在同态加密系统中，是否存在一种在执行选定密文攻击时无法执行的可延展性的方法？

Question

• 在同态加密系统中，是否存在一种在执行选定密文攻击时无法执行的可延展性的方法？

最近我读到了关于同态加密和可展密码系统的文章，发现它很吸引人。我仍然有很多的阅读，然而，我发现在我的阅读声明，可延展性本质上是对抗安全选择密文攻击。

当我读到更多关于这种关系的文章时，我很想知道是否有一种方法可以在选择的密文攻击计算上不可行的同时保持延展性呢？为什么或者为什么不？

Answer 1

我知道在这个问题上有两方面的工作。确实有可能允许可延展性，但仍然可以在选择密文攻击的情况下做出一些保证：

• 调和非可塑性与同态加密：Manoj & Mike .
• Dan，Gil和Brent Waters：目标延展性:用于受限计算的同态加密。

这两篇论文都给出了加密方案(和安全定义)，允许对某些允许的转换(作为特性)进行可展性\textsf{Enc}(m) \leadsto \textsf{Enc}(T(m)) (作为一种特性)，但任何其他类型的可伸缩性都是不可行的。

作为一个具体的例子，假设唯一允许的转换是身份转换。然后，可以将\textsf{Enc}(m)转换为同一(未知) m的另一种“新”加密。但是，将\textsf{Enc}(m)转换为与m相关的任何m' \ne m是不可行的。这种特殊情况称为"rerandomizable“加密。

第一篇论文是我的工作，是我们三篇会议论文的组合；与你的问题最相关的一篇是这一个。我们的构造还有额外的安全性要求:通过\textsf{Enc}(m) \leadsto \textsf{Enc}(T(m))获得的“转换”密文应该与“新的”密文(甚至对私钥持有者)无法区分。我们只考虑一元变换的情况，因为在这些定义下，n进制变换(即将几个密文合并在一个变换中)是不可能的。

第二篇论文没有这个额外的要求--所以“转换的”密文看起来与“新鲜的”密文不同。他们使用了一种附加ZK证明的方法，证明在一些原始密文上使用了允许的转换。