paillier加密演算法原理詳解

　　paillier加密演算法是一種公鑰加密演算法，基于復合剩余類的困難問題，滿足加法同態，即密文相乘等于明文相加：D(E(m₁)·E(m₂))=m₁+m₂，這里詳細介紹其加密解密是如何推導的，需要具備數論、代數系統、模運算的相關知識，同時理解起來可能需要多閱讀幾遍并加以思考，

先將密鑰生成和加解密程序羅列便于直觀看

　　截圖來源于：https://blog.csdn.net/sinianluoye/article/details/82855059

加密程序

　　在進行加解密之前，必須先產生可以用來加密的公鑰n和g，n是兩個大小相近的兩個大素數的乘積：n=p·q，g是$?_{n^{2}}$中的半亂數，同時g的階必須在$?^{*}_{n^{2}}$中并且能被n整除，由于g必須符合一些特殊性質（我們將在解密部分提出）所以$?^{*}_{n^{2}}$中會有很少一部分元素不能用作g，意味著g是一個半亂數，為了簡單計算，我們先選取兩個小素數p=7，q=11計算得到n=p·q=77，從$?^{*}_{n^{2}}$中選擇g（g的階必須是$?^{*}_{n^{2}}$中元素并且是n的倍數，除此之外，g需要滿足的另一個性質將會在解密時詳細描述），在這里我們先選擇5652作為g，因為g模n²的階是2310且是77的倍數，并且在$?^{*}_{n^{2}}$中，那么g所需要的包括未清楚定義的所有性質將會被滿足，至此，我們找到了用來實際加解密運算程序的公鑰（n，g），隨著公鑰發布，任何人都能使用公鑰加密資料并將密文傳給私鑰持有者，整個程序可用圖一表示，

c是加密資訊，私鑰持有者解密時無需了解r的值，

解密程序

　　在已知p，q和g的情況下，任何人都可以將收到的加密訊息c解密，我們注意到在已知p，q的情況下，卡邁克爾公式λ(n) = lcm[(p – 1)(q – 1)]很容易計算，我們也注意到，如果g ∈ $?_{n^{2}}$，就像我們之前選作公鑰的g，卡邁克爾定理保證g^λ(n) ≡ 1 mod n成立，卡邁克爾定理表明如果兩個整數a和n互質，那么關系式 a^λ(n)≡ 1 mod n，因為g是模n²的單元，顯然與n²互質，意味著g與n也是互質的，在這個基礎上，卡邁克爾定理成立，解密時，忽略密文c的值，對于所有使用公鑰對(n, g)進行的解密，計算g^λ(n)mod n²都是必要的，g^λ(n) mod n²計算得到的值是$?_{n^{2}}$中的一個元素，由卡邁克爾定理可知，該值 ≡ 1 mod n，如果我們從結果值中減1得到的值可以被n整除，計算程序如圖2，

g^λ(n) mod n²的結果可以看作一個大于等于0，嚴格小于n²的數，因此 g^λ(n) mod n² -1 除以n之后的結果k大于等于0，嚴格小于n，也就是說k∈Z_n，因為n=p·q，只要k mod n的結果不是p或q的倍數，k會有逆，所以k∈$?^{*}_{n}$，這個性質是之前在加密階段提到的g需要符和未定義的性質，如果 g^λ(n) mod n²的結果模n的值k是p或q的倍數，這個g必須被丟棄，在發布g之前先檢查g是否符合要求，如果不符合就舍棄重新選擇，現在我們假設隨機選擇的g符合條件即g∈$?^{*}_{n^{2}}$,g的階∈$?^{*}_{n^{2}}$,k不是p或q的倍數（k存在模n的逆），接下來就可以計算µ ≡ k^-1mod n,如圖3所示，在解密程序中，公鑰(n, g)相同的情況下，計算得到的µ值總是相同的，也是必不可少的，

所有人在解密程序中必須計算m ≡ L(g^λ(n) mod n²)·µ mod n，如圖4所示，

加解密中的數學原理

　　為了理解解密程序，我們首先介紹一個公式

$ε_{g}:?_{n} * ?^{*}_{n}\rightarrow ?^{*}_{n^{2}}$

$ε_{g}(x, y)\rightarrow g^{x}*y^{n} mod n^{2}$

定義ε_g(m, r) 是使用亂數對m進行加密的加密公式，回想一下在加密階段選擇g的時候，我們要求g模n²的階必須是n的倍數，如果g符合這個條件，則ε_g是雙射的，我們將參考下邊的引理來證明這個結論，

　　引理：兩個階相同的有限集A、B構成的函式f：A$\rightarrow$ B是滿射的當且僅當這個函式是單射的，

　　定理：如果g的階是n的非零倍數，則對于 ε_g(x, y) ≡ g^x·yⁿ mod n² 來說ε_g是雙射的，

　　證明：假設g的階是n的非零倍數，我們知道|$?^{*}_{n^{2}}$|=φ(n²) = n·φ(n)=| ?_n x $?^{*}_{n}$|，意味著$?^{*}_{n^{2}}$和 ?n x $?^{*}_{n}$擁有相同個數，基于上邊的引理如果ε_g是單射的，它也是滿射的，因此，我們證明了ε_g是單射的可以充分的證明它也是雙射的，

