全同態加密的發展與應用
1976 年,Diffie 和 Hellman[DH76] 開創了公鑰密碼學,在密碼學發展中具有劃時代的意義。 不久,Rivest 等人 [RSA78] 提出第一個公鑰加密 方案:RSA加密方案。Rivest等人[RAD78]隨 後就指出 RSA 加密系統具有乘法同態性質:給定兩個密文 C1=m18modN 和 C2=m28modN,通過計 算,c1·c2 modN=(m1m2)8 modN, 我們就可以在不掌握私鑰資訊的情況下“同態”計算出明文 m1·m2 的有效密文。根據此發現,他們提出了 “ 全同態加密”(Fully Homomorphic Encryption, FHE)的概念(當時稱為私密同態,Privacy Homomorphism)。
儘管上述 RSA 公鑰加密方案是乘法同態 的,但是由於它是一個確定性的公鑰加密方案, 因而不是語義安全的。第一個語義安全的公鑰加密方案由 Goldwaser 和 Micali[GM82] 提 出, 並 且當明文空間為 {0,1} 時,它是加法同態的。另 外,ElGamal[ElG84] 語義安全加密方案是乘法同 態的。上述方案具有一個共同點:它們都只能 支援同態計算一種運算,或者加法,或者乘法, 因此被稱為單同態加密。
近年來,雲端計算受到廣泛關注,它擁有強大的計算能力,可以幫助人們執行復雜的計算。 但是,在保護使用者資料私密性的前提下,如何利用雲端計算的強大計算能力是雲端計算從理論走向實用必須解決的關鍵問題。在此迫切需求下,全同態加密如約而至。從數學上說,同態就是 保持運算,即先運算再同態與先同態再運算所得到的結果是一樣的。而全同態加密是一類特 殊的加密方案,它允許使用者通過加密保護資料的私密性,同時允許伺服器(比如“雲”)對密文執行任意可計算的運算 ( 同時包含加法、乘法 ),得到的結果是對相應明文執行相應運算結果的某個有效密文。這個特性對保護資訊的安全具有重要意義:利用全同態加密可對多個密文進行同態計算之後再解密,不必對每個密文 解密而花費高昂的計算代價;利用全同態加密可以實現無金鑰方對密文的計算,既可以減少通訊代價,又可以轉移計算任務,由此可平衡各方的計算代價;利用全同態加密可以實現讓解密方只能獲知最後的結果,而無法獲得每個密文的訊息與同態計算方式,可以提高資訊的安全性。正是由於全同態加密技術在計算複雜性、通訊複雜性與安全性上的優勢,越來越多的研究力量投入到其理論和應用的探索中。
鑑於全同態加密的強大功能,一經提出便成為密碼界的公開問題,被譽為“密碼學聖盃”, 由 Gentry 在 2009 年摘取。之後,全同態加密迅速吸引了一批資深專家、學者對之進行廣泛、深 入的研究,並取得了一系列的成果。目前可以構造全同態加密的密碼學假設主要有:理想格上的 理想陪集問題(Ideal Coset Problem, ICP)、整數 上的近似最大公因子問題(Approximate Greatest Common Devisior, AGCD)、帶錯學習問題(Learning with Errors, LWE)等等。
下面我們先從構造技術的發展來分類介紹全同態加密的研究進展,然後給出一個簡單易懂的全同態加密例項,最後介紹全同態加密的典型應用。
全同態加密的發展現狀
第一代全同態加密
