[发明专利]密文长度固定的多密钥全同态加密方法

权利要求书

1.密文长度固定的多密钥全同态加密方法，其特征在于，

所述加密方法是半动态定长MKFHE方法，其具体过程是：

·HDMK.Setup(1^λ):FHE.Setup(1^λ)→params

·HDMK.KeyGen(params):FHE.KeyGen(params,B)→pk_i,sk_i

当所有用户都完成HDMK.KeyGen(params)程序之后，运行计算密钥生成算法；如果方案中有用户更新，则重新运行密钥生成算法；

·HDMK.EvalKeyGen(params,sk_i,{pk₁,...,pk_N})

·HDMK.Enc(pk,μ):FHE.Enc(pk,μ)→C；

·HDMK.Dec((sk₁,...,sk_N),C):构造联合解密协议，协议分为部分解密和最终解密两个部分；

1)HDMK.PartDec(C,i,sk_i)：用户i利用自身私钥sk_i＝(-s_i,1)，运行部分解密协议，保留密文的公用部分不进行运算；

2)HDMK.FinDec(p₁′,...,p′_N)：解密者得到所有用户的中间变量后，最终解密

·通用模式使用自举过程实现同态运算；

1)该过程实现密文公钥的刷新，其中是C_i对应的自举密钥，如果C_i是单个用户的密文，则其自举密钥是对应的如果C_i是累加公钥的密文，则其自举密钥是对应的

2)该过程实现联合密文同态计算，其中是联合密文的计算密钥；

用户集合更新时，需要所有用户更新计算密钥和自举密钥。

2.根据权利要求1所述的密文长度固定的多密钥全同态加密方法，其特征在于，

对于TFHE型定长MKFHE，其具体的加密方法是：

·HDTMK.Setup(1^λ)→pp＝(pp^LWE,pp^GSW)：

LWE.Setup(1^λ)→pp^LWE＝(η,χ,α,B_ks,d_ks,B)；

GSW.Setup(1^λ)→pp^GSW＝(N,φ,α,B,d,y)，其中，B,y随机产生的公用变量；

·HDTMK.KeyGen(pp)→(pk_i,sk_i,pk_BK,i,sk_BK,i)：

LWE.KeyGen(pp)→{pk_i＝A_i,sk_i＝s_i}；

RGSW.KeyGen(pp)→{pk_BK,i＝Z_i,sk_BK,i＝z_i}；

当所有用户都完成HDTMK.KeyGen(params)程序之后，运行累加计算密钥生成算法；如果方案中有用户更新，则重新运行密钥生成算法；

·

1)公钥累加：给定k个用户的公钥b₁,...,b_k生成累加公钥

累加自举公钥：给定k个用户的自举公钥d₁,...,d_k生成累加自举公钥

2)用户累加自举密钥：输入累加自举公钥LWE密文的私钥s_i∈Zⁿ，输出单用户的累加自举密钥其中i∈[k]，j∈[n]；

3)用户累加计算密钥：输入累加公钥RGSW密文的私钥z_i，令t_i＝:(z_i,0,-z_i,w-1,...,-z_i,1)∈B^N，生成单用户的累加转化密钥其中i∈[k]；

·HDTMK.Enc(pk,μ)：输入明文μ，用户公钥pk，运行LWE.Enc(pk,μ)→ct＝(b,a)∈Tⁿ⁺¹；

·HDMK.Dec((sk₁,...,sk_k),ct)：输入密文ct＝(b,a)∈Tⁿ⁺¹，输入密钥(sk₁,...,sk_k)，返回使得最小的明文比特μ′∈{0,1}；

·输入密文ct＝(b′,a′)∈Tⁿ⁺¹和自举密钥集合转化密钥集合使用如下自举过程实现同态运算：

1)云端通过生成累加密文的累加转化密钥云端通过生成累加密文的累加自举密钥其中j∈[n]，HomAddk(,)是k个l位TGSW密文的同态加法算法；

对于固定的用户集，云端只需要计算一次和之后将其作为公共变量给出；

2)密文刷新：给定密文c＝(b′,a′)∈Tⁿ⁺¹和对应的计算密钥或运行如下的同态累加算法：

2-1.输入密文c＝(b′,a′)∈Tⁿ⁺¹，返回和以及对应的自举密钥

2-2.初始化RLWE密文其中

令对于j＝1到n，运行：

(1)

(2)

...

其中选择最大电路CMux(C,d₁,d₀)沿用CGGI16的表达，输入一个控制TGSW密文C和两输入的RLWE密文数据d₁,d₀，输出RLWE的密文C*(d₁-d₀)+d₀，*是GSW密文和BGV密文的混合同态乘法运算；

2-3.输出

3)密钥转化过程：最后一步将ACC转化为LWE密文，并运行密钥转化算法；

3-1.输入密文ACC＝(c₀,c₁)∈T²，令b″是多项式c₀中的常数项，a″是由多项式c₁的系数组成的向量；输出LWE密文

3-2.令运行密钥转化算法，输出密文

·HDTMK.NAND(c₁,c₂)：利用自举过程构造同态与非门NAND电路，HDTMK.NAND(c₁,c₂)＝HDTMK.Boot((0,5/8)-c₁-c₂)。

3.根据权利要求1所述的密文长度固定的多密钥全同态加密方法，其特征在于，

对于CKKS型定长MKFHE，其具体的加密方法是：

·HDCMK.Setup(1^λ)：输入安全参数λ，选择一个为2的幂次的整数N，令χ_key,χ_err,χ_enc分别为私钥、噪声和加密过程使用的R＝Z[X]/(X^N+1)上的分布；选择素数P，p和层数L，令密文模数q_l＝p^l，其中1≤l≤L，随机选择输出公共参数pp＝(N,χ_key,χ_err,χ_enc,L,P,q_l,a,a′)；

·HDCMK.KeyGen(pp)：输入公共参数，选取s←χ_key，e←χ_err，输出用户公钥pk为选取e′←χ_err，输出用户计算公钥pk_evk为

当所有用户都完成HDCMK.KeyGen(pp)程序之后，运行累加计算密钥生成算法；如果方案中有用户更新，则重新运行密钥生成算法；

·

1)累加公钥：给定k个用户的公钥b₁,...,b_k生成CKKS型累加公钥

2)累加计算公钥：给定k个用户的计算公钥b₁′,...,b_k′生成CKKS型累加公钥

3)累加计算密钥部件生成：

生成用户i的密文集合刷新密钥

生成用户i生成转化密钥的部件其中e_s←χ_err，输出

输出移位密钥共轭密钥

4)云端生成计算密钥

当系统的用户集合更新时，HDCMK系统不使用自举，而用累加的密钥转化过程实现密文对应的密钥集合的刷新，即将老集合的密文转化为新集合的密文；

·HDCMK.Enc(pk,m)：c＝CKKS.Enc_pk(m)；

·HDCMK.Dec((sk₁,...,sk_k),c)：输入l层的密文c，输出m′＝＜c,sk₁+...+sk_k＞(modq_l)；

当系统的用户集合更新时，HDCMK系统不使用自举，而用累加的密钥转化过程实现密文对应的密钥集合的刷新，即，将旧集合的密文转化为新集合的密文；

·输入密文c′＝(b′,a′)，构造对应的累加转化密钥输出

·同态运算：如果输入同态运算的密文对应的公钥不相同时，利用将其转化到相同公钥，之后再进行同态运算；

-HDCMK.Add(ct,ct′)：CKKS.Add(ct,ct′)

-HDCMK.CMult(a,ct)：CKKS.CMult(a,ct)

-

-