　　假設 g^x₁·y₁ⁿ≡g^x₂·y₂ⁿ·mod n²，我們可以得到 g^x₁-x₂·(y₁/y₂)ⁿ ≡ 1·mod n²，等式兩邊同時取λ(n)次冪，得到 g^{λ(n)·(x₁-x₂)}·(y₁/y₂)^n·λ(n) ≡ 1·mod n²，卡邁克爾定理表明$?^{*}_{n^{2}}$中的元素，取λ(n)次冪模n與1同余，該定理同時也表明$?^{*}_{n^{2}}$中的元素，取n·λ(n)次冪模n²與1同余，y₁和y₂^-1都是$?^{*}_{n^{2}}$中的元素，所以他們的乘積y₁/y₂也是$?^{*}_{n^{2}}$中的元素，由此我們可以得到 (y₁/y₂)^n·λ(n) ≡ 1·mod n²，所以 g^{λ(n)·(x₁-x₂)}·(y₁/y₂)^n·λ(n) ≡ g^{λ(n)·(x₁-x₂)} ≡ 1·mod n²，

以上證明表示 λ(n)·(x₁-x₂) 是g的階的倍數，最開始的時候我們已經假設g的階是n的非零倍數，所以 λ(n)·(x₁-x₂) 也是n的倍數，由于 λ(n)·(x₁-x₂) 可以被n整除，并且GCD(λ(n), n)=1，我們可以得出n整除x₁-x₂或者說x₁-x₂模n與0同余，而且x₁和x₂是 ?_n中的元素，它們的模n同余可以保證他們是相等的，

讓我們再回到方程式 g^x₁-x₂·(y₁/y₂)ⁿ ≡ 1·mod n²，當x₁=x₂時，我們得到 (y₁/y₂)ⁿ ≡ 1·mod n²，繼而y₁ⁿ≡y₂ⁿ，當y₁與y₂模n同余時，上式成立，

所以根據y₁,y₂ ∈ $?^{*}_{n}$，我們得到了x₁=x₂，

　　這意味著，給出任何一個屬于$?^{*}_{n^{2}}$的元素w，當n選定之后，選擇一個符合要求的g，加密結果ε_g(x, y)≡w mod n²是獨一無二的，為了便于標注，我們指定ε_g(x, y) ≡ g^x·yⁿ≡ w mod n²，定義[w]_g為?_n中唯一與之對應的元素x, 即[w]_g =x，

　　因為ε_g可以映射到$?^{*}_{n^{2}}$中所有元素，而且g本身也是$?^{*}_{n^{2}}$中的一個元素，因此我們可以找到$?^{*}_{n^{2}}$中另一個階是n的非零倍數的元素t能夠通過相同計算得到g，

如圖5所示，(1+n)ⁿ≡1+n·n≡1 mod n²，很明顯，n本身是n的一倍，也是(1+n)的階，并且(1+n)^n-1是它在$?^{*}_{n^{2}}$中的逆(表明(1+n)∈$?^{*}_{n^{2}}$)，(1+n)符合t要求的性質，所以我們可以計算[g]_(1+n)，也就是說g≡ε_(1+n)(t,z)≡(1+n)^t·zⁿ mod n²，t=[g]_(1+n)，

當我們加密資訊m時，密文 c≡ε_g(m, r) ≡ g^m·rⁿ mod n²,我們之前剛剛證明g可以表示為g≡ε_(1+n)([g]_(1+n),z)≡(1+n)^[g](1+n)·zⁿ mod n²，使用g的運算式來代替g，我們可以得到：

　　　c≡g^m·rⁿ≡[(1+n)^[g](1+n)·zⁿ]^m·rⁿ mod n²

≡(1+n)^m[g]_(1+n)·z^mn·rⁿ mod n²

≡(1+n)^m[g]_(1+n)·(z^m·r)ⁿ mod n²

由z∈$?^{*}_{n}$, 可知z^m∈$?^{*}_{n}$，由r∈$?^{*}_{n}$，可知z^m·r∈$?^{*}_{n}$，所以

c≡ε_(1+n)(m·[g]_(1+n), z^m·r) mod n²

c可以表示為[c]_(1+n)≡m·[g]_(1+n)，即m≡[c]_(1+n)·{[g]_(1+n)}^-1 mod n([c]_(1+n)是?_n中元素，所以模n²與模n同余)，

