2501.03249
Model: gemini-2.0-flash
## 摘要
隨著量子計算技術的日益成熟,具備抵抗量子計算攻擊的後量子密碼學方法也成為 發展重點方向之一。有鑑於現行的同態加密方法包含 RSA 、 ElGamal 、 Paillier 等密碼學 方法可能存在被量子計算攻破的風險,所以本研究設計基於晶格後量子密碼學同態加密, 通過基於晶格密碼學方法建構抵抗量子計算攻擊的能力,同時又能提供同態加密計算應 用。本研究提供數學理論證明和計算實例說明,以及探討基於晶格後量子密碼學同態加 密的安全性分析,後續可以提供給同態加密應用 ( 例如:聯邦學習 ) 開發者參考。
關鍵詞:後量子密碼學、基於晶格密碼學、同態加密
## Homomorphic Encryption Based on Lattice Post-Quantum Cryptography
## Abstract
As quantum computing technology continues to advance, post-quantum cryptographic methods capable of resisting quantum attacks have emerged as a critical area of focus. Given the potential vulnerability of existing homomorphic encryption methods, such as RSA, ElGamal, and Paillier, to quantum computing attacks, this study proposes a lattice-based postquantum homomorphic encryption scheme. The approach leverages lattice cryptography to build resilience against quantum threats while enabling practical homomorphic encryption applications. This research provides mathematical proofs and computational examples, alongside a security analysis of the lattice-based post-quantum homomorphic encryption scheme. The findings are intended to serve as a reference for developers of homomorphic encryption applications, such as federated learning systems.
Keywords: Post-Quantum Cryptography, Lattice-Based Cryptography, Homomorphic Encryption
* Corresponding author E-mail: chchen.scholar@gmail.com
## 基於晶格後量子密碼學同態加密
Abel C. H. Chen *
Information & Communications Security Laboratory, Chunghwa Telecom Laboratories
## 1. 前言
近幾年量子計算技術快速發展,並且隨著量子計算硬體技術成熟和錯誤率的 降低,將可能搭配量子計算演算法來產生殺手級應用。例如, Google 在 2024 年 12 月於《 Nature 》期刊上發表論文 'Quantum Error Correction Below the Surface Code Threshold' 可以做到大幅降低量子計算錯誤率,並且實現指數級加速 [1] 。