参考文献:
- [Dae95] Daemen J .Cipher and hash function design strategies based on linear and differential cryptanalysis[J].Doctoral Dissertation K.u.leuven, 1995.
- [GPP11] Guo J, Peyrin T, Poschmann A. The PHOTON family of lightweight hash functions[C]//Advances in Cryptology–CRYPTO 2011: 31st Annual Cryptology Conference, Santa Barbara, CA, USA, August 14-18, 2011. Proceedings 31. Springer Berlin Heidelberg, 2011: 222-239.
- [DGH+23] Dobraunig C, Grassi L, Helminger L, et al. Pasta: A Case for Hybrid Homomorphic Encryption[J]. IACR Transactions on Cryptographic Hardware and Embedded Systems, 2023, 2023(3): 30-73.
文章目录
- HHE Benchmarking Framework
- Inefficiency of Z 2 \mathbb Z_2 Z2 Ciphers
- Efficient Cipher for HHE over F p \mathbb F_p Fp
- S-Box
- Linear Layer
- Pasta
[DGH+23] 给出了 HHE 的形式化定义,设计了一个通用的 HHE 测试框架,并评估了目前已有的 HHE 方案的执行效率。他们发现即使是很小的用例(use case)它们也都是不实用的。然后它们提出了 Pasta 方案,专门对 Leveled FHE 支持的 F p t \mathbb F_p^t Fpt 明文空间做了优化。对于 Leveled FHE,优化准则是最小化 SE 的乘法深度;对于 Pure FHE,优化准则应该修改为最小化 SE 的乘法数量。[DGH+23] 很早就在 eprint 上可用了,后续有多种 HHE 使用了 Pasta 的构造模块,例如 Rubato
HHE Benchmarking Framework
[DGH+23] 选择了如下的基准测试用例(Benchmarking a Generic Use Case),以反映真实世界中的 HHE 效率
- 三个仿射变换 x i ′ = M i ⋅ x i + b i x_i' = M_i \cdot x_i + b_i xi′=Mi⋅xi+bi,其中 x i , x i ′ , b i ∈ F p 200 x_i,x_i',b_i \in \mathbb F_p^{200} xi,xi′,bi∈Fp200 以及 M i ∈ F p 200 × 200 M_i \in \mathbb F_p^{200 \times 200} Mi∈Fp200×200,素数 p p p 的规模是 60 60 60 比特
- 给定某个(加密的)向量 x 0 x_0 x0,依次执行三个仿射变换,在它们之间插入了两个平方函数
- 这被视为是三层神经网络,使用的平方激活函数
[DGH+23] 使用 SEAL(明文空间 F p \mathbb F_p Fp)测试了:BFV 本身,对 F p \mathbb F_p Fp 优化的 Pasta,对 F 2 \mathbb F_2 F2 优化的 Agrasta,AES 加密,以及 LWE-Native 加密。基准测试的结果如下,
可以观察到:HE 需要大量的随机性,并且通信开销很大。LWE 对随机性的需要以及通信开销都大幅降低了,但依旧不算好。使用 Z 2 \mathbb Z_2 Z2 上的 SE 方案,由于 FHE 支持的明文空间是 Z p \mathbb Z_p Zp,布尔电路在这上面的深度很大,导致 Server 无法同态解密。[DGH+23] 所设计的 Pasta over F p \mathbb F_p Fp 做到了 Client 和 Server 之间的很好平衡。三种 HHE 在客户端的表现相似,但是在服务器上的差异巨大,主要就是因为 SE 是否设计在了 F p \mathbb F_p Fp 算术运算上,而非布尔电路。
考虑通信带宽的影响,Client 的时间开销为:
Inefficiency of Z 2 \mathbb Z_2 Z2 Ciphers
[DGH+23] 还展示了布尔电路上设计的 SE 应用到 HHE 时的低效。在这里,他们使用了很小的用例 r = M ⋅ x + b r=M \cdot x+b r=M⋅x+b,其中 r , x , b ∈ Z 65536 5 r,x,b \in \mathbb Z_{65536}^5 r,x,b∈Z655365 以及 M ∈ Z 65536 5 × 5 M \in \mathbb Z_{65536}^{5 \times 5} M∈Z655365×5,去执行完整的 HHE 计算流程。可以发现即使是这么小的用例,这些 SE 的效率也会非常的低。
