一个同态加密是指明文被加密后,可以根据密文运算,然后,解密的结果和用明文运算一致。除了基本的同态要求外,一个好的同态加密方案应该满足以下三个性质:语义安全、紧凑和高效解密。
语义安全或者IND-CPA安全
给定两个明文和
,其对应的同态加密密文分别为
和
。假设敌手只知道其中一个密文c,他最多只能以
的概率判断出c是
还是
,其中
是一个正无穷小。也就是说,敌手无法使用任何有效的算法判断出c是
还是
,最好的方法是随机猜测。这意味着,密文不会泄漏明文的任何信息。一般来说,这是通过在加密过程中加入随机因数来实现的。
紧凑
一个同态方案是紧凑的,是说密文的大小不会随着同态计算而增加。也就是说,通过同态计算得到的密文应该和直接用结果加密得到的密文是一样大的。这保证了可以进行多次同态计算,而不会导致密文大小的膨胀。同时,也使得通过同态计算得到的密文和直接加密的密文无法区分,具有更好的安全性。
高效解密
高效解密是说,一个同态方案的解密,不会因为密文被多次同态计算而增加解密的复杂度。也就是说,解密不依赖于密文是否被同态计算。这使得解密可以独立于同态计算。