有 鑑於此,美國國家標準暨技術研究院 (National Institute of Standards and Technology, NIST) 近幾年陸續訂定後量子密碼學標準 [2]-[3] ,並且在 2024 年 8 月發佈基於模 晶格金鑰封裝機制標準 (Module-Lattice-Based Key-Encapsulation Mechanism Standard, ML-KEM)[4]-[5] 、基於模晶格數位簽章標準 (Module-Lattice-Based Digital Signature Standard, ML-DSA)[6]-[7] 、以及無狀態雜湊數位簽章標準 (Stateless Hash-Based Digital Signature Standard, SLH-DSA)[8]-[9] 。並且,美國國 家標準暨技術研究院在 2024 年 12 月的 ' Transition to Post-Quantum Cryptography Standards' 草案中呼籲大家在 2030 年之前開始汰換 RSA 密碼學和橢圓曲線密碼 學等,遷移到後量子密碼學,以建構抵抗計算攻擊的能力,避免重要資料被竊取 [10] 。
有鑑於此,本研究在晶格密碼學的基礎上,設計基於晶格後量子密碼學同態 加密,通過晶格密碼學的特性,避免被量子計算攻破。同時,本研究設計的基於 晶格後量子密碼學同態加密可以提供加法同態加密,未來將可以被應用於聯邦學 習等場域。
本論文總共包含四個章節。第 2 節主要基於晶格後量子密碼學和同態加密的 基本構想。第 3 節介紹本研究設計的基於晶格後量子密碼學同態加密,並且提供 數學理論證明和安全性分析。最後,第 4 節總結本研究貢獻。
## 2. 文獻探討
在第 2.1 節將先介紹基於晶格後量子密碼學,解釋後量子密碼學的金鑰產製、 加密、解密之原理,並且輔以計算實例說明。在第 2.2 節將定義和介紹同態加密 方法,並以基於 RSA 的同態加密方法為例說明。
## 2.1 基於晶格後量子密碼學
本節將先說明基於晶格後量子密碼學的演算法設計及其原理,再舉計算實例 展示。
## 2.1.1 演算法設計
本研究主要採用 NTRU 加密演算法 [11]-[12] 作為基於晶格後量子密碼學,以 下說明 NTRU 加密演算法。
首先,將先產製整數 p 和整數 q ,並且最大公因數為 1 ( 即 GCD ( p , q ) = 1) , 以及多項式的階 N ,然後產製 3 個多項式環,分別為 𝑅 、 𝑅𝑝 、 𝑅𝑞 ,如公式 (1) 、公 式 (2) 、公式 (3) 所示。其中,整數 p 將影響明文編碼的值域,整數 q 將影響密文編 碼的值域,而多項式的階 N 將影響可以放置多少個元素。並且,在公式 (1) 、公式 (2) 、公式 (3) 中的除號視為模數計算。以公式 (1) 為例,即 𝑅 為多項式 ℤ[𝑥] 模多項式 𝑥 𝑁 -1 的計算結果, 𝑎𝑖 為 𝑥 𝑖 的係數值。
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
在產製金鑰對的過程中,將先產製一個隨機多項式 𝑓(𝑥) ( 如公式 (4) 所示 ) ,再 基於多項式 𝑓(𝑥) 產製多項式 𝐹 𝑝 (𝑥) 和多項式 𝐹 𝑞 (𝑥) ,需符合公式 (5) 和 (6) 定義,並且 把 {𝑓(𝑥), 𝐹 𝑝 (𝑥), 𝐹 𝑞 (𝑥)} 作為私鑰;其中, 𝑓(𝑥) 的編碼是 𝑎𝑓,0 ||𝑎 𝑓,1 || … ||𝑎 𝑓,𝑁-1 , 𝐹 𝑝 (𝑥) 的編碼是 𝑎𝐹𝑝,0 ||𝑎 𝐹𝑝,1 || … ||𝑎 𝐹𝑝,𝑁-1 , 𝐹 𝑞 (𝑥) 的編碼是 𝑎𝐹𝑞,0 ||𝑎 𝐹𝑞,1 || … ||𝑎 𝐹𝑞,𝑁-1 。為了 產製公鑰,將先產製另一個隨機多項式 𝑔(𝑥) ( 如公式 (7) 所示 ) ,並且與多項式 𝐹 𝑞 (𝑥) 相乘後得到多項式作為公鑰 ℎ(𝑥) , ℎ(𝑥) 的編碼是 𝑎ℎ,0 ||𝑎 ℎ,1 || … ||𝑎 ℎ,𝑁-1 ,如公式 (8) 所示。
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