2009 年,Gentry [Gen09] 取得突破性進展,構造出第一個全同態加密方案(Fully Homomorphic Encryption, FHE) 摘取了“ 密碼學聖盃”。Gentry 設計了一個構造全同態加密方案的 “藍圖”:首先構造一個類同態加密( Somewhat Homomorphic Encryption, SHE)方案(這類方案能夠同態計算一定深度的電路);然後壓縮解密電路(需要稀疏子集和假設),使得它能夠同態計算它本身的增強的解密電路,得到一個可以“自舉”(Bootstrapping)的同態加密方案;最後有序執行自舉操作(需要迴圈安全假設),得到一個可以同態計算任意電路的 方案,即全同態加密。同時,基於理想格上的 ICP 假設,並結合稀疏子集和與迴圈安全假設, 他也開創性地構造了一個具體的方案。
隨後,van Dijk 等人 [vDGHV10] 提出了一個 整數上的全同態加密方案,這個設計完全模仿 了 Gentry 的藍圖。該方案的安全性基於 AGCD 假設和稀疏子集和假設。它的主要優點在於概 念簡單,易於理解,其缺點在於公鑰太大。
這些被稱為第一代全同態加密方案。
第二代全同態加密
隨著 Gentry 全同態加密方案的提出,人們開始嘗試基於 (R)LWE 構造全同態加密方案,並 結合理想格的代數結構、快速運算等優良性質 來進行方案的優化和實現,最終取得了巨大的成功。
2011 年,Brakerski 和 Vaikuntanathan [BV11a, BV11b] 基於 LWE 與 RLWE 分別提出了全同態 加密方案,其核心技術是再線性化和模數轉換。 這些新技術的出現使得我們無需 壓縮解密電路, 從而也就不需要稀疏子集和假設,這樣方案的 安全性完全基於 (R)LWE 的困難性。Brakerski 和 Vaikuntanathan [BV11b] 還提出了迴圈安全的類 同態加密方案。但是,他們的方案不能夠利用 自舉以達到全同態的目的,這是因為他們所得到的迴圈安全是相對於私鑰作為環元素表示的, 而不是自舉演算法所需要的位元表示。構造迴圈安全的可自舉的同態加密依然是一個公開問題。
Brakerski 等人 [BGV12] 指出:依次使用模數轉換能夠很好的控制噪音的增長。據此他們 設計了一個層次型的全同態加密方案:BGV。層次型全同態加密可以同態計算任意多項式深度的電路,從而在實際應用中無需啟用計算量過大的自舉。
研究人員對 BGV 方案做了大量的優化、實現 [GHS12a, GHS12b, GHS12c, AP13, HS14, HS15, HS18],對 BGV 方案的研究越來越深刻、完善, 效率也越來越高。其中,Halevi 和 Shoup [HS14] 先是針對 BGV 演算法開發了 Helib 庫,隨後實現 了 BGV 自舉演算法 [HS15]:在打包的情形下(對 約 300 位元訊息實施自舉),一次自舉演算法大約耗費 5 分鐘。分銷來看,1 個位元的自舉大約需要 1 秒。最近,Halevi 和 Shoup [HS18] 又改進 了該自舉技術,最快可提升速度大約 75 倍,使得自舉時間降到了大約 13ms。目前來看,(優 化後的)BGV 方案是最高效的全同態加密方案 之一。
2012 年,Brakerski [Bra12] 又提出了一個基 於 LWE 的無模數轉換的全同態加密方案,該方案不需要模數轉換管理噪音,也能夠很好地控制噪音的增長。
以上方案與第一代方案相比,無需壓縮解密電路,也就不需要稀疏子集和假設。這樣一來, 方案的效率與安全性都得到極大的提升,但在同態計算時仍然需要計算金鑰的輔助,故被稱為第二代全同態加密方案。
第三代全同態加密
上述所有方案無論是層次型的還是純的全同態加密,都需要“計算金鑰”(私鑰資訊的加密, 可以看做公鑰的一部分)的輔助才能達到全同態的目的。但是計算金鑰的尺寸一般來說都很大,是制約全同態加密效率的一大瓶頸。
