同態加密分類

根據支持的操作類型和允許的操作數量，同態加密主要分為三類：部分同態加密（PHE）、有點同態加密（SHE）和全同態加密（FHE）。

部分同態加密（PHE）
與全同態加密不同，部分同態加密僅支持有限類型的操作，例如加法或乘法，但不能同時支持兩者。這使得PHE能夠在某些應用場景中保護數據隱私，同時實現必要的數據處理功能。例如，RSA加密方案支持加法操作，而ElGamal加密方案支持乘法操作。儘管這些加密方案具有一定的同態性質，但其有限的功能使得它們難以直接應用於需要多種操作類型的場景中。

有點同態加密（SHE）
某種同態加密（SHE）是對部分同態加密的一種進步，允許在加密數據上進行有限的加法和乘法操作。然而，每個同態操作都會增加噪音，並且在進行一定數量的操作後，密文中的噪音變得過多。這可能導致解密失敗或不準確的結果。因此，SHE方案通常只適用於涉及少量操作的場景。

全同态加密（FHE）
全同態加密（FHE）使得對加密數據進行無限制的加法和乘法運算成為可能，而不會導致解密失敗，無論計算量多大。全同態加密被認為是同態加密研究的“聖杯”，在廣泛應用方面展現了巨大潛力，從安全雲計算到隱私保護數據分析等各種應用。

同態加密的發展歷史

同態加密的概念可以追溯到20世紀70年代，當時研究人員首次設想直接在加密數據上進行計算。然而，這個有趣的想法在數十年間仍然保持理論性質。直到2009年，IBM數學家Craig Gentry取得了重大突破。

Gentry引入了第一個可行的全同態加密方案，使得對加密數據進行任意計算成為可能。他的方法基於複雜的“理想格”，創新地融入了兩個關鍵元素：噪音和重啟。噪音是加密的不可避免的副產物，每次計算都會累積，可能導致解密失敗。為了解決這個問題，Gentry設計了“重啟”技術，在計算過程中“清理”噪音。通過自我調整和循環加密，Gentry的方案證明了全同態加密是可行的，並且可以支持無限計算。

這項開創性的工作在密碼學領域引起了熱情，將一個曾經遙不可及的概念轉化為一個具體的研究方向。它也為未來數據隱私保護和雲計算安全的發展奠定了基礎。

早期阶段
在根特的全同態加密提案之前，研究主要集中在部分同態加密上。RSA和ElGamal加密方案是部分同態加密的典型早期代表。這些方案僅限於執行單一類型的操作，使它們難以應用於更複雜的計算任務。

詹特里的突破
甘特里的全同態加密方案基於格理論。這個方案引入了一個叫做“噪音”的概念，每個操作都會逐漸增加噪音。甘特里開發了“引導”過程來防止過多的噪音，通過部分解密和重新加密密文將噪音降低到可管理的水平。引導的核心思想是在噪音積聚到無法控制的水平之前“刷新”密文。具體而言，引導允許加密系統在執行部分計算後使用全同態加密重新加密和簡化當前密文，有效降低噪音。這個過程充當了一個去噪機制，“重新打包”原本含有更多噪音的密文，並在加密計算期間自動管理噪音。因此，它使得在密文上進行無限次計算成為可能，而不會出現過多的噪音累積，解決了先前僅支持有限次計算的同態加密方案的限制。儘管這個設計在理論上是開創性的，但其計算成本過高，導致早期實現非常緩慢。

後續發展
2011年，Brakerski和同事們提出了一個基於學習與錯誤(LWE)問題的更簡化的全同態加密方案，顯著降低了計算複雜度。隨後，改進的方案進一步增強了全同態加密的效率。值得注意的例子包括基於B/FV（Fan-Vercauteren）方案和基於環同態加密的CKKS方案。這些進步在特定應用情景中顯示了顯著的效率改善。

全同態加密的概念和主流方案

同态性质

同態加密的關鍵特性是加密和明文操作之間的同態性形式。假設我們有兩個明文(m_1)和(m_2)，其對應的密文為(Enc(m_1))和(Enc(m_2))。加密函數(Enc)和操作(circ)滿足以下性質：

[ Enc(m_1) \circ Enc(m_2) = Enc(m_1 \circ m_2) ]