在加密的過程中,為了達到選擇明文攻擊下的不可區分性 (INDistinguishability under Chosen Plaintext Attack, IND-CPA) 或選擇密文攻擊下的 不可區分性 (INDistinguishability under Chosen Ciphertext Attack, IND-CCA) 的安全 性 [13] ,在每次加密時都會加入隨機數,讓同一公鑰對同一明文加密後,每次的 密文可以不同。因此,首先將產製隨機多項式 𝑟(𝑥) ( 如公式 (9) 所示 ) ,然後把明文 解碼為多項式的係數值 {𝑎𝑚,0, 𝑎 𝑚,1 , … , 𝑎𝑚,𝑁-1} ,產製待加密訊息多項式 𝑚(𝑥) ( 如 公式 (10) 所示 ) 。透過公式 (11) ,可以運用公鑰 ℎ(𝑥) 對待加密訊息多項式 𝑚(𝑥) 進行 加密,產製多項式 𝑐(𝑥) 作為密文,密文可以編碼為 𝑎𝑐,0 ||𝑎 𝑐,1 || … ||𝑎 𝑐,𝑁-1 。後續如果 有需要儲存和傳送時,可以傳送多項式 𝑐(𝑥) 的係數值。其中,由於每次產製的隨 機多項式 𝑟(𝑥) 不同,所以可以提升密文的安全性。
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
𝑐(𝑥)( in 𝑅𝑞) = 𝑝 × ℎ(𝑥) × 𝑟(𝑥) + 𝑚(𝑥) ( mod 𝑞)( mod 𝑥 𝑁 - 1),
<!-- formula-not-decoded -->
在解密的過程中,為了消除隨機多項式 𝑟(𝑥) 和保留待加密訊息多項式 𝑚(𝑥) , 所以通過公式 (12) 、公式 (13) 、公式 (14) 計算。其中,公式 (12) 主要將密文 𝑐(𝑥) 和私 鑰 𝑓(𝑥) 相乘後模 q ,然後公式 (13) 可以把公式 (12) 結果 𝑡(𝑥) 轉換到 𝑅 環和 𝑅𝑝 環的多 項式 𝜏(𝑥) ,然後公式 (14) 可以把公式 (13) 結果 𝜏(𝑥) 和私鑰 𝐹 𝑝 (𝑥) 相乘後模 p ,即可還 原得到待加密訊息多項式 𝑚(𝑥) 。詳細數學理論證明如公式 (12) 、公式 (13) 、公式 (14) 所示。
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
## 2.1.2 計算實例
本節提供 NTRU 加密演算法實例說明;其中,相關參數值包含如下: 𝑁 = 7 、 𝑝 = 3 、 𝑞 = 128 ,值得注意的是這只是計算示意,在真實應用要採用更大的參數 值來提升安全性和明文長度。
為了產製私鑰,根據公式 (4) 定義隨機產製多項式 𝑓(𝑥) ( 如公式 (15) 所示 ) ,並 且根據公式 (15) 定義隨機產製多項式 𝐹 𝑝 (𝑥) 和多項式 𝐹 𝑞 (𝑥) ,需符合公式 (5) 和 (6) 定 義,如公式 (16) 和公式 (17) 所示。其中, 𝑓(𝑥) 的編碼是 1|| - 1||1||0||0|| - 1||1 , 𝐹 𝑝 (𝑥) 的編碼是 0||2||0||0||1||0||1 , 𝐹 𝑞 (𝑥) 的編碼是 87||58||81||54||36||67||2 ,並且私鑰 的編碼是 𝑓(𝑥)||𝐹 𝑝 (𝑥)||𝐹 𝑞 (𝑥) 。
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
𝐹 𝑞 (𝑥)( in 𝑅𝑞 ) ≡ 2𝑥 6 +67𝑥 5 + 36𝑥 4 +54𝑥 3 + 81𝑥 2 +58𝑥 + 87.
<!-- formula-not-decoded -->
為了產製公鑰,產製另一個隨機多項式 𝑔(𝑥) ( 如公式 (18) 所示 ) ,並且與多項 式 𝐹 𝑞 (𝑥) 相 乘 後 得 到 多 項 式 作 為 公 鑰 ℎ(𝑥) , ℎ(𝑥) 的 編 碼 是 12||94||20||56||123||124||83 ,如公式 (19) 所示。
<!-- formula-not-decoded -->
ℎ(𝑥)( in 𝑅𝑞 )
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
假設有明文編碼為 1||1||0||0||0||0||0 ,並且解碼為待加密訊息多項式 ( 如公式 (20) 所示 ) 。在加密的過程中,產製隨機多項式 𝑟(𝑥) ( 如公式 (21) 所示 ) 保證每次加密結果不同。通過公式 (11) 計算,可以得到密文 𝑐(𝑥) ,如公式 (22) 並且密文 𝑐(𝑥) 可以編碼為 98||18||58||119||126||82||13 。
𝑚(𝑥) ,以 所示,
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