由上述結果可知，無論c為何值，[g]_(1+n)的逆是一個定值，解密c需要計算[c]_(1+n)，并將結果與定值[g]_(1+n)的逆相乘并模n，在解密時，我們計算了µ ≡ L(g^λ(n)mod n²)^-1 mod n，并宣告這是一個和m，c或者r都無關的對于解密來說很必要的定值，結合上述證明我們有了µ的另一種形式 µ≡（L(g^λ(n) mod n²)^-1 ≡ {λ(n)·[g]_(1+n)}^-1 mod n，現在讓我們看看密文如何回到明文，

g^λ(n) mod n²：

g^λ(n) ≡ [(1+n)^[g]_(1+n)·zⁿ]^λ(n)·z^nλ(n) mod n²

因為z∈$?^{*}_{n^{2}}$，由卡邁克爾定理可知z^nλ(n) ≡ 1 mod n²，可得：

g^λ(n) ≡ (1+n)^{λ(n)[g]_(1+n)} mod n²

　　　　　　　　　　≡1+λ(n)·[g]_(1+n)·n+[n的高次冪] mod n²

　　　　≡1+λ(n)·[g]_(1+n)·n mod n²

現在將g^λ(n) mod n² 代入L(u)(L(u)=(u-1)/n):

L(g^λ(n) mod n²)≡L(1+λ(n)·[g]_(1+n)·n)mod n

　　　　　　　　≡{1+λ(n)·[g]_(1+n)·n-1}/n mod n

　　　　　　≡{λ(n)·[g]_(1+n)·n}/n mod n

　　　≡λ(n)·[g]_(1+n) mod n

所以 L(g^λ(n)mod n²) ≡ λ(n)·[g]_(1+n) mod n，µ ≡ L(g^λ(n) mod n²)^-1 ≡ {λ(n)·[g]_(1+n)}^-1 mod n，我們同樣可以用卡邁克爾定理簡化L(c^λ(n)mod n²)：

c^λ(n) mod n²:

　　c^λ(n)≡[(1+n)^[c]_(1+n)·dⁿ]^λ(n) mod n²

　　　  ≡[(1+n)^[c]_(1+n)·d^nλ(n) mod n²

≡(1+n)^[c]_(1+n) mod n²

　　　　　　　 　≡1+λ(n)·[c]_(1+n)·n+[n的高次冪] mod n²

　　 ≡1+λ(n)·[c]_(1+n)·n mod n²

所以:

L(c^λ(n) mod n²)≡L(1+λ(n)·[c]_(1+n)·n) mod n

　　　　　　　　≡{1+λ(n)·[c]_(1+n)·n-1}/n mod n

　　　　　　≡{λ(n)·[c]_(1+n)·n}/n mod n

　　　≡λ(n)·[c]_(1+n) mod n

可得:µ ≡ L(g^λ(n) mod n²)^-1 ≡ {λ(n)·[g]_(1+n) mod n，L(c^λ(n) mod n²) ≡ λ(n)·[c]_(1+n) mod n，即L(c^λ(n) mod n²)·µ ≡ λ(n)·[c]_(1+n)·λ(n)^-1·[g]_(1+n)^-1 ≡ [c]_(1+n)·[g]_(1+n)^-1 ≡ m mod n，

我們注意到，對于給定公鑰(n，g)，µ總是相等的，只需要計算一次，意味著解密程序包含一個指數冪模n²，和固定值L(µ)相乘的結果模n，使得解密變成一個計算復雜度是指數冪模n²相對簡單的程序，

paillier加密系統的加法同態

　　通過paillier加密系統加密的兩個訊息相乘的結果解密后得到的是兩個訊息相加的結果，

兩個密文c₁ ≡ g^m1·r₁ⁿ mod n² , and c₂ ≡ g^m2·r₂ⁿ mod n²

c1·c2≡ g^m1·g^m2·r₁ⁿ ·r₂ⁿ mod n²⇒ c1·c2 ≡g^m1·g^m2·r₁ⁿ ·r₂ⁿ ≡ g^m1+m2·(r₁·r₂₎ⁿmod n²

r₁和r₂都是$?^{*}_{n^{2}}$中元素，，因此r₁·r₂也屬于$?^{*}_{n^{2}}$，并且具有相同的性質，所以此處的值是r₁還是r₂亦或是r_i并不重要，c1·c2可以看作是m=m1+m2加密的密文，c1·c2的解密結果為m，

總結

以上原理的講解比較復雜與繁瑣，這里總結一下上文中加解密推導的主要思路，

1.引數選擇要求

2.加密實體

3.證明雙射的條件

4.繼而證明明文與密文是一一對應的

5.找到密文的原射，用以代入，可以推出一個解密得到的明文的運算式子

6.由于g也屬于密文空間內，找到g的原射，把g用原射表示代入

7.把g的原射運算式代入µ，得到µ的另一種運算式

8.用正常的解密方式把之前的各種代換代入，得到和之前第5步找到的解密明文表達方式相等，證明解密方式是正確的，

如有我理解的不正確的地方，歡迎加以指正，

標籤：其他

上一篇：使用python-docx洗掉word檔案中的空行

下一篇：[求助] UIAUTOMATION editcontrol寫入的檔案名被WIN10提示無效，但手動輸入同樣的可以