[DGH+23] 测试了如下的 Ciphers(它们的设计细节请看原文),
在 SEAL 下的测试结果为:
他们把 SE 的解密称之为 decompressing the HHE ciphertext。在小用例的计算中,由于 SEAL 不支持 Z 2 \mathbb Z_2 Z2 上的打包,因此他们将单个 bit 加密在单个 BFV 密文的 coeff 常数项(好傻啊)
Efficient Cipher for HHE over F p \mathbb F_p Fp
在 Pasta 之前,已经存在了一些针对 F p \mathbb F_p Fp 而设计的 SE 方案,其中 2 12 < p < 2 60 2^{12}<p<2^{60} 212<p<260 是 SEAL 所支持的可打包的素数范围。
- Masta:它是把 Rasta 简单地从 Z 2 \mathbb Z_2 Z2 扩展到了 F p \mathbb F_p Fp 上,使用了 randomized linear layers 策略
- Hera:它被用于 RtF Framework,使用了 randomized key schedule 策略
SEAL 不支持自举,因此计算代价的度量应该首选为乘法深度,当然 ct-ct 甚至 pt-ct 乘法的数量也不可忽视。[DGH+23] 也遵循 Rasta 的设计,将它扩展到 F p \mathbb F_p Fp 上。为了降低乘法深度,采取的措施有:最小化轮数,低次数的 S-box(代价是更大的状态,但设计 packing-friendly cipher),平衡乘法深度和运算时间。
S-Box
[DGH+23] 考虑了多种 S-boxes 的计算代价和限制,
χ \chi χ-S-box:原始的 Rasta 使用了 [Dae95] 的 χ \chi χ-transformation over Z 2 t \mathbb Z_2^t Z2t 作为非线性层,但是它在一般的 F p t \mathbb F_p^t Fpt 中不再是一个置换。不过 Rasta 使用了随机化的线性层(已经抵御了统计攻击),因此它的非线性层只需要求逆的次数很高即可(抵御代数攻击)。定义
[ χ ( x ) ] i = x i + x i + 2 ⋅ ( 1 + x i + 1 ) ( m o d p ) [\chi(x)]_i = x_i+x_{i+2}\cdot(1+x_{i+1}) \pmod{p} [χ(x)]i=xi+xi+2⋅(1+xi+1)(modp)
其中的 indices 都是 ( m o d t ) \pmod{t} (modt) 循环的。在 BFV 的打包技术下,上述运算只需要使用 2 次旋转和 1 次乘法(如果 t ≠ N t \neq N t=N,还需要使用 masking vectors 模拟)。
Cube S-box:假如 gcd ( p − 1 , 3 ) = 1 \gcd(p-1,3)=1 gcd(p−1,3)=1,那么存在 3 − 1 ∈ F p ∗ 3^{-1} \in \mathbb F_p^* 3−1∈Fp∗,从而 x 3 x^3 x3 是双射。定义:
[ S ( x ) ] i = x i 3 [S(x)]_i = x_i^3 [S(x)]i=xi3
在打包技术下,它只需两次阿达玛乘法,不需要 Rotate 运算。
Feistel-Like S-Box(via a Quadratic Function):定义一个使用 x 2 x^2 x2 函数的 Feistel 网络,
[ S ′ ( x ) ] i = { x i , i = 0 x i + x i − 1 2 , otherwise [S'(x)]_i = \left\{\begin{aligned} x_i, && i=0\\ x_i + x_{i-1}^2, && \text{otherwise} \end{aligned}\right. [S′(x)]i={xi,xi+xi−12,i=0otherwise
使用 [ 0 , 1 , 1 , ⋯ ] [0,1,1,\cdots] [0,1,1,⋯] 作为 masking vector,容易实现它的 SIMD 运算。
Alternative Feistel-Like S-Box(via the χ \chi χ-Function):定义一个使用 χ \chi χ 函数的 Feistel 网络,
[ S ′ ′ ( x ) ] i = { x i , i ∈ { 0 , 1 } x i + x i − 1 ⋅ x i − 2 otherwise [S''(x)]_i = \left\{\begin{aligned} x_i, && i \in \{0,1\}\\ x_i + x_{i-1}\cdot x_{i-2} && \text{otherwise} \end{aligned}\right. [S′′(x)]i={xi,xi+xi−1⋅xi−2i∈{0,1}otherwise
使用 [ 0 , 0 , 1 , 1 , ⋯ ] [0,0,1,1,\cdots] [0,0,1,1,⋯] 作为 masking vector,也容易实现它的 SIMD 运算。
上述四种 S-boxes 的计算开销为:
综合考虑乘法深度以及 KS 的开销,最终 Pasta 选取 Feistel 作为 main S-box。但同时也使用了 Cube 作为补充,去提升 Cipher 的次数(从而抵御线性分析,降低状态规模)。
