针对格上基于多身份的全同态加密方案(mIBFHE)中陷门函数低效的问题,提出一种改进的格上mIBFHE方案.首先利用MP12陷门函数结合对偶Regev算法构造出一种可转化的基于身份的加密(IBE)方案,并构造出一种支持标准模型下IBE方案转化的Mask系统;然后基于该系统利用特征向量思想将构造出的IBE方案转化为mIBFHE方案.对比分析结果表明,新方案较同类方案在陷门生成和原像采样阶段均有效率提升,且格的维数、密文和运算密文尺寸等明显缩短.在标准模型下,方案的安全性归约至格上容错学习问题的难解性,并包含严格的安全性证明.
Aiming at low efficiency of trapdoor function in multi-identity based fully homomorphic encryption (mIBFHE) schemes, a new mIBFHE scheme was proposed. Firstly, the MP12 trapdoor function with Dual-Regev algorithm was combined to construct a transformable identity-based encryption (IBE) scheme, and a Mask system which supports to transform IBE scheme presented to mIBFHE scheme under standard model. Then, based on presented Mask system and eigenvector idea, the IBE schemes was transformed to mIBFHE scheme. Comparing with the similar schemes, the efficiency of the scheme is improved in trapdoor generation and preimage sampling stage, and the lattice dimension, the size of ciphertext and evaluated ciphertext, etc. are obviously reduced. The security of the presented scheme strictly is reduced to the hardness of learning with errors problem in the standard model.
基于多身份的全同态加密方案,利用基于身份加密(IBE, identity-based encryption)方案无需公钥证书的特性来解决FHE(fully homomorphic encryption)方案公钥尺寸过大的问题,从而更有效地管理密钥,降低密钥和密文的尺寸,为加快全同态加密方案的应用具有重要意义. Gentry等[1]利用特征向量思想提出首个基于身份的全同态加密(IBFHE, identity-based fully homomorphic encryption)方案. Clear等[2]提出一种可自举的IBFHE方案,该方案的同态运算具有可任意次计算的优点.康元基等[3-4]分别利用任意次分圆环和NTRU格的特性提出高效的IBFHE方案,但二者均基于随机预言模型. Clear等[5]于Crypto'15上对Gentry等[1]的工作进行了改进,提出一种基于多身份的全同态加密(mIBFHE, multi-identity based fully homomorphic encryption)方案,但该方案是随机预言模型下可证明是安全的.以上方案的陷门函数过于低效,主要采用的是陷门生成算法[6-8],因其含有计算复杂的HNF和矩阵求逆操作而过于复杂,且所基于的Gentry等[8]的原像采样算法需执行高精度实数的正交化迭代运算,导致原像采样的复杂度过高,不具有实际应用性.
为使格上mIBFHE方案更具有实际应用性,必须解决陷门函数低效的问题.作者针对文献[5]所述的mIBFHE方案,提出一种改进方案.主要包括:1)利用Micciancio和Peikert[9]于Eurocrypt'12上提出的MP12陷门函数,结合文献[10]中的对偶Regev算法,构造出一种可转化的基于身份的加密方案;2)对文献[5]中转化机制中的Mask系统进行重构,提出一种支持标准模型下IBE转化的Mask系统;3)结合该系统和特征向量的思想将1)中提出的IBE方案成功转化为mIBFHE方案.
1 预备知识 1.1 格的相关定义定义1(格的定义) 设b1, b2, …, bm是
定义2(q元格) 设
$ \begin{array}{l} {\mathit{\Lambda }^ \bot }\left( \mathit{\boldsymbol{A}} \right) = \left\{ {\mathit{\boldsymbol{x}} \in {\mathbb{Z}^m}:\mathit{\boldsymbol{Ax}} = \mathit{\boldsymbol{0}}\bmod \;q} \right\}\\ \mathit{\Lambda }_\mathit{\boldsymbol{u}}^ \bot \left( \mathit{\boldsymbol{A}} \right) = \left\{ {\mathit{\boldsymbol{x}} \in {\mathbb{Z}^m}:\mathit{\boldsymbol{Ax}} = \mathit{\boldsymbol{u}}\bmod \;q} \right\} \end{array} $ | (1) |
即所有与矩阵A行向量模q内积为0的m维列向量构成格Λ⊥(A);格Λu⊥(A)是格Λ⊥(A)的陪集,满足Λu⊥(A)=Λ⊥(A)+t,其中t∈Λu⊥(A).