在解密的過程中,首先根據公式 (12) 把密文 𝑐(𝑥) 乘上私鑰 𝑓(𝑥) 相乘後模 q ,如 公式 (23) 所示。再通過公式 (24) 把多項式轉換到環,以及運用公式 (14) 把多項式 𝜏(𝑥) 乘上私鑰 𝐹 𝑝 (𝑥) 相乘後模 p ,即可還原得到待加密訊息多項式 𝑚(𝑥) ,如公式 (25) 所 示。
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
## 2.2 同態加密方法
本節將先定義和說明同態加密方法的演算法設計,再舉計算實例展示。由於 同態加密可分為全同態加密 (Fully Homomorphic Encryption, FHE) 和半同態加密 (Partial Homomorphic Encryption, PHT) ,而全同態加密可同時支援加法同態加密 (Additive Homomorphic Encryption, AHE) 和乘法同態加密 (Multiplicatively
Homomorphic Encryption, MHE) ,但半同態加密則只能支援加法同態加密或乘法 同態加密之一 [14]-[15] 。為簡化說明,本節主要介紹基於 RSA 乘法同態加密方法。
## 2.2.1 定義和演算法設計
首先定義乘法同態加密方法,令加密函數為 𝑒(𝑎𝑖 ) ,解密函數為 𝑑(𝑐𝑖 ) ,分別如 公式 (26) 和公式 (27) 所示。其中, 𝑎𝑖 為明文, 𝑐𝑖 為密文。在乘法同態加密方法中, 加密函數和解密函數同時符合公式 (28) 和公式 (29) 的定義。表示密文相乘後的結果 ∏ 𝑐𝑖 𝑛 𝑖=1 解密後可以得到明文相乘後的結果 ∏ 𝑎𝑖 𝑛 𝑖=1 ;如此可以做到在密文時做計算, 再把密文計算後的結果做一次解密即可得到結果。
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
本節採用基於 RSA 乘法同態加密方法來說明。在 RSA 密碼學中,假設私鑰 為 𝜁 ,公鑰為 𝜉 ,階為 𝜅 。因此,可以通過公式 (30) 對明文 𝑎𝑖 加密得到密文 𝑐𝑖 ,以及 通過公式 (31) 對密文 𝑐𝑖 解密得到明文 𝑎𝑖 ,並且符合 𝑎𝑖 𝜁𝜉 ( mod 𝜅) ≡ 𝑎𝑖 特性。 RSA 密 碼學的加密函數和解密函數可以符合公式 (28) 和公式 (29) 的特性, 𝑑(∏ 𝑐𝑖 𝑛 𝑖=1 ) ≡ ∏ 𝑎𝑖 𝑛 𝑖=1 ,如公式 (32) 和公式 (33) 所示。因此, RSA 密碼學可以用來建構基於 RSA 乘法同態加密方法。
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
## 2.2.2 計算實例
本節提供基於 RSA 乘法同態加密方法實例說明;其中,假設產製的金鑰值包 含如下: 𝜁 = 59 、 𝜉 = 3 、 𝜅 = 391 ,值得注意的是這只是計算示意,在真實應用 要採用更大的參數值來提升安全性。假設有兩個明文,分別為 𝑎1 = 11 、 𝑎2 = 13 , 並且明文加密後分別為密文 𝑐1 = 158 、 𝑐2 = 242 ,如公式 (34) 和公式 (35) 所示。通 過公式 (36) 可以計算密文相乘結果為 309 ,再通過公式 (37) 解密可以得到明文相乘 結果 143 。
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
## 3. 本研究設計的基於晶格後量子密碼學同態加密
本研究設計的基於晶格後量子密碼學同態加密主要適用於加法同態加密,所 以在第 3.1 節定義加法同態加密的特性。第 3.2 節描述基於晶格後量子密碼學同 態加密的設計理念,並且提供數學理論證明,以及在第 3.3 提供計算實例。最後, 第 3.4 節進行安全性討論。
## 3.1 加法同態加密定義
本節定義加法同態加密方法,令加密函數為 𝐸(𝑎𝑖 ) ,解密函數為 𝐷(𝑐𝑖 ) ,分別 如公式 (38) 和公式 (39) 所示。其中, 𝑎𝑖 為明文, 𝑐𝑖 為密文。在加法同態加密方法中, 加密函數和解密函數同時符合公式 (40) 和公式 (41) 的定義。表示密文加總後的結果 ∏ 𝑐𝑖 𝑛 𝑖=1 解密後可以得到明文加總後的結果 ∏ 𝑎𝑖 𝑛 𝑖=1 ;如此可以做到在密文時做計算, 再把密文計算後的結果做一次解密即可得到結果。
