论文2023/1597

免费计算FHE电路隐私

摘要

电路私密性是全同态加密（FHE）中的一个重要概念，机器学习即服务（Machine Learning as a Service）场景很好地说明了这一点。如果对手无法从计算结果中学习密文评估的电路，则方案是电路私密的（首先在Gentry的博士论文中定义）。在这项工作中，我们首先证明了Brakerski、Gentry和Vaikuntanathan（ITCS’12）提出的BGV FHE方案在半诚实环境下是计算电路私有的，然后提出了一种扩展的构造，使其在计算电路上对恶意对手是私有的。我们在实现这一点时，没有诉诸诸如噪音淹没等昂贵的机制。相反，我们仔细讨论了BGV中遇到的密文和噪声分布。更详细地说，我们从四个方面考虑电路隐私的概念：对手是内部的还是外部的（即对手是否持有密钥），以及处于半诚实和恶意的环境中。我们的出发点是Gentry的定义，我们将其从统计的不可区分性转变为计算的不可区别性。这样做使我们能够证明，BGV方案在半诚实的环境下，对外部对手来说是计算电路私有的。然后，我们通过将Gentry的定义扩展到内部对手，提出了一个新的定义。这是适当的，因为客户端是对手（因此可以访问解密密钥）的场景是现实的。此外，我们注意到，我们的定义严格地强于Gentry的定义——我们的定义要求方案根据Gentry定义是电路私有的，此外，密文噪声在所有密文中的分布在计算上是不可区分的。考虑到这个新定义，并使用Costache、Nürnberger和Player（CT-RSA’23）以前的结果，我们表明对BGV方案稍作修改将使其满足这个新定义。最后，如果我们要求客户端附上密钥和密文格式良好的证明，我们将展示如何将这些结果扩展到恶意设置。

注：修复了Jess Woods（UPenn）指出的拼写错误