定义3(离散高斯分布) 对任意σ > 0,定义以向量c为中心,σ为参数的格Λ上的离散高斯分布为
$ {D_{\mathit{\Lambda }, \sigma, \mathit{\boldsymbol{c}}}}\left( \mathit{\boldsymbol{y}} \right) = \frac{{{\rho _{\sigma, \mathit{\boldsymbol{c}}}}\left( \mathit{\boldsymbol{y}} \right)}}{{{\rho _{\sigma, \mathit{\boldsymbol{c}}}}\left( \mathit{\Lambda } \right)}} = \frac{{{\rho _{\sigma, \mathit{\boldsymbol{c}}}}\left( \mathit{\boldsymbol{y}} \right)}}{{\sum\limits_{y \in \mathit{\Lambda }} {{\rho _{\sigma, \mathit{\boldsymbol{c}}}}\left( \mathit{\boldsymbol{y}} \right)} }} $ |
其中:y∈Λ,ρσ, c(y)=exp(-π‖y-c‖/σ2).
1.2 相关算法和困难问题本文方案构造所基于的MP12陷门生成算法和与之对应的MP12原像采样算法分别由引理1和引理2给出;对偶Regev算法的具体描述请参阅文献[10];方案的正确性证明基于引理1、引理2、定义4和定义5;方案的安全性证明基于引理1,引理3、引理4和定义4.
引理1[10] 设整数n≥1,q≥2和充分大的m=O(nlog q),m=m-nk,w=nk,k=
引理2[9] 与引理1参数相同,设
$ \Pr \left[{\mathit{\boldsymbol{e}} \leftarrow {\mathscr{D}_{\mathit{\Lambda }_u^ \bot \left( {{\mathit{\boldsymbol{A}}_{\boldsymbol{\rm{id}}}}} \right), \sigma \omega \left( {\sqrt {\log \;n} } \right)}}:\left\| \mathit{\boldsymbol{e}} \right\| > \sigma \sqrt m } \right] \le {\rm{negl}}\left( n \right) $ |
引理3[11] 与引理1参数相同,设
引理4[10] 与引理1参数相同,对于除了至多2q-n部分的
定义4[12] 容错学习问题.设n为正整数,q为素数,对任意
(
定义5[1] 设整数B < q,对于分布集合{χn}n∈
对文中符号进行说明,如表 1所示.
基于MP12陷门函数,结合对偶Regev算法完成格上高效IBE方案构造,其结合的理论依据是:Gentry等[10]于STOC'08上提出基于对偶Regev算法的格上IBE方案,并指出基于常规LWE加密算法构造格上IBE方案存在用户公钥指数稀疏的问题;Micciancio等[9]于Eurocrypt'12上提出MP12陷门函数,并指出其可提高以往格上IBE方案,但未给出具体方案及思路.