這種關係意味著對密文進行的操作在解密後與對明文進行的操作產生相同的結果。

自從Gentry提出了第一個全同態加密方案以來，許多研究人員對其進行了改進和優化。這裡介紹了兩種常見的全同態加密方案的技術細節和優缺點：

甘特里的全同態加密方案

Gentry的方案是第一個在理論上可行的全同態加密方案，創新地提出了一種基於理想格子的加密結構。他的方案具有以下特點：

• 理想格加密：根據理想格的複雜數學結構，甘特里的全同態加密方案建立在這基礎之上。理想格提供了一個高度安全的加密基礎，難以破解。根據目前已知的量子和經典算法，理想格問題被認為難以有效解決。這種數學結構為加密提供了足夠的安全性，同時允許對密文進行靈活操作。
• 噪音：每個加密操作都會產生噪音。如果不加控制，噪音會逐漸在操作中累積，最終導致密文解密錯誤。 Gentry 創新地使用了引導技術，允許在執行到一定深度的計算後消除噪音。因此，他提出的方案具有無限深度，可以支持無限數量的計算。
• 引導啟動：在引導啟動過程中，密文本身被重新加密，使得加密方案能夠保持加密數據的正確性同時清除噪聲。引導啟動的核心是在加密狀態下對密文進行遞歸操作並在計算過程中管理噪聲累積。通過這種遞歸操作，可以進行無限制的計算。

Brakerski-Fan-Vercauteren Scheme (B/FV Scheme)

為了克服Gentry方案中的計算瓶頸，Brakerski、Fan和Vercauteren等研究人員提出了一個基於學習與錯誤（LWE）問題和環學習與錯誤（Ring-LWE）問題的改進方案。B/FV方案主要優化了引導過程。

B/FV 通過一種稱為“模數切換”的技術有效控制和管理噪聲增長，從而延長可以在不需要啟動引導的情況下進行的操作次數。B/FV 方案使用環結構進行加密和計算操作。具體來說，消息和密文被表示為多項式，使用環學習與錯誤（Ring-LWE）問題將計算操作轉換為多項式上的操作。這種表示大大提高了加密和解密的效率，並允許進行更有效的同態操作。

與根特里方案相比，B/FV 在加密和解密操作方面更高效，尤其是在執行簡單的同態加法和乘法時，其性能得到了很大的優化。B/FV 方案的優勢在於減少了重新啟動所需的計算開銷，使全同態加密在實際應用中更具可行性。然而，在執行複雜的多步計算時，該方案仍然會遇到噪聲累積的問題，最終仍然需要使用重新啟動技術來消除噪聲。

全同態加密的特點和挑戰

雖然全同態加密在安全資料分享和靈活資料處理方面具有優勢，但仍面臨高計算開銷的挑戰。在資料分享情境中，全同態加密確保未經授權的第三方在傳輸和處理過程中無法存取資料。資料擁有者可以放心地與其他方分享加密的資料，其他方可以在加密狀態下處理資料並將結果返回給原始資料擁有者。與其他演算法解決方案相比，其資料處理方法更靈活，適用於各種需要加密處理的資料密集任務，如機器學習、統計分析和財務計算。

儘管全同態加密是一個前瞻性的概念，但其最大的挑戰是高計算成本。現有的全同態加密方案在執行複雜計算（特別是乘法或多步操作）時消耗大量計算資源。性能瓶頸是其廣泛應用的主要障礙，研究人員不斷努力提高效率，旨在使全同態加密成為實際應用中的主流技術。

全同態加密在傳統領域中的應用

應用場景

在雲計算時代，隱私保護至關重要。許多企業和個人將數據存儲在雲中，並依靠雲伺服器執行各種計算任務。這在患者數據隱私至關重要的醫療領域尤其重要。完全同態加密為醫療機構提供了強大的保護，使他們能夠在保持數據加密的同時進行統計分析和疾病建模。這可確保敏感資訊保持安全，防止未經授權的訪問。金融行業還處理高度敏感的數據，例如客戶投資組合和信用評估。全同態加密允許金融機構在不解密數據的情況下進行風險分析和財務建模，從而為使用者隱私和數據安全提供雙重保護。

全同態加密在區塊鏈領域的應用

應用場景

全同态加密为区块链上的智能合约增加了一层隐私保护，使用户能够执行合约而不必透露输入数据。这项技术在DeFi领域尤其有价值，用户可以在借贷和交易期间隐藏资金余额和交易细节，从而保护个人隐私。此外，全同态加密为数字货币的隐私保护开辟了新的途径。虽然像门罗币和Zcash这样的隐私币已经采用了先进的加密技术，但全同态加密可以进一步模糊交易金额和参与者身份，增强交易机密性。在去中心化的数据市场或分析场景中，数据提供方可以通过全同态加密安全地共享加密数据，使其他参与者能够进行分析和计算，而不必担心数据泄露，从而提高了数据共享的安全性和效率。

經典例子

Zama是一家致力於區塊鏈領域隱私技術的公司。其專注於基於全同態加密開發隱私保護工具。如需詳細分析，請參考另一份研究報告。

Elusiv是一個隱私保護平台，結合了全同態加密和區塊鏈技術。它主要用於保護區塊鏈上的交易隱私。用戶可以通過Elusiv的系統進行匿名交易，確保交易詳情不被公開，同時仍能夠在鏈上驗證交易的正確性。