Zama团队在EUROCRYPT 2025上展示了其在全同态加密(FHE)方面的最新研究成果,该研究旨在通过控制密文漂移来提高FHE的安全性及效率,特别是在IND-CPAD安全模型下。他们提出了一系列新技术,能够在不显著增加计算成本的前提下,降低解密错误的概率,从而提升FHE在实际应用中的安全性,并引入了更强的安全模型sIND-CPAD。
📣 激动人心的消息!我们关于改进全同态加密(FHE)的安全性和效率的最新研究将在EUROCRYPT 2025上展示,该会议将于2025年5月4日至8日在马德里举行!
问题:为什么解密失败在FHE中很重要?
全同态加密(FHE)允许对加密数据进行计算,使其成为保护隐私应用的一个游戏规则改变者。然而,确保效率和强大的安全性是一个主要的挑战。 在实践中,允许一个小的解密错误概率可以通过减少计算开销和内存需求来显著提高性能。 然而,这种权衡引入了潜在的漏洞,尤其是在从标准的IND-CPA安全转向更强的IND-CPAD安全时。
FHE方案传统上侧重于实现IND-CPA安全,确保攻击者无法区分在选择明文攻击下加密的消息。 然而,在某些实际部署中——尤其是在公钥场景中——攻击者可能会利用解密失败来提取敏感信息。 这促使引入了IND-CPAD安全,它考虑了攻击者可能将从已知明文派生的密文提交给解密 oracle 的场景,从而暴露潜在的弱点。
对于完全正确的FHE方案(解密永远不会失败),IND-CPAD和IND-CPA是等价的。 然而,由于大多数实际的FHE方案都有一个很小但非零的解密失败概率,因此当只考虑IND-CPA安全性时,会出现新的漏洞。
我们的贡献:控制密文漂移
我们的工作引入了密文漂移,作为影响FHE方案(如FHEW、TFHE和FINAL)中解密错误的一个关键因素。 我们观察到,标准的模切换操作是误差增长的一个主要来源,这使得FHE方案更容易受到IND-CPAD安全模型中的攻击。
我们没有依靠更大的密码学参数来抑制解密失败(这会显著影响效率),而是提出了一种新的方法,从根本上直接缓解漂移。
我们提出了三个关键见解:
- 新的模切换技术 -> 降低失败概率,而不会增加计算成本。
- 实际影响 -> 我们的方法以无明显性能开销实现更高的安全性,使FHE对于现实世界的应用程序来说更安全。
- 改进的安全概念 -> 我们引入了sIND-CPAD,一个更强的安全模型,解决了现实世界的攻击场景。
因为我们的漂移缓解方法避免了大幅更改密码学参数,所以性能开销可以忽略不计。 典型用例的基准测试表明,我们的技术可以无缝集成到现有的FHE框架中,计算成本极低,同时显著增强其针对基于解密失败的攻击的安全性。 我们对防止大漂移的建议对策进行了广泛的研究和分析。 实际测量的数值实验证实了我们从分析中得到的结果和具体参数。 特别是,事实证明,我们的一种通用防御通常会使失败概率的强度加倍,从2−κ 到 2−2κ。
即使使用IND-CPAD安全,如果攻击者对加密随机性有一定的控制权,实际攻击仍然可能存在。 我们的研究定义了sIND-CPAD,一种比IND-CPAD严格更强的安全概念,因此确保了针对更高级的对抗模型的弹性。 我们提供了一个标准,将IND-CPAD安全方案转换为sIND-CPAD安全方案。 我们新开发的几种技术自然会导致sIND-CPAD安全,而无需额外的计算成本。
为什么这很重要
我们的结果表明,使用我们的新技术可以显著改进现有的FHE参数集——而无需在效率方面做出不切实际的权衡。 这项工作直接应用于保护隐私的AI、安全数据处理和密码学协议,在这些领域,强大的安全保证至关重要。
加入我们在EUROCRYPT 2025
我们很高兴在马德里举行的EUROCRYPT 2025上展示这项工作! 如果你正在研究FHE、密码学安全或安全计算,我们很乐意讨论我们的发现如何影响你的研究和应用。
请继续关注更多更新,马德里见!