2013 年,Gentry 等 人 [GSW13] 利 用“ 近 似 特徵向量”技術,設計了一個無需計算金鑰的全同態加密方案:GSW,標誌著第三代全同態加密方案的誕生。他們進而還設計了基於身份和基於屬性的全同態加密方案,掀起了全同態加密研究的一個新高潮。此後,研究人員在高效的自舉演算法、多金鑰全同態加密、CCA1 安全的全同態加密和電路私密的全同態加密等方面進行了大量的研究,得到了豐碩的成果。下面逐一介紹。
高效的自舉演算法
Brakerski 和 Vaikuntanathan [BV14] 在 GSW 的基礎上,設計了第一個安全性與普通的基於 LWE 的公鑰加密演算法的安全性相當的全同態加 密演算法,使得全同態加密的安全性進一步得到了保障。他們的主要技術就是利用 GSW 方案的噪音增長是非對稱的性質,結合 Barrington 定理構造了一個能夠很好控制噪音增長的自舉演算法。
Alperin-Sheriff 和 Peikert [AP14] 基於上述新 成果 [GSW13, BV14],提出了一個更簡單的對稱 的 GSW 方案,並用之設計了一個快速的自舉算 法:直接同態計算解密函式。該自舉方法直接、簡單、高效,向實際應用邁出了堅實的一步。 Hiromasa 等人 [HAO15] 提出了一個打包形式的 GSW 方案(要假定迴圈安全假設成立),並結 合 [AP14] 巧妙地設計了一個打包形式的自舉算 法,效率得到了一定的提高。
Ducas 和 Micciancio [DM15] 在 [AP14] 的基礎上,利用一個變形的基於 RLWE 的 GSW 方案 來直接同態計算解密函式,大大提升了效率, 他們的測試表明:1 秒內就可以完成一次自舉過 程。Chillotti 等 人 [CGGI16] 改進了 [DM15] 的方案,在自舉時,他們巧妙地用矩陣與向量間的 運算來代替矩陣與矩陣間的運算,有效地降低了自舉所花費的時間:0.1 秒內就可以完成一次自舉過程。隨後,Chillotti [CGGI17] 等人又改進這一自舉過程至 13ms。從公開發表的文獻來看, 這是目前最高效的自舉方案之一。
此外,Gama 等 人 [GINX16] 也 在 [AP14] 的 基礎上設計了一個更高效的自舉演算法:執行一 次自舉演算法累積的噪音的上界是線性的。這意 味著全同態加密的安全性與公鑰加密的安全性 是一致的(除了額外的迴圈安全要求)。
多金鑰全同態加密
López-Alt 等人 [LTV12] 最先開始研究多密 鑰全同態加密,他們基於 NTRU 構造了第一個 多金鑰全同態加密,並利用它設計了一個多方安全計算協議。但是,他們的方案用到了一個非標準的假設,並且近年來也遭受到比較嚴重的攻擊。所以設計安全的多金鑰全同態加密引起了人們的注意,並研究出多個基於 LWE 的多 金鑰全同態加密 [CM15, MW16, PS16, BP16]。其 中,[CM15, MW16] 的多金鑰全同態加密方案的密文會隨著不同的金鑰數的增長而膨脹,而且同 態計算後的密文不能繼續執行同態運算。Peikert 等人 [PS16] 利用全同態加密 [GSW13] 與全同態 簽名 [GVW15],一定程度上解決了上述兩個問題。 Brakerski 等人 [BP16] 提出了完全動態的多金鑰全同態加密,基本解決了上述兩個問題。但是,他們利用了笨重的自舉技術,並不實用。
CCA1 安全的全同態加密
