, Asymptotically-Faster, Attribute-Based. In: Canetti, R., Garay, J.A., Eds., Advances in Cryptology—CRYPTO 2013. Lecture Notes in Computer Science, vol. 8042, Springer, Berlin, 75-92. https://doi.org/10.1007/978-3-642-40041-4_5
[3]	Regev, O. (2009) On Lattices, Learning with Errors, Random Linear Codes, and Cryptography. Journal of the ACM, 56, 1-40. https://doi.org/10.1145/1568318.1568324
[4]	Al-Riyami, S.S. and Paterson, K.G. (2003) Certificateless Public Key Cryptography. In: Laih, C.S., Ed., Advances in Cryptology—ASIACRYPT 2003. Lecture Notes in Computer Science, vol. 2894, Springer, Berlin, 452-473. https://doi.org/10.1007/978-3-540-40061-5_29
[5]	Boneh, D. and Franklin, M. (2001) Identity-Based Encryption from the Weil Pairing. In: Kilian, J., Ed., Advances in Cryptology—CRYPTO 2001. Lecture Notes in Computer Science, vol. 2139, Springer, Berlin, 213-229. https://doi.org/10.1007/3-540-44647-8_13
[6]	Chen, H., Hu, Y. and Lian, Z. (2017) Leveled Homomorphic En-cryption in Certificateless Cryptosystem. Chinese Journal of Electronics, 26, 1213-1220. https://doi.org/10.1049/cje.2017.07.008
[7]	Li, M. (2020) Leveled Certificateless Fully Homomorphic Encryption Schemes from Learning with Errors. IEEE Access, 8, 26749-26763. https://doi.org/10.1109/ACCESS.2020.2971342
[8]	Banerjee, A., Peikert, C. and Rosen, A. (2012) Pseudoran-dom Functions and Lattices. In: Pointcheval, D., Johansson, T., Eds., Advances in Cryptology—EUROCRYPT 2012. Lecture Notes in Computer Science, vol 7237, Springer, Berlin, 719-737. https://doi.org/10.1007/978-3-642-29011-4_42
[9]	李明祥, 刘照, 张明艳. 无高斯噪声的全同态加密方案[J]. 计算机应用, 2017, 37(12): 3430-3434.
[10]	Luo, F., Wang, F., Wang K., et al. (2018) LWR-Based Fully Homomor-phic Encryption, Revisited. Security and Communication Networks, 2018, 5967635. https://doi.org/10.1155/2018/5967635
[11]	Peikert, C. (2014) A Decade of Lattice Cryptography. Foundations and Trends in Theoretical Computer Science, 10, 283-424. http://dx.doi.org/10.1561/0400000074
[12]	Alwen, J. and Peikert, C. (2011) Generating Shorter Bases for Hard Random Lattices. Theory of Computing Systems, 48, 535-553. https://doi.org/10.1007/s00224-010-9278-3
[13]	Gentry, C., Peikert, C. and Vaikuntanathan, V. (2008) Trapdoors for Hard Lattices and New Cryptographic Constructions. Proceedings of the 40th Annual ACM Symposium on Theory of Computing, Victoria, 17-20 May 2008, 197-206. https://doi.org/10.1145/1374376.1374407
[14]	Micciancio, D. and Regev, O. (2007) Worst-Case to Average-Case Reductions Based on Gaussian Measures. SIAM Journal on Compu-ting, 37, 267-302. https://doi.org/10.1137/S00975397054473
[15]	Micciancio, D. and Peikert, C. (2012) Trapdoors for Lattices: Simpler, Tighter, Faster, Smaller. In: Pointcheval, D., Johansson, T., Eds., Advances in Cryptolo-gy—EUROCRYPT 2012. Lecture Notes in Computer Science, vol. 7237, Springer, Berlin, 700-718. https://doi.org/10.1007/978-3-642-29011-4_41

为你推荐

友情链接