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
## 3.2 設計理念
本節將先闡述金鑰產製,再說明加密和解密計算,以及提供數學證明本方法 在加法同態加密的可行性。
## 3.2.1 金鑰產製
本研究設計的基於晶格後量子密碼學同態加密,主要建構在 NTRU 加密演算 法的基礎上,所以需先先產製整數 p 和整數 q ,並且最大公因數為 1 ( 即 GCD ( p , q ) = 1) ,以及多項式的階 N ,然後產製 3 個多項式環,分別為 𝑅 、 𝑅𝑝 、 𝑅𝑞 ,如公式 (1) 、公式 (2) 、公式 (3) 所示。之後,在 3 個多項式環的基礎上,產製私鑰 {𝑓(𝑥), 𝐹 𝑝 (𝑥), 𝐹 𝑞 (𝑥)} ,如公式 (4) 、公式 (5) 、公式 (6) 所示。最後,再根據私鑰 𝐹 𝑞 (𝑥) 和產製隨機多項式 𝑔(𝑥) 來產製公鑰 ℎ(𝑥) ,如公式 (8) 所示。
## 3.2.2 加密
本節中假設有 n 筆資料分別可以解碼為在 𝑅𝑝 環的多項式,如第 s 筆資料解碼 為 𝑚𝑠(𝑥) ,如公式 (42) 所示。加密過程中為達到 IND-CPA 或 IND-CCA 安全等級, 為每一筆資料各別產製不同的隨機多項式,如第 s 筆隨機多項式為 𝑟 𝑠 (𝑥) ,如公式
(43) 所示。之後再以公式 (44) 產製密文,如第 s 筆資料的密文為 𝑐𝑠 (𝑥) 。在加法同態 加密計算上,可對密文直接加總,所以 n 筆資料的密文加總結果為 𝐶(𝑥) ,如公式 (45) 所示。
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
## 3.2.3 解密
解密的計算上與公式 (12) 、公式 (13) 、公式 (14) 相同,主要乘上私鑰多項式 𝑓(𝑥) , 然後轉換到 𝑅𝑝 環,再乘上私鑰多項式 𝐹 𝑝 (𝑥) ,如公式 (46) 所示。
<!-- formula-not-decoded -->
## 3.2.4 理論證明
本節提出公式 (47) 證明 n 筆資料的密文加總結果 ∑ 𝐸(𝑚𝑠, 𝑟 𝑠 ) 𝑛 𝑠=1 ( in 𝑅𝑞 ) 解密後 可以得到 n 筆資料的明文加總結果 ∑ 𝑚𝑠(𝑥) 𝑛 𝑠=1 ( in 𝑅𝑝 ) 。其中,雖然每筆密文中有 隨機多項式為 𝑟 𝑠 (𝑥) 的影響,來達到 IND-CPA 或 IND-CCA 安全等級,但由於有乘 上整數 p ,所以轉換到 𝑅𝑝 環時,隨機多項式為 𝑟 𝑠 (𝑥) 影響將會被消除。因此,最終 僅會留下明文加總結果。
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
## 3.3 計算實例
本節提供基於晶格後量子密碼學同態加密實例說明;其中,為能對應和方便 讀者理解,採用的相關參數值與第 II 節一致,包含如下: 𝑁 = 7 、 𝑝 = 3 、 𝑞 = 128 , 值得注意的是這只是計算示意,在真實應用要採用更大的參數值來提升安全性和 明文長度。
## 3.3.1 金鑰產製
金鑰值假設與第 II 節一致, 𝑓(𝑥) 的編碼是 1|| - 1||1||0||0|| - 1||1 , 𝐹 𝑝 (𝑥) 的 編碼是 0||2||0||0||1||0||1 , 𝐹 𝑞 (𝑥) 的編碼是 87||58||81||54||36||67||2 ,並且私鑰的 編碼是 𝑓(𝑥)||𝐹 𝑝 (𝑥)||𝐹 𝑞 (𝑥) ,分別如公式 (48) 、公式 (49) 、公式 (50) 所示。並且公鑰 ℎ(𝑥) 的編碼是 12||94||20||56||123||124||83 ,如公式 (51) 所示。
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
𝐹 𝑞 (𝑥)( in 𝑅𝑞 )
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
ℎ(𝑥)( in 𝑅𝑞 ) ≡ 83𝑥 +124𝑥 5 + 123𝑥 4 +56𝑥 3 + 20𝑥 2 +94𝑥 + 12.