CCA 安全對於加密來說已經成為標準的安 全性要求。遺憾的是 CCA 安全與同態性質是矛 盾的,不可能同時實現。但是,可以通過控制 同態計算來達到 CCA 安全。賴俊祚等人 [LDM+16] 提出了第一個 CCA2 安全的金鑰控制的全同態加 密方案。但是他們的方案利用了不可區分混淆器來驗證密文的合法性。
眾所周知,CCA1 安全與同態性質並無矛盾之處,它們可以共存。Canetti 等人 [CRRV17] 研 究了 CCA1 安全的全同態加密方案,給出了 3 個 構造:前兩個都是由多身份全同態加密轉化而來(我們也提出了這個轉化方式,遺憾的是未 能及時發表),並構造了兩個多身份全同態加密方案,第三個使用了 SNARKs,得到了一個緊 湊的方案。前兩個構造的缺點是密文不緊湊, 第三個構造建立在非標準的假設上。
電路私密的全同態加密
在全同態加密領域,有時不但要保護好數 據的私密性,而且要保護好電路的私密性。電路的私密性是指同態計算出來的密文不洩露電路的任何資訊,也就是說只有執行同態運算的人才知道電路,而其他人 ( 包括解密者 ) 都不能從同態計算出來的密文挖掘出電路的資訊。
Gentry[Gen09a] 在提出全同態加密的時候就已經考慮了這個問題,他建議在輸出同態計算 密文之前,給它增加一個大的噪音,完全掩蓋該密文所隱含的同態計算所積累的噪音。這一方法的缺點也是明顯的:這樣的密文所含的噪音太大,故不能再對它執行同態運算了。
Ducas 等人 [DS16] 多次呼叫自舉演算法來控制同態計算後的噪音分佈,使得同態計算後的密文 的噪音分佈與新鮮密文的噪音分佈是統計不可區分的。他們的方法可以運用到所有 ( 理想 ) 格全同態加密方案 [Gen09a, Gen09b, BGV12, Bra12, GSW13]。這個方法依賴於高效的自舉演算法,目前並不可行。
Bourse 等人 [BPMW16 ] 利用高斯噪音的特性,巧妙地部分解決了上述方案的缺點:在同態計算的每一步,只需要增加一個與當前噪音大小相當的高斯噪音,即可一定程度上保證電 路的私密性。這個技巧的優點是避免了複雜的自舉,缺點是洩露了電路的深度。
Chongchitmate 等人 [CO17] 研究了存在惡意使用者情形下的多金鑰全同態加密,提出了一個一般的轉換,可以把任意非電路私密的多金鑰全同態加密轉換為電路私密的多金鑰全同態加密。
在短短的 10 年內,國際上在全同態加密技術方面已經取得了豐碩的成果,全同態加密也從第一代發展到了第三代,其效率與安全性都得到了極大地提升。
全同態加密例項:GSW
2013 年,Gentry 等 人 [GSW13] 利 用“ 近 似 特徵向量”技術,設計了一個無需計算金鑰的層次型全同態加密方案:GSW,標誌著第三代全同態加密方案的誕生。在很多應用場景下, 層次型全同態加密的同態能力就足夠了。由於 GSW 無需計算金鑰參與同態計算,所以它是最簡單最易理解的全同態加密。這裡我們以 GSW 為例,說明全同態加密的設計思想。
全同態加密除了傳統公鑰加密擁有的金鑰生成、加密、解密等演算法外,還有一個同態計算演算法。為了清晰地敘述 GSW,我們增加了引數設定演算法 Setup,並把金鑰生成演算法分解為私鑰生成演算法和公鑰生成演算法。注意到任意電路可以分解為一系列的加法和乘法運算,因此我們還把同態計算演算法分解為同態加法和同態乘法。
為了詳細描述 GSW,我們需要兩個工具: 一個是 Regev [Reg05] 提出的 LWE,用來保證 GSW 的安全性,另一個是 Micciancio 和 Peikert [MP12] 提出的矩陣 G,用來支援同態計算。