Linear Layer
[DGH+23] 使用的是随机化线性层的策略,但是 F p \mathbb F_p Fp 上的矩阵可逆性的检查是昂贵的(在明文下生成随机矩阵,而非在同态下)。[DGH+23] 采用了 [GPP11] 提出的 sequential matrix 生成方式,直接随机生成一个必然可逆的矩阵。对于 d d d 阶矩阵,随机采样 α 1 , ⋯ , α d ∈ F p \ { 0 } \alpha_1,\cdots, \alpha_d \in \mathbb F_p\backslash\{0\} α1,⋯,αd∈Fp\{0},首先构造
A = S e r i a l ( α 1 , ⋯ , α d ) : = [ 0 1 0 ⋯ 0 0 0 1 ⋯ 0 ⋮ ⋱ ⋮ 0 0 0 ⋯ 1 α 1 α 2 α 3 ⋯ α d ] ∈ F p d × d A = Serial(\alpha_1,\cdots,\alpha_d) := \begin{bmatrix} 0 & 1 & 0 & \cdots & 0\\ 0 & 0 & 1 & \cdots & 0\\ \vdots & & & \ddots & \vdots\\ 0 & 0 & 0 & \cdots & 1\\ \alpha_1 & \alpha_2 & \alpha_3 & \cdots & \alpha_d \end{bmatrix} \in \mathbb F_p^{d \times d} A=Serial(α1,⋯,αd):= 00⋮0α1100α2010α3⋯⋯⋱⋯⋯00⋮1αd ∈Fpd×d
然后计算 M = A d M = A^d M=Ad 作为随机的可逆矩阵。由于 A A A 是具有特殊结构的稀疏矩阵,计算 M M M 只需要 d ( d − 1 ) d(d-1) d(d−1) 次乘法以及 ( d − 1 ) 2 (d-1)^2 (d−1)2 次加法(怎么快速计算的?)。
如果采用的分圆环维度 N N N 是二的幂次,那么 Z 2 N ∗ = { 1 , 3 , ⋯ , 2 N − 1 } = ⟨ − 1 , 3 ⟩ \mathbb Z_{2N}^* = \{1,3,\cdots,2N-1\} = \langle-1,3\rangle Z2N∗={1,3,⋯,2N−1}=⟨−1,3⟩,其中 o r d ( − 1 ) = 2 , o r d ( 3 ) = N / 2 ord(-1)=2, ord(3)=N/2 ord(−1)=2,ord(3)=N/2,因此明文槽组成了形状是 F p 2 × N / 2 \mathbb F_p^{2 \times N/2} Fp2×N/2 的立方。为了使得 babystep-giantstep optimized diagonal method 中使用的旋转操作的开销更小,[DGH+23] 使用了 Rotate1D
而非 Rotate
,并行地执行两个 t ∣ ( N / 2 ) t \mid (N/2) t∣(N/2) 阶线性变换,然后再组合它们。
确切地,假设 x = [ x L , x R ] ∈ F p 2 t x = [x_L,x_R] \in \mathbb F_p^{2t} x=[xL,xR]∈Fp2t,那么仿射层的运算如下:
[ 2 I I I 2 I ] ⋅ ( [ M L O O M R ] ⋅ [ x L x R ] + [ c L c R ] ) \begin{bmatrix} 2I & I\\ I & 2I \end{bmatrix} \cdot \left( \begin{bmatrix} M_L & O\\ O & M_R \end{bmatrix} \cdot \begin{bmatrix} x_L\\ x_R \end{bmatrix} + \begin{bmatrix} c_L\\ c_R \end{bmatrix} \right) [2III2I]⋅([MLOOMR]⋅[xLxR]+[cLcR])
这里的 M L , M R M_L, M_R ML,MR 都是 t t t 阶矩阵, O O O 和 I I I 分别是零矩阵和单位阵。首先使用自同构 τ 3 i \tau_{3^i} τ3i 执行两个并行的 BSGS 矩阵乘法,然后再使用自同构 τ − 1 \tau_{-1} τ−1 实现这两个仿射变换的结果混合。
Pasta
现在我们描述 Pasta 方案。选择 t = t 1 ⋅ t 2 t=t_1 \cdot t_2 t=t1⋅t2 是两个大小接近的整数的乘积,选择满足 gcd ( p − 1 , 3 ) = 1 \gcd(p-1,3)=1 gcd(p−1,3)=1 的一个 NTT 友好的大素数。它同时使用了 Feistel 和 Cube 两种 S-boxes,
对于第 i i i 个消息分组,使用 XOF 来产生随机化的仿射层(在明文下),对主密钥 K K K(在密文下)执行 AES-like 轮函数迭代(状态大小为 2 t 2t 2t),最后截断长度为 t t t 的密钥流,加到消息分组上。
经过不同攻击的分析,[DGH+23] 给出了推荐的参数集。用例为 Z 65536 5 × 5 \mathbb Z_{65536}^{5 \times 5} Z655365×5 上仿射变换,Pasta 的计算效率: