上一篇介绍了什么是同态隐藏。假设取E(x)=gx,则E(x+y)可以通过E(x)和E(y)计算出来:
E(x+y)=E(x)⋅E(y)
实际上,不仅仅支持加法,支持所有"线性组合"的同态隐藏,比如E(ax+by):
E(ax+by)=gax+by=gax⋅gby=(gx)a⋅(gy)b=E(x)a⋅E(y)b
需要注意的是,上面的加法和乘法运算都是模p运算。
假设现在有一个d次多项式P(X)=a0+a1⋅X+a2⋅X2+…+ad⋅Xd,其中的系数a0,…,ad∈{0,p−1}是Alice需要保护的秘密。根据上面的特性,我们可以计算出E(P(X)):
E(P(X))=E(1)a0⋅E(X)a1⋅E(X2)a2…⋅E(Xd)ad
现在Bob想来验证Alice是不是真的知道这些秘密,于是他决定随机指定一个数s,要求Alice计算E(P(s))等于多少。但是,Bob不想直接把s的值告诉Alice,也就是说,这个s是Bob的秘密。显然,这又需要一次同态隐藏,也就是说,Bob把下面这些值提供给Alice:
E(s),E(s2),E(s3),…,E(sd)
然后Alice就可以根据上面的公式计算E(P(s))的值:
E(P(s))=E(1)a0⋅E(s)a1⋅E(s2)a2…⋅E(sd)ad
最终的效果是:在Bob不知道P(X)中的系数是多少,而Alice也不知道s等于多少的情况下,完成多项式的验证。这就是所谓的"多项式盲计算"。
下面举个例子来加深理解,假设P(X)=1+2X+3X2,E(x)=3x,p=7:
Bob想验证s=2这一点上的E(P(s))的值,那么他需要提供这2个值:E(s)=2,E(s2)=4
然后Alice根据这3个值计算E(P(s))的值然后返回给Bob:
E(P(s))=E(1)1⋅E(s)2⋅E(s2)3=3⋅4⋅64∣mod7=768∣mod7=5
最后,我们来看一下E(P(2))是不是真的等于5:
E(P(2))=E(1+2⋅21+3⋅22)=E(17∣mod6)=E(5)=35∣mod7=243∣mod7=5
实际上,这背后依赖的理论基础是Schwartz-Zippel引理:在一个很大的集合中随机选择一组数,满足某个多项式取值的概率几乎为0。因此,随机选一个点,然后在Alice不知道该点的值的情况下,提供多项式的值以供Bob验证。
那么问题来了:Bob怎么验证Alice提供的E(P(s))的值对不对呢?且听下回分解。
更多文章欢迎关注“鑫鑫点灯”专栏:https://blog.****.net/turkeycock
或关注飞久微信公众号:
