隱私計算中的完同態(tài)加密為加密數(shù)據(jù)提供量子安全級的計算，保證明文數(shù)據(jù)及其衍生計算結(jié)果永遠不會公開，并且在基礎(chǔ)設(shè)施受到破壞的情況下保持安全，不會被修改和/或破壞。大多數(shù)完同態(tài)加密方案都是基于lattice 數(shù)學(xué)方式描述的（序理論和抽象代數(shù)子學(xué)科研究的一種抽象），被認為量子計算安全的，并被認為是后量子密碼學(xué)。新的硬件加速器體系結(jié)構(gòu)是一個活躍的研究和開發(fā)領(lǐng)域，和學(xué)術(shù)研究不斷開發(fā)新的和更有效的實施方案，使得 完同態(tài)加密對數(shù)據(jù)處理的實現(xiàn)逐步來到了商業(yè)化階段。其中：

數(shù)據(jù)，包括其不受限制的計算及其派生物，在靜止狀態(tài)和整個生命周期中都保持加密，只有在安全、可信的環(huán)境中才能解密為明文。

通過人工智能、大數(shù)據(jù)和分析，可以從數(shù)據(jù)中提取出有價值的見解，甚至可以從多個不同的來源中提取，而不需要暴露數(shù)據(jù)或者在必要時暴露底層的評估代碼。

1. 當(dāng)前的數(shù)據(jù)安全模型

不僅失效，而且很快失去相關(guān)性

在當(dāng)今 IT 基礎(chǔ)設(shè)施中，常見的行業(yè)標準和基于邊界的安全機制是由數(shù)千個集成在一起的、不斷變化的硬件和軟件組件構(gòu)建的。它們主要依賴于加密技術(shù)，依賴于現(xiàn)有硬件難以找到離散對數(shù)和/或大整數(shù)的素數(shù)。另外，這些組成部分的數(shù)量和質(zhì)量在不斷變化，唯一不知道的是這些變化是否會被識別和利用，基礎(chǔ)設(shè)施的破壞點始終存在。

數(shù)據(jù)保護已成為一個日益復(fù)雜和容易出現(xiàn)漏洞的過程，目前的很多方法都無法實現(xiàn)可證明的數(shù)據(jù)安全。此外，數(shù)據(jù)處理工作在日益嚴格的監(jiān)管環(huán)境下進行，違反規(guī)定的后果和成本也都很嚴重。

目前廣泛使用的加密技術(shù)取決于在標準硬件上尋找離散對數(shù)和/或分解大整數(shù)的困難程度，而量子計算的算法可以很容易對這些問題進行求解。隨著量子計算市場以36.5% 復(fù)合的年增長率在增長，預(yù)計到2028年將達到19.876億美元，這些加密技術(shù)正在過時，需要后量子時代的密碼學(xué)這樣一種安全機制:

假設(shè) IT 基礎(chǔ)設(shè)施已經(jīng)受到損害，不依賴強大的外圍防御也可以來保護數(shù)據(jù)。

使用不易受量子計算攻擊的加密技術(shù)。

從目前的技術(shù)進展來看，全同態(tài)加密可以滿足這兩個要求。

2. 從同態(tài)加密開始

在1978年，Ronald L. Rivest, Len Adelman, 和 Michael L. Dertouzos提出了直接對加密數(shù)據(jù)進行計算的想法。他們發(fā)現(xiàn)，在 RSA 加密下，兩個加密數(shù)字可以相乘，結(jié)果將等同于使用相同密鑰加密的明文產(chǎn)品。他們將這些屬性稱為隱私同態(tài)，認識到加密方案可以具有這樣的屬性: 

對明文數(shù)據(jù)的一組操作的結(jié)果等于對其加密形式執(zhí)行然后解密的那些相同操作的結(jié)果。

因此，RSA 加密表現(xiàn)出了相乘同態(tài)的屬性，進而認識到:

• 有了同態(tài)加密，即可以在加密數(shù)據(jù)上進行計算的能力，對數(shù)據(jù)的訪問可以與對數(shù)據(jù)的處理分離開來，使計算可以在加密數(shù)據(jù)上進行，而不需要使用密鑰解密。
• 用戶可以獲取一段數(shù)據(jù)，同態(tài)地加密它，然后在數(shù)據(jù)庫中查詢加密數(shù)據(jù)，查詢本身可以加密或不加密的，可以以同樣的方式得到加密的結(jié)果。
• 在計算過程中，查詢的原始數(shù)據(jù)、解密密鑰、查詢結(jié)果或查詢本身從未公開過。