## 3.3.2 加密
本節假設有 2 筆資料,明文編碼分別為 1||1||0||0||0||0||0 、 0||0||1||0||0||0||0 , 並且解碼為待加密訊息多項式 𝑚1(𝑥) 和 𝑚2(𝑥) ( 如公式 (52) 和公式 (53) 所示 ) 。其中, 待加密訊息多項式 𝑚1(𝑥) 的加密計算如第 II 節所述,搭配隨機多項式 𝑟 1 (𝑥)( in 𝑅) ≡ 𝑥 5 +127𝑥 4 + 𝑥 3 +127 ,可得第 1 筆資料的密文 𝑐1 (𝑥) ,如公式 (54) 所示,並且可 以編碼為 98||18||58||119||126||82||13 。相同的,待加密訊息多項式 𝑚2(𝑥) 的加密 計算如第 II 節所述,搭配隨機多項式 𝑟 2 (𝑥)( in 𝑅) ≡ 127𝑥 6 +127𝑥 5 + 𝑥 3 +𝑥 1 ,可 得第 2 筆資料的密文 𝑐2 (𝑥) ,如公式 (55) 所示,並且可以編碼為 20||52||123||123||85||16||94 。
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
可以根據公式 (45) 執行加法同態加密,把公式 (54) 和公式 (55) ,計算結果 𝑐1 (𝑥) + 𝑐2 (𝑥) 如公式 (56) 所示。
<!-- formula-not-decoded -->
## 3.3.3 解密
在解密過程中,可以根據公式 (46) 執行解密計算,把公式 (56) 的計算結果 𝑐1 (𝑥) + 𝑐2 (𝑥) 代入公式 (46) ,可以得到計算結果 𝑚1(𝑥) + 𝑚2 (𝑥) ,如公式 (57) 所示。 通過結果可以觀察到由於隨機多項式 𝑟 1 (𝑥) 和 𝑟 2 (𝑥) 在加密過程中有乘上 p ,所以在 解密過程中將會被消除。因此,這個方法即使是同一把公鑰對相同訊息加密,每 次可以得到不同密文,而密文即使加總後仍可消除隨機多項式.
<!-- formula-not-decoded -->
<!-- formula-not-decoded -->
## 3.4
## 安全性討論
本節對基於晶格後量子密碼學同態加密的安全性進入深入的討論。
- (1). 由於 NTRU 加密演算法屬於一種基於晶格後量子密碼學方法,具備抵抗 量子計算攻擊的能力。因此,不論傳統電腦或量子電腦都無法從公鑰破
- 解出其私鑰,也無法從密文破解出明文。
- (2). 由於產製公鑰的過程中,私鑰多項式 𝐹 𝑞 (𝑥) 將會乘上隨機多項式 𝑔(𝑥) ,所 以即使是相同私鑰的情況下,也可以產製不同的公鑰,達到 IND-CPA 或 IND-CCA 安全等級。
- (3). 由於加密計算的過程中,公鑰多項式 ℎ(𝑥) 將會乘上隨機多項式 𝑟(𝑥) 再加 上明文多項式 𝑚(𝑥) ,所以即使是同一把公鑰對相同明文加密的情況下, 也可以產製不同的密文,達到 IND-CPA 或 IND-CCA 安全等級。
- (4). 由於每個密文都搭配不同的隨機多項式 𝑟(𝑥) 來產製,從而保障密文的安 全性。而在解密過程中會從 𝑅𝑞 環轉換到 𝑅𝑝 環,可以把的 p 倍數消除,所 以可以消除隨機多項式 𝑟(𝑥) 的影響。
## 4. 結論與未來研究
本研究的主要設計基於晶格後量子密碼學同態加密,通過數學理論證明基於 晶格後量子密碼學同態加密的可行性,並且通過計算實例演示計算過程和結果, 以及提供安全性的證明。可以提供一個具備抵抗量子計算攻擊的同態加密解決方 案。
在未來研究,可以考慮把現行的同態加密應用和服務改為後量子密碼學基礎, 以提升抵抗量子計算攻擊的能力。並且可以把此研究方法應用到聯邦學習 [16][17] ,以提升資料安全性,並且避免 ' 先竊取,後解密 (Harvest Now, Decrypt Later, HNDL)' 攻擊。
## 參考文獻
- [1] Google Quantum AI and Collaborators, "Quantum Error Correction Below the Surface Code Threshold," in Nature , 2024, doi: 10.1038/s41586-024-08449-y.
- [2] G. Alagic et al., "Status Report on the Third Round of the NIST Post-Quantum Cryptography Standardization Process," in National Institute of Standards and Technology Interagency or Internal Report , NIST IR 8413-upd1, pp. 1-93, 2022, doi: 10.6028/NIST.IR.8413-upd1.