为方便mIBFHE方案的构造,对对偶Regev算法进行改造,结合MP12高效陷门函数完成方案构造.所构造的方案与同类方案相比,在不降低方案安全性的前提下,使格的维数、主私钥尺寸、身份公钥尺寸和密文尺寸均有效缩短(见4.1节效率分析).方案的基本参数包括:均匀随机矩阵
IBE-Setup(1n):输入安全参数n,选取一个均匀随机矩阵
IBE-Extract(MPK, MSK, id):输入主公钥MPK、主私钥MSK和用户身份向量id∈
IBE-Encrypt(MPK, id, μ):输入主公钥MPK、用户身份向量id∈
IBE-Decrypt(MPK, sid, c):输入主公钥MPK、用户密钥sid和待解密密文c.设δ←〈sid, c〉,如果
Clear等[5]提出的转化机制能将满足相应转化条件的IBE方案转化为mIBFHE,其转化机制要求IBE方案满足以下条件:
1) 密文和用户密钥均为向量形式,且用户密钥向量的第一个分量是1;
2) 若密文c是对消息比特"0"的加密,则c与用户密钥的点积〈sid, c〉相对模数q是可忽略不计的;
3) 在LWE难题的假设下,对消息比特"0"的加密密文与
4) 存在一个正确且安全的Mask系统.
不难看出,2.2节构造的IBE方案满足前3个条件.事实上,满足前3个条件可利用Gentry等[1]构造的转化机制将IBE方案成功转化为IBFHE方案.如果再满足条件4),则可以利用Clear等的转化机制将IBE转化为mIBFHE方案.
步骤4)中的Mask系统是构造mIBFHE方案的关键机制,下面对该机制的作用和功能进行举例解释:假设C1和C2分别是明文μ1和μ2利用身份id1和id2加密得到的密文,令vid1和vid2分别是身份id1和id2对应的同态解密密钥.则有解密算式C1vid1=μ1vid1+z1,C2vid2=μ2vid2+z2成立,其中z1, z2∈
$ \mathit{\boldsymbol{C'}}\begin{array}{*{20}{c}} {\left[\begin{array}{l} {\mathit{\boldsymbol{v}}_{{\boldsymbol{\rm{id}}_{\rm{1}}}}}\\ {\mathit{\boldsymbol{v}}_{{\boldsymbol{\rm{id}}_{\rm{1}}}}} \end{array} \right]} \end{array} = \mu '\left[\begin{array}{l} {\mathit{\boldsymbol{v}}_{{\boldsymbol{\rm{id}}_{\rm{1}}}}}\\ {\mathit{\boldsymbol{v}}_{{\boldsymbol{\rm{id}}_{\rm{1}}}}} \end{array} \right] + \mathit{\boldsymbol{z'}} $ | (2) |
其中
令
$ {\mathit{\boldsymbol{C'}}_1}\left[\begin{array}{l} {\mathit{\boldsymbol{v}}_{{\boldsymbol{\rm{id}}_1}}}\\ {\mathit{\boldsymbol{v}}_{{\boldsymbol{\rm{id}}_2}}} \end{array} \right]\mathit{\boldsymbol{ = }}{\mu _1}\left[\begin{array}{l} {\mathit{\boldsymbol{v}}_{{\boldsymbol{\rm{id}}_1}}}\\ {\mathit{\boldsymbol{v}}_{{\boldsymbol{\rm{id}}_2}}} \end{array} \right] + \left[\begin{array}{l} {\mathit{\boldsymbol{z}}_1}\\ {\mathit{\boldsymbol{z}}_2} \end{array} \right] $ | (3) |
其中
$ \mathit{\boldsymbol{X}}{\mathit{\boldsymbol{v}}_{{\boldsymbol{\rm{id}}}_1}} + \mathit{\boldsymbol{Y}}{\mathit{\boldsymbol{v}}_{{\boldsymbol{\rm{id}}_2}}} = {\mu _1}{\mathit{\boldsymbol{v}}_{{\boldsymbol{\rm{id}}_2}}} + {\mathit{\boldsymbol{z}}_2} $ | (4) |
因此,在参与同态运算时,利用Mask系统可完成各个参与者的膨胀密文的构造,进而完成mIBFHE方案的构造.
