Утечка через Гомоморфные Операции Зашифрованного текста

Question

Рассмотрим две стороны, а именно, P_0 и P_1. P_0 и P_1 имеют открытые тексты p_a и p_b соответственно.
P_0 шифрует p_a для получения c_a = Enc(p_a) с помощью своего открытого ключа и отправляет его P_1.
P_1 выполняет multiply_plain(c_a, p_b, c), за которым следует sub_plain_inplace(c, p_R) (где p_R - случайный открытый многочлен, чтобы скрыть произведение a и b), а затем отправляет c в P_0.
Может ли шум в c показать некоторую информацию о p_b до P_0, несмотря на то, что продукт маскируется p_R?

Если да, то как я могу избежать этой утечки? Есть ли способ добавить случайный шум к c, чтобы заглушить влияние p_b на шум в c?
Есть ли в SEAL функция для шифрования с использованием шума из большего интервала? Если есть, то, возможно, я смогу зашифровать p_R дополнительным шумом, чтобы заглушить удар.

Answer 1

Да, шум теоретически может раскрыть информацию о входных данных для продукта, даже после добавления к нему нового шифрования. Схемы гомоморфного шифрования обычно не предназначены для обеспечения конфиденциальности ввода в таких протоколах MPC. Мне не ясно, насколько выполнимой была бы эта «атака» в реалистичных сценариях применения (за исключением патологических случаев).

Чтобы избежать этой проблемы и получить полу-честную защиту для протоколов, которые вы, возможно, захотите построить из схемы BFV, вы действительно можете сделать то, что предложили: залить шум , добавив шифрование с искусственно большим шумом , Это использовалось, например, здесь (раздел 5.2), чтобы доказать безопасность протокола. См. Также лемму 1 в этой статье .

Более привлекательный подход, основанный на начальной загрузке, описан в этой статье Дукасом и Стелем. Поскольку начальная загрузка как в BGV, так и в BFV крайне ограничена (и не реализована в SEAL), я не считаю этот подход практичным, за исключением, возможно, некоторых очень редких сценариев.