- [3] A. C. H. Chen, "Post-Quantum Cryptography X.509 Certificate," Proceedings of 2024 IEEE International Conference on Smart Systems for applications in Electrical Sciences (ICSSES) , Tumakuru, India, 2024, pp. 1-6, doi: 10.1109/ICSSES62373.2024.10561274.
- [4] National Institute of Standards and Technology, "Module-Lattice-Based KeyEncapsulation Mechanism Standard," in F ederal Information Processing Standards Publication , FIPS 203, pp. 1-47, 2024, doi: 10.6028/NIST.FIPS.203.
- [5] H. Kim, H. Jung, A. Satriawan and H. Lee, "A Configurable ML-KEM/Kyber Key-Encapsulation Hardware Accelerator Architecture," in IEEE Transactions on Circuits and Systems II: Express Briefs , vol. 71, no. 11, pp. 4678-4682, Nov. 2024, doi: 10.1109/TCSII.2024.3442228.
- [6] National Institute of Standards and Technology, "Module-Lattice-Based Digital Signature Standard," in Federal Information Processing Standards Publication , FIPS 204, pp. 1-55, 2024, doi: 10.6028/NIST.FIPS.204.
- [7] S. Shen, H. Yang, W. Li and Y. Zhao, "cuML-DSA: Optimized Signing Procedure and Server-Oriented GPU Design for ML-DSA," in IEEE Transactions on Dependable and Secure Computing , early access, 2024, doi: 10.1109/TDSC.2024.3494835.
- [8] National Institute of Standards and Technology, "Stateless Hash-Based Digital Signature Standard," in Federal Information Processing Standards Publication , FIPS 205, pp. 1-51, 2024, doi: 10.6028/NIST.FIPS.205.
- [9] Z. Wang, X. Dong, H. Chen, Y. Kang and Q. Wang, "CUSPX: Efficient GPU Implementations of Post-Quantum Signature SPHINCS+," in IEEE Transactions on Computers , early access, 2024, doi: 10.1109/TC.2024.3457736.
- [10] D. Moody et al., " Transition to Post-Quantum Cryptography Standards," in National Institute of Standards and Technology Interagency or Internal Report , NIST IR 8547, pp. 1-22, 2024, doi: 10.6028/NIST.IR.8547.ipd.
- [11] H. -T. Wu, Y. -M. Cheung, Z. Tian, D. Liu, X. Luo and J. Hu, "Lossless Data Hiding in NTRU Cryptosystem by Polynomial Encoding and Modulation," in IEEE Transactions on Information Forensics and Security , vol. 19, pp. 37193732, 2024, doi: 10.1109/TIFS.2024.3362592.
- [12] J. Kim and J. H. Park, "NTRU+: Compact Construction of NTRU Using Simple Encoding Method," in IEEE Transactions on Information Forensics and Security , vol. 18, pp. 4760-4774, 2023, doi: 10.1109/TIFS.2023.3299172.
- [13] S. Xu and X. Li, "Chosen-Ciphertext Secure Key Encapsulation Mechanism in the Standard Model," in IEEE Access , vol. 9, pp. 13683-13690, 2021, doi: 10.1109/ACCESS.2021.3051047.
- [14] S. S. Reddy, S. Sinha and W. Zhang, "Design and Analysis of RSA and Paillier Homomorphic Cryptosystems Using PSO-Based Evolutionary Computation," in IEEE Transactions on Computers , vol. 72, no. 7, pp. 1886-1900, 1 July 2023, doi: 10.1109/TC.2023.3234213.
- [15] F. Tang et al., "Solving Small Exponential ECDLP in EC-Based Additively Homomorphic Encryption and Applications," in IEEE Transactions on Information Forensics and Security , vol. 18, pp. 3517-3530, 2023, doi: 10.1109/TIFS.2023.3283910.
- [16] C. Zhou and N. Ansari, "Securing Federated Learning Enabled NWDAF Architecture With Partial Homomorphic Encryption," in IEEE Networking Letters , vol. 5, no. 4, pp. 299-303, Dec. 2023, doi: 10.1109/LNET.2023.3294497.
- [17] E. A. Mantey et al., "Federated Learning Approach for Secured Medical Recommendation in Internet of Medical Things Using Homomorphic Encryption," in IEEE Journal of Biomedical and Health Informatics , vol. 28, no. 6, pp. 3329-3340, June 2024, doi: 10.1109/JBHI.2024.3350232.