而Clear等[5]提出的转化机制所依赖的Mask系统只针对随机预言模型下的IBE方案.该转换机制利用文献[2]的IBE构造方法,需依赖随机预言机将用户身份信息哈希成用户公钥,然后利用数字签名的原理由用户公钥生成用户私钥.针对2.2节构造的标准模型下的IBE方案,下面给出一种支持标准模型下IBE转化的Mask系统.利用文献[13]中盆景树模型的方法消除方案对随机预言机的依赖,在系统主公钥矩阵中拼接均匀随机向量,然后结合文献[9]或文献[13]中的陷门派生算法和文献[10]或文献[9]中的原像采样算法生成用户私钥.
首先给出以下基础操作:
已知m'=m+1,令
$ \begin{array}{l} \;\;\;\left\langle {{\rm{BitDecomp}}\left( \mathit{\boldsymbol{a}} \right), {\rm{Powersof}}2\left( \mathit{\boldsymbol{b}} \right)} \right\rangle = \left\langle {\mathit{\boldsymbol{a}}, \mathit{\boldsymbol{b}}} \right\rangle \\ \left\langle {\mathit{\boldsymbol{a}}, {\rm{Powersof}}2\left( \mathit{\boldsymbol{b}} \right)} \right\rangle = \left\langle {{\rm{BitDecom}}{{\rm{p}}^{ - 1}}\left( \mathit{\boldsymbol{a}} \right), \mathit{\boldsymbol{b}}} \right\rangle = \\ \;\;\;\;\;\;\;\;\;\;\;\left\langle {{\rm{Flatten}}\left( \mathit{\boldsymbol{a}} \right), {\rm{Powersof}}2\left( \mathit{\boldsymbol{b}} \right)} \right\rangle \end{array} $ |
基于以上基础操作,所提出的支持标准模型下IBE转化的Mask系统由以下2个算法构成.
1) GenUnivMask(MPK, id, μ):输入系统主公钥MPK,用户身份信息id和明文μ.选取一个n维均匀随机向量
如果
如果
最后,B1, …, BN垂直拼接成矩阵
2) DeriveMask(MPK, U, id'):输入系统主公钥MPK,U=(B, U)和任意的用户身份id'.令
在2.2节高效的基于身份的加密方案和2.3节支持标准模型下IBE转化的Mask系统的基础上,构造多身份的全同态加密方案相对容易.基本参数与2.3节相同,方案的具体构造如下.
mIBFHE-Setup(n, L, D):输入安全参数n,系统支持的最大同态运算电路深度L和一次同态运算中可支持的不同身份的数量D.调用2.2节IBE方案中的IBE-Setup(1n)算法,输出系统主公钥MPK=(A, u),主私钥MSK=R.
mIBFHE-KeyGen(MSK, id):输入主公钥MPK=(A, u)和用户身份向量id∈
mIBFHE-Encrypt(MPK, id, μ):输入主公钥MPK=(A, u),用户身份向量id∈
mIBFHE-Eval(MPK, C, C1, …,
先将
将输出的τ个膨胀密文输入运算电路C进行同态运算,若每个
mIBFHE-Decrypt(MPK, vid1, …, vidτ, CT):输入主公钥MPK,待解密密文C=(id1, …, idτ, type, enc)和与用户身份id1, …, idτ相对应的用户密钥vid1, …, vidτ∈
通常,一个格上IBFHE方案的安全性应满足选择身份攻击和选择明文攻击下的密文不可区分性(IND-ID-CPA).格上mIBFHE方案的安全性因Mask系统存在而稍有不同,仅是在安全游戏中敌手被给予的挑战密文被2.3节中的U*←GenUnivMask(MPK, id*, μb)所代替(具体见以下安全性证明部分).根据安全强度不同,分为适应性选择身份选择明文攻击(IND-aID-CPA)和选择性选择身份选择明文攻击(IND-sID-CPA),区别在于后者敌手需在攻击的初始化阶段向挑战者宣布欲攻击的目标身份,而前者可等到挑战阶段才宣布,且后者可在挑战阶段前的用户密钥查询阶段对任意的用户身份进行适应性的查询,后者的唯一限制是挑战阶段不能宣布之前查询过密钥的用户身份作为攻击目标.笔者的方案是IND-sID-CPA安全的,且挑战密文与密文空间的随机元素不可区分(INDr-sID-CPA),因此保证了方案的语义安全和接收方的匿名性,且主公钥的私密性可被其创建的密文保护.
本方案采用Agrawal等[11]在Eurocrypt'10上提出的标准模型下的INDr-sID-CPA安全模型进行安全性证明.基于该安全模型进行安全证明的还有Clear等[2]提出的可自举IBFHE方案和康元基等[3]提出的环LWE上IBFHE方案.
正确性:本文方案的解密正确性由定理1刻画.
定理1 mIBFHE方案的解密是正确的,对任意的(MPK, MSK)←Setup(λ, L, D),用户身份id1, …, idτ∈
证明 方案解密算法的输出为
$ \begin{array}{l} \;\;\;\;\;\;\;\;\;{x_i}/{v_i} = \left\langle {{\mathit{\boldsymbol{c}}_i}, \mathit{\boldsymbol{v}}} \right\rangle /{v_i} = \\ \left\langle {\left( {\mu {{\left( {{\mathit{\boldsymbol{I}}_N}} \right)}_i} + {\rm{BitDecomp}}\left( {{\mathit{\boldsymbol{c}}_i}} \right)} \right), \mathit{\boldsymbol{v}}} \right\rangle /{v_i} = \\ \;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\left( {\mu {v_i}} \right)/{v_i} = \mu \end{array} $ |
为保证密文中的噪声小于q/4且q/B与安全参数n亚指数相关,对参数设定如下:由引理1可知,其TrapGen算法要求m≥2nlog q,参数B的取值取决于Bpreimage和Bχ,由引理2可知Bpreimage≤
安全性:本文方案的安全性由定理2刻画.
定理2 若(
证明 定理证明采用基于游戏序列的证明方法,证明敌手无法区分定义4中预言机
Game 0 Game 0是一个标准的攻击本方案的敌手
Game 1 令id*∈
Game 0 与Game 1是统计不可区分的,原因在于:利用实例(ui, vi)生成的随机均匀矩阵A与引理1中的TrapGen算法输出的矩阵A是统计不可区分的,且公共随机向量u均为随机均匀选取,由引理4可知随机均匀选取的向量u与Game 0中的u=Aid·eid是统计接近的,因此Game 0与Game 1是统计不可区分的.
Game 2 与Game 1不同的是,利用引理1中的TrapGen算法来生成G∈
Game 1与Game 2是统计不可区分的,原因在于:由引理3可知,当σ > s1(R)‖R‖
For i∈[
Game i+1与之前的Game不同的是:将如2.3节所示的GenUnivMask算法中的bη替换为随机选取的bη←
For
For j∈[η]:
Game(i, j):与之前Game不同的是:将如3.3节所示的GenUnivMask算法中的Bi替换为随机选取的bj←
Game(i, η+1):与之前Game不同的是:将如3.3节所示的GenUnivMask算法中的ui替换为随机选取的ui←
可知,直到Game(N, η+1)结束,可以得出结论:明文比特信息μ被完全地安全隐藏在GenUnivMask算法所输出的U中,敌手从信息U中能获取到的优势为零.因此,敌手无法猜测出与之交互的是伪随机预言机
由于所构造的基于多身份的全同态加密方案是利用特征向量的思想由基于身份的加密方案转化而来,所以前者的效率很大程度上取决于后者.另外,为更好地理解基于多身份的全同态加密方案的效率分析,首先对基于身份加密方案的效率进行分析.
这里选择2个经典的与本文方案安全性相同的格上IBE方案进行效率对比:Agrawal等[11]于Eurocrypt'10上提出的标准模型下选择性安全的高效格上IBE方案(简称CHKP方案)和Cash等[13]于Eurocrypt'10上提出的首个标准模型下选择性安全的格上IBE方案(简称ABB方案).效率对比见表 3.
由表 3可看出,本文方案的主要效率参数和LWE容错率都有优化,表明与其他方案相比本方案的效率较好,且所基于的LWE问题更具有较高难解性.
首先是格的维数,由于CHKP方案和ABB方案基于文献[8]的陷门生成算法,为满足所基于困难问题同程度的安全性和支持方案主公钥参数与均匀分布的统计不可区分性需要较高的格维数.本方案的主私钥尺寸是在合理高斯分布上选取的一组短向量,而不是CHKP方案和ABB方案的某个格矩阵的一组基,且这组基可在无质量变差的情况下由主私钥生成. CHKP方案将用户身份看成一系列比特串,并为每一比特生成一个均匀随机的矩阵,然后拼接成用户的身份公钥矩阵,导致该矩阵的维数过大.而ABB方案和本文方案均采用FRD函数[11],将用户身份映射成一个n×n满秩矩阵,身份公钥矩阵的维数明显降低.因为本方案的用户私钥不再利用陷门派生算法和原像采样算法相结合的方式来生成,所以仅须生成一个均匀随机矩阵即可生成身份公钥.密文的尺寸与身份公钥尺寸直接相关.由于公开且构造特殊矩阵G参数的引入,本方案具有较低的LWE容错率,由G矩阵的构造容易计算‖G‖=
为充分展示本方案的效率,除与2015年Clear和McGoldrick于Crypto'15上提出的格上基于多身份的全同态加密方案[5](简称CM方案)相比外,还选择了Wang等[14]利用混淆器构造的一种高效的格上基于身份的全同态加密方案(简称WH方案).相比之下,本文方案基于标准模型,在陷门生成和原像采样上的计算效率明显提升,在格的维数、陷门、密文、运算密文尺寸明显缩短.设安全参数n为284,方案支持的最大运算电路深度为L=50,为满足解密正确性需设
由表 4看出,相比CM和WH方案,本文方案基于标准模型,且在效率参数和计算效率等方面均有优化.
效率参数方面,首先在格的维数上,本方案较最优的WH方案有2.5倍的降低,原因在于:所基于的MP12陷门生成算法输出的矩阵
计算效率方面,格上mIFBHE陷门函数的高效与否主要与其构成算法(陷门生成和原像采样)有关.在陷门生成上,笔者提出的陷门生成算法运行过程中不存在计算代价高的HNF和矩阵求逆操作,陷门生成的复杂度仅相当于2个随机矩阵的一次乘运算.因此,相比其他方案本方案,在陷门生成的计算效率上明显降低.在原像采样上,较其他方案显著降低,原因在于本方案的原像采样算法使用小整数作为输入项且支持并行化运算,而CM和WH方案所基于的文献[9]的原像采样算法是输入项为高精度实数的正交化迭代运算;另一个原因是,方案的原像采样算法存在的部分高代价计算可线下进行,从而节省了线上资源消耗和用户时间.
综上,本文方案陷门函数的效率和密文尺寸以及其他效率参数均得到不等程度的优化.
5 结束语针对格上基于多身份的全同态加密方案中陷门函数低效的问题,提出一种改进的方案.首先基于MP12陷门函数构造出一种高效的且可转化的IBE方案,并构造出一种支持标准模型下IBE方案转化的Mask系统,然后结合该系统并利用特征向量的思想将构造出的IBE方案转化为mIBFHE方案.对比同类方案,本方案的陷门函数有明显的效率优势,且重要的效率参数均有所缩短.在标准模型下,方案的安全性满足INDr-sID-CPA安全.
所提方案的不足在于标准模型下方案安全性仅满足IND-sID-CPA安全,在某些安全需求更高的应用场景中会有使用限制.如何构造标准模型下IND-aID-CPA安全的格上HIBE方案是值得进一步研究的问题.
[1] | Gentry C, Sahai A, Waters B. Homomorphic encryption from learning with errors: conceptually-simpler, asymptotically-faster, attribute-based[C]//Proceedings of CRYPTO 2013. Santa Barbara: Springer, 2013: 75-92. |
[2] | Clear M, McGoldrick C. Bootstrappable identity-based fully homomorphic encryption[C]//Proceedings of International Conference on Cryptology and Network Security. New York: Springer, 2014: 1-19. |
[3] |
康元基, 顾纯祥, 郑永辉, 等. 利用特征向量构造基于身份的全同态加密体制[J]. 软件学报, 2016, 27(6): 1487–1497.
Kang Yuanji, Gu Chunxiang, Zheng Yonghui, et al. Identity-based fully homomorphic encryption from eigenvector[J]. Journal of Software, 2016, 27(6): 1487–1497. |
[4] |
段然, 顾纯祥, 祝跃飞, 等. NTRU格上高效的基于身份的全同态加密体制[J]. 通信学报, 2017, 38(1): 66–75.
Duan Ran, Gu Chunxiang, Zhu Yuefei, et al. Efficient identity-based fully homomorphic encryption over NTRU[J]. Journal on Communications, 2017, 38(1): 66–75. doi: 10.11959/j.issn.1000-436x.2017008 |
[5] | Clear M, McGoldrick C. Multi-identity and multi-key leveled FHE from learning with errors[C]//Proceedings of CRYPTO 2015. Santa Barbara: Springer, 2015: 630-656. |
[6] | Ajtai M. Generating hard instances of the short basis problem[C]//Proceedings of Automata, Languages and Programming. [S. l. ]: Springer, 1999: 1-9. |
[7] |
来齐齐, 胡予濮, 陈原, 等. 辅助输入安全的损耗陷门函数的构造[J]. 北京邮电大学学报, 2014, 37(6): 6–10.
Lai Qiqi, Hu Yupu, Chen Yuan, et al. Construction of auxiliary-input secure lossy trapdoor functions[J]. Journal of Beijing University of Posts and Telecommunications, 2014, 37(6): 6–10. |
[8] | Alwen J, Peikert C. Generating shorter bases for hard random lattices[C]//Proceedings of the 26th International Symposium on Theoretical Aspects of Computer Science. Freiburg: Springer, 2009: 535-553. |
[9] | Gentry C, Peikert C, Vaikuntanathan V. Trapdoors for hard lattices and new cryptographic constructions[C]//Proceeding of the 40th ACM Symposium on Theory of Computing. Victoria: ACM, 2008: 197-206. |
[10] | Micciancio D, Peikert C. Trapdoors for lattices: simpler, tighter, faster, smaller[C]//Proceeding of EUROCRYPT 2012. Cambridge: Springer, 2012: 700-718. |
[11] | Agrawal S, Boneh D, Boyen X. Efficient lattice (H)IBE in the standard model[C]//Proceeding of EUROCRYPT 2010. Riviera: Springer, 2010: 553-572. |
[12] | Regev O. On lattices, learning with errors, random linear codes, and cryptography[C]//Proceedings of the 37th Annual ACM Symposium on Theory of Computing. New York: Springer, 2005: 84-93. |
[13] | Cash D, Hofheinz D, Kiltz E, et al. Bonsai trees, or how to delegate a lattice basis[C]//Proceeding of EUROCRYPT 2010. Riviera: Springer, 2010: 523-552. |
[14] |
王威力, 胡斌. 利用混淆器构造多身份的全同态加密体制[J]. 密码学报, 2017, 4(2): 165–175.
Wang Weili, Hu Bin. Multi-identity-based fully homomorphic encryption from obfuscation[J]. Journal of Cryptologic Research, 2017, 4(2): 165–175. |