30多年后的2009年，Craig Gentry 提出了第一個貌似安全的全同態(tài)方案。算法被定義為一個邏輯門電路，對加密數(shù)據(jù)進行不受限制的計算，結(jié)果以同樣的方式加密。它非常慢，在標準 x86硬件上完成一個單獨的邏輯門大約需要30分鐘。因此，傳統(tǒng)觀點認為，要使 FHE 以商業(yè)上可行的速度運行，至少還需要額外的100萬倍性能加速。

3. 同態(tài)加密的基礎(chǔ)

同態(tài)加密提供了非對稱公鑰加密支持的所有功能。當(dāng)前的非對稱公鑰加密基于查找離散對數(shù)或大整數(shù)的因數(shù)分解，有五個屬性:

• 密鑰生成: (sk，pk)->K (λ) ，其中，帶有隨機種子參數(shù) λ 的密鑰生成函數(shù) K 生成一個由密鑰 sk 和公鑰 pk 組成的密鑰對。
• 加密: c <- E(pk，m) ，其中加密函數(shù) E 使用參數(shù) pk 和明文消息 m 來產(chǎn)生加密的消息密文 c。
• 解密: m <- D(sk，c) ，其中解密函數(shù) D 帶有參數(shù) sk 和 c 產(chǎn)生 m。
• 正確性: m = D (sk，E (pk，m))表示所有密鑰對、消息和加密隨機性。
• 語義安全: 對 m ∈{0,1}的所有單位消息 m，集合0和1的成員 E (pk，0)和 E (pk，1)必須是計算上不可區(qū)分的，并且必須是概率隨機的(例如，每個明文消息 m 應(yīng)該有許多加密消息 c)。

對于同態(tài)加密而言，還必須添加兩個屬性:

• 評估: 除了 K、 E 和 D 函數(shù)外，還要加上 V 來進行評估。
• 正確性修正: D (sk，V (pk，f，c1，... cn)) = f (m1，... ，mn) ，其中解密函數(shù) D 帶有參數(shù) sk，計算函數(shù) V 帶有參數(shù) pk; 函數(shù) f，其中 f ∈ F (一組具有同態(tài)性質(zhì)的高效可計算函數(shù)) ; 密文 c1，... ，cn 等于參數(shù) m1，... ，mn 的 f函數(shù)計算結(jié)果。

對于乘法同態(tài)而言，這將是 D (sk，HE-MULTIPLY (pk，MULTIPLY，E (pk，m1) ，E (pk，m2))) = MultiplY (m1，m2)。

因此，為了實現(xiàn)不受限制的同態(tài)計算，必須選擇 F 作為一組完整的函數(shù)來完成所有的計算。由于集合{ XOR，AND }是圖靈完備的，實現(xiàn)這個目標所需的兩個函數(shù)是位加法(相當(dāng)于布爾異或)和位乘法(相當(dāng)于布爾與)。任何可計算函數(shù)都可以通過 XOR和AND的組合來創(chuàng)建。同態(tài)計算系統(tǒng)是圖靈完備的，XOR和AND是必需的，但算法不需要直接用這些底層語義來定義，當(dāng)前一般用布爾電路、整數(shù)算法或?qū)崝?shù)/復(fù)數(shù)算法來定義計算。

4. 同態(tài)加密的安全性

在Ronald L. Rivest, Len Adelman, 和 Michael L. Dertouzos的論文中，密鑰 sk通過創(chuàng)建 p 的隨機倍數(shù)來隱藏在公鑰 pk 中，qi 是一個密鑰的因子分解，對于每個加密都是不同的。使用公鑰對單比特 b 進行加密是將 p 的隨機倍數(shù)加到 b 上，然后解密是 m = （c 模 p 模2）。

遺憾的是，這種方法打破了語義安全，因為c = qip + b 模 2，則0 的密文 = qip + 0 模2，那么 明文位0的加密只是 p 的倍數(shù)。

2010年，Martin van Dijk，Craig Gentry，Shai Halevi 和 Vinod Vaikuntanathan發(fā)現(xiàn)，在公鑰中添加噪音能阻礙密鑰被發(fā)現(xiàn)，如果從集合{xi = qip + 2ri : ri << p : p << qi}中抽樣，其中 (1) ri 是一個輕微的噪聲量，并且對于每個加密都是不同的， (2)每個 xi 非常接近 p 的倍數(shù)，但不是 p 的精確倍數(shù)，

那么整數(shù)的集合 xi 與相同大小的隨機整數(shù)是不可區(qū)分的。

4.1 同態(tài)加密的數(shù)學(xué)基礎(chǔ)

同態(tài)加密是將明文比特b 加密為一個多項式，具體步驟：

選擇一個大的奇數(shù) p 作為密鑰。

對于每個加密，選擇一個隨機的、大的 p 的倍數(shù)，比如 qip。

然后，對于每個加密，用一個噪聲表達式對比特 b 和 qip 進行求和，該噪聲表達式定義為將一個隨機小數(shù)為2ri。這將生成密文 c = qip + 2ri + b，其中 qip + 2ri 是公鑰。

同態(tài)加密的加法示意：

c1 = q1p + 2r1 + b1
c2 = q2p + 2r2 + b2
c1 + c2 = p(q1 + q2) + 2(r1 + r2) + (b1 + b2)  其中 2(r1 + r2) 是噪聲

同態(tài)加密的乘法示意：

c1 = q1p + 2r1 + b1
c2 = q2p + 2r2 + b2
c1c2 = p(q1q2 + q1b2 + q2b1) + r1(2pq2 + b2) + r2(2pq1 + b1) + r1r2 + b1b2 其中 r1(2pq2 + b2) + r2(2pq1 + b1) + r1r2為噪聲

可見，同態(tài)加密的計算存在著噪音增長。如果 | 噪聲 | 超過 p/2，則無法保證解密。加法噪聲增長是線性的，乘法是指數(shù)的，如果沒有機制來重置噪聲增長，多次同態(tài)加密計算就會達到 p/2的限制。在 p/2噪音限制內(nèi)工作， 這就是“部分”同態(tài)加密的定義，對于許多有價值的、有界限的用例如數(shù)據(jù)庫查詢和垃圾郵件過濾是有效的。如果在加密值的計算過程中，不支持對加密數(shù)據(jù)的無限制計算，因此不是 全同態(tài)加密。

4.2 全同態(tài)加密

在 Gentry 的2009年論文之前，同態(tài)加密計算過程中聚集的噪聲問題顯著地限制了真正應(yīng)用的場景。處理更大的同態(tài)計算基本上有兩種選擇， 選擇一是通過增加密鑰 sk 的大小來增加噪聲限制，但無法根治噪聲問題。另一種方式稍顯復(fù)雜，步驟如下：

• 在不可信、不安全的節(jié)點上凍結(jié)同態(tài)計算。
• 將加密的中間狀態(tài)值 cn 傳輸回一個安全、可信的節(jié)點。
• 用密鑰 sk 對 cn 進行明文解密mn。
• 使用公鑰 pk 將 mn 加密回 cn，將噪音降低到一個很小狀態(tài)。
• 將 cn 傳回不可信、不安全的節(jié)點。
• 用新的重新加密的低噪聲 cn 重新啟動同態(tài)計算。

顯然，后者是不現(xiàn)實的。Gentry 開發(fā)了一種在加密結(jié)果中重置“噪聲”的機制，以便計算線程可以不受限地繼續(xù)運行。在他的方法中，使用了基于Lattice的密碼學(xué)，采用了一種遞歸、嵌入式的同態(tài)解密方法，允許重新設(shè)置加密值的噪音，而不會暴露它或密鑰，以免潛在的破壞或?qū)⑵鋵嶋H轉(zhuǎn)移到一個安全、可信的節(jié)點進行解密。通過這種方式，Gentry 展示了對加密數(shù)據(jù)進行無限制計算的可能性。Gentry 的方法遵循以下步驟:

• 使用公鑰 pk 對明文消息 m 進行加密，生成密文 c1。
• 對 c1進行一定數(shù)量的同態(tài)計算，產(chǎn)生 cn，使 cn 接近但不超過噪聲極限 sk/2。
• 使用公鑰 pk 對密鑰 sk 進行加密，創(chuàng)建一個加密的密鑰 ck。
• 使用公鑰 pk 對 cn 進行加密，生成一個新的雙重加密 ccn。
• 利用加密密鑰 ck 對 ccn 進行解密，產(chǎn)生具有復(fù)位噪聲級的 cn。
• 使用 cn 繼續(xù)計算。

Gentry 實現(xiàn)的是使用同態(tài)計算對加密的值 c 進行解密和重新加密，該同態(tài)計算使用加密的秘鑰 sk 和公鑰 pk。Gentry 稱他的噪聲重置過程為自舉。雖然它表明加密數(shù)據(jù)的無限制計算是可能的，但是有兩個重大的限制阻礙了它在編程應(yīng)用中的應(yīng)用: (1)自舉算法所需的計算量遠遠超過了現(xiàn)有硬件平臺的性能能力; (2)缺乏判斷條件的有效實現(xiàn)。

自2009年以來，業(yè)界在原始 Gentry 方案的基礎(chǔ)上進行了大量的性能和功能改進: 提高全同態(tài)計算的性能; 增加自舉性能; 減少固定數(shù)量的同態(tài)計算所需的自舉數(shù)量; 在沒有自舉的同態(tài)計算過程中最小化噪聲增長; 以及基于已知的、量子計算無法解決的高難度lattice數(shù)學(xué)問題改進密碼模型。具體包括：

• LWE (有錯誤的學(xué)習(xí))和 RLWE (有錯誤的環(huán)形學(xué)習(xí))，等價于解決Lattice數(shù)學(xué)中的 CVP (最接近向量問題) ，基于無法確定系數(shù)(代表密鑰)在有限域上的線性方程組(LWE)或多項式環(huán)(RLWE)的抽樣，其中每個方程都有一個小的、隨機的、可加的誤差。
• 水準度量。在需要自舉裝置之前，允許對預(yù)定深度的邏輯門電路進行評估。
• 重新線性化。通過減少密文長度(由同態(tài)乘法產(chǎn)生)同時保持底層消息的正確性來減少同態(tài)計算的開銷和存儲負擔(dān)。
• 模值轉(zhuǎn)換。通過將密文 c 模 q 除以噪聲因子 | r | 產(chǎn)生一個新的、低噪聲的、等效的密文 c’= c/r 模 q/r，在保持密文 c 完整性的同時不使用密鑰來降低噪聲。

5. 全同態(tài)加密的發(fā)展

最初，基于Lattice的 全同態(tài)加密方案支持密文的加法和乘法，允許邏輯電路執(zhí)行無限制的計算，非常慢。而后，Martin van Dijk，Craig Gentry，Shai Halevi 和 Vinod Vaikuntanathan 用一個簡單的基于整數(shù)的方案取代了 Gentry 方法中的 同態(tài)加密部分。

接下來，BFV (Brakerski/Fan-Vercauteren)和 BGV (Brakerski-Gentry-Vaikuntantan)引入了 LWE 和 RLWE 安全模型，并且還引入了水準度量方案，允許在需要自舉之前執(zhí)行設(shè)置深度的邏輯門電路。

然后，GSW (Gentry-Sahai-Waters)避免了同態(tài)乘法中計算量很大的線性化問題，使得噪音增長較慢。使用 FHEW 開發(fā)了更高效的環(huán)變體，同時簡化和增加了自舉的優(yōu)化。

近來，CKKS (Cheon-Kim-Kim-Song)為加密值引入了有效的舍入操作，控制了同態(tài)乘法中噪聲率的增加，并減少邏輯電路中自舉的數(shù)量。它還將 PBS (可編程自舉)的概念引入到 TFHE(環(huán)面全同態(tài)加密)中，減少了邏輯電路所需的自舉數(shù)量。

目前， 支持全同態(tài)加密的技術(shù)框架和模式如下：

目前的全同態(tài)加密方案主要有三種實現(xiàn)計算的方式:

5.1 布爾電路

• 明文: 比特位
• 計算: 任意布爾邏輯門電路
• 特點：快速的數(shù)字比較和自舉
• 典型方式：GSW，F(xiàn)HEW，TFHE

5.2 高精度/模 運算

明文: 對一個明文數(shù)據(jù)進行整數(shù)取模得到a (或其向量)

計算: 整數(shù)算術(shù)電路取模 a

特點：

• 整數(shù)向量上有效的 SIMD (單指令多數(shù)據(jù))批處理計算
• 快速、高精度的整數(shù)運算和標量乘法
• 可以避免自舉的水平測量
• 典型方式：BGV, BFV

5.3 近似數(shù)字算術(shù)

明文: 實數(shù)或復(fù)數(shù)

計算: 類似浮點運算

特點：

• 快速的多項式逼近
• 相對較快的倒數(shù)和離散傅里葉變換
• 深度近似計算，例如 Logit模型學(xué)習(xí)
• 實數(shù)向量上有效的 SIMD 批處理計算
• 可以避免自舉的水平測量
• 典型方式：BGV, BFV

6. 全同態(tài)加密的典型應(yīng)用場景

隨著全同態(tài)加密的硬件加速器出現(xiàn)，一些基于全同態(tài)加密的可能應(yīng)用領(lǐng)域包括:

6.1 在整個生命周期內(nèi)保護數(shù)據(jù)不被破壞/修改

加密數(shù)據(jù)上的隱私保護計算保證了數(shù)據(jù)及其派生計算結(jié)果在基礎(chǔ)設(shè)施受到破壞的情況下不受修改和/或破壞的影響。在靜止的數(shù)據(jù)和整個計算生命周期中，可證明的數(shù)據(jù)安全性將加速向不可信平臺的轉(zhuǎn)移，以提供機密數(shù)據(jù)的計算服務(wù)，從而消除了使用私有數(shù)據(jù)中心的大部分理由。

6.2 保護數(shù)據(jù)不受量子計算攻擊

全同態(tài)加密中使用的基于Lattice數(shù)學(xué)的算法不易受到量子計算的攻擊，隨著許多量子計算機產(chǎn)品的發(fā)布或計劃發(fā)布，后量子密碼學(xué)時代或許已經(jīng)開始。

6.3 保護應(yīng)用服務(wù)數(shù)據(jù)、結(jié)果和分析模型不被披露

通過全同態(tài)加密，可以安全地引入用戶加密的數(shù)據(jù)輸入，并對服務(wù)結(jié)果和分析模型信息(如神經(jīng)網(wǎng)絡(luò)權(quán)重)執(zhí)行大數(shù)據(jù)、 AI 和/或分析服務(wù)。

6.4 分析多個組織匯總的加密數(shù)據(jù)

多個組織的不同加密數(shù)據(jù)集可以在沒有基礎(chǔ)數(shù)據(jù)披露的情況下進行匯總和分析，包括: 

• 大數(shù)據(jù)、人工智能或?qū)φ麄€行業(yè)趨勢的分析見解;
• 評估并購的資產(chǎn)負債表匯總; 
• 結(jié)合來自不同供應(yīng)商的數(shù)據(jù)以促進藥物試驗;
• 應(yīng)用于合并潛在合作伙伴數(shù)據(jù)的分析以確定潛在的商業(yè)價值。

6.5 與網(wǎng)絡(luò)流量匹配的安全和保密規(guī)則

通過高級 NTA (網(wǎng)絡(luò)流量分析) ，網(wǎng)絡(luò)惡意行為者使用的行為模式、方法和技術(shù)隨著時間的推移被學(xué)習(xí)，被定義為規(guī)則，并使用全同態(tài)加密方式進行加密。這些加密規(guī)則通過全同態(tài)加密計算應(yīng)用于不可信環(huán)境中的網(wǎng)絡(luò)流量，在不暴露威脅特征或不匹配流量的情況下識別和監(jiān)視威脅者的存在。這對廣/城/局域網(wǎng)的計算機網(wǎng)絡(luò)安全和反洗錢都很有用。

6.7 隱私數(shù)據(jù)集的交互

在較大的數(shù)據(jù)庫中進行安全和保密的數(shù)據(jù)集檢查，這是查詢大型數(shù)據(jù)存儲區(qū)中是否存在特定數(shù)據(jù)的能力，而不會顯示有關(guān)查詢或數(shù)據(jù)存儲區(qū)內(nèi)容的信息。

6.8 增強型區(qū)塊鏈

使用 全同態(tài)加密 和 零知識證明，那么，當(dāng)在區(qū)塊鏈上記錄隱私交易時，可以證明交易發(fā)生時并沒有披露數(shù)據(jù)細節(jié)。

6.9 確保感知/控制/執(zhí)行實時控制鏈的數(shù)據(jù)安全和完整性

通過在源端對傳感器數(shù)據(jù)進行加密，并在整個實時控制鏈中支持加密計算，可以保護數(shù)據(jù)不受破壞和修改。

6.10 加密數(shù)據(jù)資源的貨幣化

通過全同態(tài)加密方式加密的隱私/機密數(shù)據(jù)集，可以產(chǎn)生收入流，供不可信的機器學(xué)習(xí)平臺、大數(shù)據(jù)平臺或不可信平臺上的分析應(yīng)用程序使用。

7. 小結(jié)

通常，全同態(tài)加密被稱為密碼學(xué)的圣杯，商業(yè)化可能就在不遠的將來?；A(chǔ)設(shè)施保安模式將成為不可避免的要求，后量子時代密碼學(xué)成為政府和工業(yè)界的當(dāng)務(wù)之急。一旦實現(xiàn)了全同態(tài)加密的商業(yè)化，數(shù)據(jù)訪問將與不受限制的數(shù)據(jù)處理完全分離，安全的存儲和計算將變得相對廉價。與數(shù)據(jù)庫、云計算、 PKI 和人工智能的影響相似，全同態(tài)加密將引發(fā)機密/隱私信息保護、處理和共享方式的巨大變化，并將從根本上改變基礎(chǔ)計算的進程。