·考慮有限域 Zq, 判定型 LWE 就是區分(B,sB+e)與(B,u),這裡B←Zq(n-1)m,s←Zqn-1,e ← Dm, u ← Zqm。Regev 證明了 LWE 是困難的。 目前人們普遍認為 LWE 甚至是抵抗量子攻擊的。
·設 G 是一個具有下面性質的公開矩陣: 對任意的 u,容易抽取滿足 G G-1(u) = u 的短向量 G-1(u)。
現在我們詳細描述 GSW 方案:
·Setup(1n,1L): 給定安全引數 n,最大同 態深度 L,選取公共引數 prms = (n,m,q,D), 令 K=∟ logq 」+1。
·SKGen(prms): 隨機選取 s ← Zqn-1, 令私鑰 sk = t = (-s||1) ∈ Zqn 。
·PKGen(sk): 隨機選取矩陣 B ← Zq(n-1)×m, 抽 取高斯錯誤e←Dm, 計算b = sB+e, 令公鑰pk = A = (B, b) ∈ Zqn×m。
·Enc(μ,pk): 給定明文訊息 μ ∈ {0,1}, 隨機選取矩陣R←Z2m×nk, 計算密文C= AR+μG ∈ Zqn×nk。
·Dec(sk, C): 令 w = (0,0,...,q/2)T, 先 計 算 tC- G-1(w) =μtw+e=μq/2 + e,再根據該數值的大小 判定出訊息是 0 還是 1。
注意:只要密文滿足形式 C = AR+μG(稱 為解密形式)且 R 是一個小矩陣,就可以成功 解密。
·Add: C1⊕C2 = C1 + C2 = B(R1+R2) + (μ1+μ2) G,可見同態加法滿足解密形式。
Multi: C1⊕ C2 = C1 -G-1(C2)
注意到 C1 G-1(C2) = (BR1 +μ1G) G-1(C2)
= BR1 G-1(C2) +μ1G G-1(C2)
= BR1 G-1(C2) +μ1 C2
= BR1 G-1(C2) +μ1(BR2 +μ2G )
=B(R1G-1(C2)+μ1R2)+μ1μ2G
可見,同態乘法也滿足解密形式。
方案說明:GSW 是一個層次型的全同態加密方案,可以設定最大深度 L=poly(n)。但是, 如果想同態計算任意的電路,還是需要利用自舉來增強同態計算能力。必須注意的是 GSW 盡 管是最簡單最易理解的全同態加密,但它並不 是最高效的。在 GSW 基礎上,除了可以設計具 有訪問控制功能的全同態加密 [GSW13, CM15], 它還可以用來加速自舉 [AP14, DM15, CGGI16, CGGI17],也許這才是 GSW 的最大意義之所在。
全同態加密的若干應用
該節我們舉例說明全同態加密的潛在應用。 我們將展示全同態加密在各個領域應用的廣泛 性,以此說明這項技術的重要性。
全同態加密在基因組學中的應用案例
隱私資料共享已經大大限制了基因組學的 發展。DNA 和 RNA 序列可以迅速而廉價產生, 因此大量的此類序列在不同的實驗室和醫療機 構累積。預計在二十年內,世界上大多數人將 擁有全基因組序列。這是一個在生物學,醫學 和人類歷史的研究中強大的工具,許多複雜疾 病或流行病學研究需要數千個樣本來探究致病模式,並設計治療方案。然而,人類 DNA 和 RNA 序列就像指紋一樣是生物識別識別符號,它 們可以傳達重大疾病風險或國民身份標誌等信 息起源,例如阿爾茨海默氏症等位基因的存在 或非親屬的檢測(親子鑑定)。一旦這些資料 被釋放後,他們永遠無法取回或撤回。因此, 廣泛分享這些隱私資料存在很大的挑戰。
目前用於保護基因組學資料的策略具有很高的開銷,更好的解決方法是將基因組資料共 享的一些用例對映到資料的簡單操作,這就非 常適合全同態加密。人類在 3B 鹼基對基因組序列中彼此幾乎相同,這意味著基因組資料可以 簡化為簡單的差異向量。基因組序列的改變, 變體或突變,可以從序列中挑選出來,這些基 因型和表型的共享在許多設定中很有用。
例如,醫生在乳腺癌患者或他們的家庭成 員中測試乳腺癌基因會經常檢測出具有未知意 義的新變種,但卻無法為他們的患者乳腺癌復 發或家族性風險提供建議。檢測到的變體實際 上是致病性的嗎?或者它是變異正常背景的一 部分?如果可以收集和分析這些來自世界上成 千上萬診所的基因型和表型資料,那麼更多未 知意義的變種或變異就可以被人們理解。因此, 差異基因統計可以統計出哪些變異會導致疾病, 哪些不會。
基因匹配是類似的,帶有遺傳疾病的兒童 可以通過尋找在任一親本中未發現的從頭變體 來檢測具有遺傳疾病的原因。通過與長輩的基 因比對,從而發現孩子疾病的根源,多個例項 就可以推斷出致病的基因。確定疾病的遺傳原 因有時可以導致治療得到很大改善,比如 Beery雙胞胎,他們在經歷了多年的嚴重身體殘疾之 後現在過著正常的生活。
這些例子都依賴於類似的可用全同態加密 來支援的基本資料操作。全同態加密的使用可 以允許將不同的基因組資料集上傳到雲中並用 於精確醫療,從而改善患者的健康和福祉。上 述案例是許多基因組應用的代表,可以從全同 態加密技術中受益。
全同態加密在國家安全 \ 關鍵基礎設施中的應用案例
假定智慧電網提供具有 n 個節點的網路, 其中每個節點產生大量資料(每個節點可以代 表單個發電機 / 建築物或單個微電網等)。大型 智慧電網 / 市政 / 政府監控每個節點產生的資料。 監控機構可以將監控和計算工作外包給公共雲, 並使用同態加密對來自網格上每個節點的狀態 資料進行計算。如果每個節點代表一個單獨的 微電網,那麼狀態測量可能包括髮電和使用, 物理裝置溫度,能量流等。如果節點代表不同 的智慧建築,那麼狀態測量可能包括當前的能 量使用(此類資訊可用於檢測建築系統中的異 常和入侵,例如,受惡意軟體感染的裝置的存 在)。由於此基礎設施的關鍵作用,保護資訊 不受影響並確保它不能被敵手干擾,對來自電 網的資料執行分析並用於控制電網和電力分配。 因此,為了允許雲端計算用於分析資料,必須確 保雲對潛在的攻擊具有敏感性。
全同態加密可以提供這樣的安全性。在這 個場景中,不斷地對網格中每個節點進行測量, 得到的測量值被同態加密後傳送到基於雲的平 臺進行計算和分析。能量使用和這些度量被髮 送到基於雲的平臺,在那裡計算它們,計算的 加密結果被髮送到決策中心進行分析。
智慧城市提供類似的重要場景。例如,如 果發生需要城市警察,消防部門和多輛救護車 的汽車事故,城市的基於雲的平臺可以快速加 載伺服器,向特定的城市部門傳送資訊請求(例 如,警察,消防,救護車,運輸等),從每個 部門分配物資,規劃從事故現場到合適醫院的 最佳路線。這些應用需要不同型別的計算,其 中一些使用全同態加密相對容易,例如計算描 述性統計。然而,計算的某些方面可能需要額 外的研究,例如實體統一和比較等。
全同態加密在健康保健中的應用案例
健康保健系統必須在保護敏感資訊不被洩 露的環境中執行,並且可用於日常操作。但是 洩露風險與可操作功能之間難以平衡:2015年, 健康保險公司 Anthem 洩露了 8000 萬條記錄, 該洩露事件的總損失成本預計將超過 10 億美元, 證明了這種平衡未得到正確維護。
儘管網路保險可以提供一些保護免受此類 損害,但是小型醫院和診所通常會發現此類保 險不可用。實際上,此類保險最低政策的價值 目標是收入至少為 20 億美元的公司,而且保費 很高:每 100 萬美元的保險費通常為 3500 美元。 據統計,缺乏實用保護措施導致 60%小型公司 受重大資料洩露影響後在 6 個月內倒閉。
全同態加密有助於解決風險 - 功能平衡問 題並且可在醫療保健行業的一些應用中實現信 息共享。計費和報告生成是兩個應用程式,在 這兩種應用場景下,分析師都需要訪問個人醫 療記錄來計算其內容的某些部分。通過允許這樣的計算而隱性顯示那些記錄,可以避免隱私 洩露,且不會破壞日常操作。全同態加密在醫 療環境中實現防止洩露的工作流程如下:分析 師查詢當前的醫療記錄,以收集諸如診所提供 的處方或醫療交流的統計資料等資訊。不受信 任的伺服器可能擁有加密的相關資料集,包括 受 HIPAA 保護或其他相關隱私法規和政策約束 的個人醫療記錄。全同態加密允許在保持加密 的同時對查詢進行計算,並向分析師返回加密 的查詢結果。然後,分析師在可信平臺上解密 查詢結果,得到相關報告或單據中包含的查詢 結果。由於資料在儲存和計算時都保持加密狀態,因此任何敵手都不會了解資料或此類查詢的結果。
可見,醫療保健組織(尤其是小型醫療機構) 的資料隱私和公用事業需求之間需要較好的權 衡,否則會對醫療保健組織和他們的病人都會 帶來災難性後果。全同態加密可為此類平衡提 供新穎的解決方案,並且成本是比較小的。
全同態加密在保護控制系統中的應用案例
控制系統或網路物理系統是一個控制訊號 操作物理系統的計算機系統,它由具有感測器 和執行器的裝置和控制器組成。控制器從感測 器接收感測資料,利用使用者輸入對其進行處理 以計算命令資料,併發送到按照命令操作裝置 的執行器。它涵蓋了許多系統,包括智慧汽車, 無人機和核電站等。有很多關於黑客控制系統 的報告:在 2010 年,鈾濃縮設施中的惡意計算 機蠕蟲進入計算機系統,並且改變了離心機的 轉速以破壞它們。2015 年,一名黑客展示瞭如 何遠端控制汽車的制動器和加速器。防止黑客 攻擊控制系統非常重要,但被認為是一個難題。 人們建議感測器在加密後向控制器傳送資料, 並在加密後向控制器傳送控制資料。它可以防 止黑客攻擊敏感資料和控制命令,但不能阻止 控制器內部的惡意軟體洩露資料。
最近,一些研究人員建議使用全同態加密來保護控制系統 [KLS+16],即利用 FHE 加密感測資料。在這種情況下,控制器不需要解密敏感資料後,再來對之處理,因此可以對控制器本身保密。此外,黑客對加密資料的任何操縱都可能被執行器的檢測系統檢測到。為了更加保證,可以考慮使用同態認證加密或者全同態籤密。對該問題的挑戰應該是實時執行,目前還沒有如此高效的全同態加密。
隨著全同態加密效率的提高,其應用也逐步提上議程,學術界與工業界聯合,於 2017 年啟動了同態加密的標準化工作與應用研究 [ACC+18a, ACC+18b],以此推動同態技術的快速 發展與工業應用。據專家預測,在 3-5 年內, 全同態加密就會在一些場合得到啟用。
為便於排版,已省去原文註釋
作者 >>>
王付群,杭州師範大學理學院 講師、衛士通摩石實驗室兼職專家。研究方向主要包括全同態加密與簽名、格密碼、公鑰密碼等。承擔多項國家自然科學基金面上、重點專案,參與一項國家重點研發計劃專案,主持一項浙江省自然科學基金專案等,發表密碼與資訊保安相關論文多篇。
(本文選自《資訊保安與通訊保密》2018年第十一期)
宣告:本文來自資訊保安與通訊保密雜誌社,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。