全同态加密中漂移到更好的错误概率

ZamaFHE
发布于 2025-04-09 17:34
阅读 22

Zama团队在EUROCRYPT 2025上展示了其在全同态加密(FHE)方面的最新研究成果，该研究旨在通过控制密文漂移来提高FHE的安全性及效率，特别是在IND-CPAD安全模型下。他们提出了一系列新技术，能够在不显著增加计算成本的前提下，降低解密错误的概率，从而提升FHE在实际应用中的安全性，并引入了更强的安全模型sIND-CPAD。

[![](https://img.learnblockchain.cn/2025/04/23/646eaa9b9a4784ac233a2025_zama20logo20black.png)](https://www.zama.ai/)

[博客](https://www.zama.ai/blog)

[研究](https://www.zama.ai/category/research)

## 在全同态加密中，朝着更好的错误概率漂移

2025年4月8日

Marc Joye

* * *

📣 激动人心的消息！我们关于改进全同态加密（FHE）的安全性和效率的最新研究将在[EUROCRYPT 2025](https://eurocrypt.iacr.org/2025/acceptedpapers.php)上展示，该会议将于2025年5月4日至8日在马德里举行!

#### 问题：为什么解密失败在FHE中很重要？

全同态加密（FHE）允许对加密数据进行计算，使其成为保护隐私应用的一个游戏规则改变者。然而，确保效率和强大的安全性是一个主要的挑战。 在实践中，允许一个小的解密错误概率可以通过减少计算开销和内存需求来显著提高性能。 然而，这种权衡引入了潜在的漏洞，尤其是在从标准的IND-CPA安全转向更强的IND-CPAD安全时。

FHE方案传统上侧重于实现IND-CPA安全，确保攻击者无法区分在选择明文攻击下加密的消息。 然而，在某些实际部署中——尤其是在公钥场景中——攻击者可能会利用解密失败来提取敏感信息。 这促使引入了IND-CPAD安全，它考虑了攻击者可能将从已知明文派生的密文提交给解密 oracle 的场景，从而暴露潜在的弱点。

对于完全正确的FHE方案（解密永远不会失败），IND-CPAD和IND-CPA是等价的。 然而，由于大多数实际的FHE方案都有一个很小但非零的解密失败概率，因此当只考虑IND-CPA安全性时，会出现新的漏洞。

#### 我们的贡献：控制密文漂移

我们的工作引入了密文漂移，作为影响FHE方案（如FHEW、TFHE和FINAL）中解密错误的一个关键因素。 我们观察到，标准的模切换操作是误差增长的一个主要来源，这使得FHE方案更容易受到IND-CPAD安全模型中的攻击。

我们没有依靠更大的密码学参数来抑制解密失败（这会显著影响效率），而是提出了一种新的方法，从根本上直接缓解漂移。

我们提出了三个关键见解：

- 新的模切换技术 -> 降低失败概率，而不会增加计算成本。
- 实际影响 -> 我们的方法以无明显性能开销实现更高的安全性，使FHE对于现实世界的应用程序来说更安全。
- 改进的安全概念 -> 我们引入了sIND-CPAD，一个更强的安全模型，解决了现实世界的攻击场景。

因为我们的漂移缓解方法避免了大幅更改密码学参数，所以性能开销可以忽略不计。 典型用例的基准测试表明，我们的技术可以无缝集成到现有的FHE框架中，计算成本极低，同时显著增强其针对基于解密失败的攻击的安全性。 我们对防止大漂移的建议对策进行了广泛的研究和分析。 实际测量的数值实验证实了我们从分析中得到的结果和具体参数。 特别是，事实证明，我们的一种通用防御通常会使失败概率的强度加倍，从2−κ 到 2−2κ。

即使使用IND-CPAD安全，如果攻击者对加密随机性有一定的控制权，实际攻击仍然可能存在。 我们的研究定义了sIND-CPAD，一种比IND-CPAD严格更强的安全概念，因此确保了针对更高级的对抗模型的弹性。 我们提供了一个标准，将IND-CPAD安全方案转换为sIND-CPAD安全方案。 我们新开发的几种技术自然会导致sIND-CPAD安全，而无需额外的计算成本。

#### 为什么这很重要

我们的结果表明，使用我们的新技术可以显著改进现有的FHE参数集——而无需在效率方面做出不切实际的权衡。 这项工作直接应用于保护隐私的AI、安全数据处理和密码学协议，在这些领域，强大的安全保证至关重要。

#### 加入我们在EUROCRYPT 2025

我们很高兴在马德里举行的EUROCRYPT 2025上展示这项工作！ 如果你正在研究FHE、密码学安全或安全计算，我们很乐意讨论我们的发现如何影响你的研究和应用。

- 在[https://ia.cr/2024/1718/](https://ia.cr/2024/1718/)上阅读我们的完整论文
- 会议详情请见[https://eurocrypt.iacr.org/2025/](https://eurocrypt.iacr.org/2025/)
- 加入5号星期一的Zama聚会：" [小吃、饮料和...全同态加密——Zama聚会和下班后活动](https://lu.ma/zama-meetup-eurocrypt25)"，距离Eurocrypt会场仅5分钟步行路程。

请继续关注更多更新，马德里见！

### 阅读更多相关帖子

未找到项目。

###### 库

[Concrete **↗**](https://github.com/zama-ai/concrete) [Concrete ML **↗**](https://github.com/zama-ai/concrete-ml) [FHEVM **↗**](https://github.com/zama-ai/fhevm) [TFHE-rs **↗**](https://github.com/zama-ai/tfhe-rs)

###### 产品与服务

[保护隐私的机器学习](https://www.zama.ai/products-and-services/privacy-preserving-machine-learning-using-fully-homomorphic-encryption) [机密区块链](https://www.zama.ai/products-and-services/fhevm) [阈值密钥管理系统](https://www.zama.ai/products-and-services/fhe-threshold-key-management-system)

###### 开发者

[博客](https://www.zama.ai/blog) [文档 **↗** ‍](https://docs.zama.ai/) [GITHUB **↗**](https://github.com/zama-ai) [FHE资源 **↗**](http://github.com/zama-ai/awesome-zama) [研究论文 **↗**](https://github.com/zama-ai/awesome-zama?tab=readme-ov-file#research-papers-and-publications) [赏金计划 **↗**](https://github.com/zama-ai/bounty-program) [FHE STATE OS](https://www.zama.ai/fhe-state-operating-system)

###### 公司

[关于](https://www.zama.ai/about) [FHE介绍](https://www.zama.ai/introduction-to-homomorphic-encryption) [活动](https://www.zama.ai/events) [媒体](https://www.zama.ai/press-and-media) [招聘 **↗**](https://jobs.zama.ai/) [法律声明](https://www.zama.ai/legal)

###### 联系方式

[与专家交流](https://www.zama.ai/contact) [联系我们](https://www.zama.ai/contact) [X](https://x.com/zama_fhe) [Discord](https://discord.gg/zama) [Telegram](http://t.me/zama_on_telegram) [所有社区渠道](https://www.zama.ai/community-channels)

隐私对于电子时代的开放社会是必要的。 隐私不是保密。 私事是不想让全世界知道的事情，但秘密是不想让任何人知道的事情。 隐私是有选择地向世界展示自己的力量。如果双方有某种交易，那么每一方都记得他们的互动。 每一方都可以谈论自己对这件事的记忆； 谁能阻止呢？ 可以通过法律来禁止它，但是言论自由，甚至比隐私更重要，是开放社会的基础； 我们尽量不限制任何言论。 如果许多各方在同一论坛中一起发言，则每个人都可以对所有其他人说话，并将有关个人和其他各方的知识汇总在一起。 电子通信的力量实现了这种群体语音，并且它不会仅仅因为我们可能希望它消失而消失。由于我们渴望隐私，因此我们必须确保交易的每一方仅了解该交易直接需要的知识。 由于可以谈论任何信息，因此我们必须确保尽可能少地透露信息。 在大多数情况下，个人身份并不重要。 当我在商店购买杂志并将现金交给店员时，没有必要知道我是谁。 当我要求我的电子邮件提供商发送和接收消息时，我的提供商无需知道我在与谁交谈或我在说什么或其他人对我说什么。 我的提供商只需要知道如何到达该消息以及我欠他们的费用。 当我的身份被交易的底层机制泄露时，我没有隐私。 我无法在此有选择地展示自己； 我必须始终展示自己。因此，开放社会中的隐私需要匿名交易系统。 到目前为止，现金一直是主要的此类系统。 匿名交易系统不是秘密交易系统。 匿名系统使个人能够在需要时以及仅在需要时透露其身份。 这是隐私的本质。开放社会中的隐私还需要密码学。 如果我说些什么，我希望只有我打算让其听到的人才能听到。 如果我的演讲内容对全世界开放，我将没有隐私。 加密是为了表明对隐私的渴望，而使用弱密码学加密则表明对隐私的渴望不大。 此外，在默认设置为匿名的情况下，为了有把握地公开一个人的身份，需要使用密码学签名。我们不能期望政府、公司或其他大型、无面孔的组织出于仁慈而赋予我们隐私。 谈论我们对他们有利，我们应该期望他们会说话。 试图阻止他们的讲话是与信息的现实作斗争。 信息不仅仅是想自由，它渴望自由。 信息会扩展以填充可用的存储空间。 信息是谣言的年轻而强大的表亲。 信息的脚步更快，眼睛更多，知道的更多，理解的比谣言少。如果我们希望拥有隐私，就必须捍卫自己的隐私。 我们必须团结起来，创建允许进行匿名交易的系统。 几个世纪以来，人们一直通过耳语、黑暗、信封、紧闭的门、秘密握手和信使来捍卫自己的隐私。 过去的技术不允许强大的隐私，但是电子技术可以。我们这些密码朋克致力于构建匿名系统。 我们正在使用密码学、匿名邮件转发系统、数字签名和电子货币来捍卫我们的隐私。密码朋克编写代码。 我们知道必须有人编写软件来保护隐私，并且由于除非我们所有人都这样做，否则我们无法获得隐私，因此我们将编写它。 我们发布我们的代码，以便我们的密码朋克同伴可以练习和使用它。 我们的代码可供全球所有人免费使用。 如果你不赞成我们编写的软件，我们并不在乎。 我们知道软件无法销毁，并且无法关闭广泛分散的系统。密码朋克谴责对密码学的法规，因为加密本质上是一种私人行为。 实际上，加密行为会将信息从公共领域中删除。 即使是针对密码学的法律也只能达到一个国家的边界和暴力的范围。 密码学必将在全球范围内传播，随之而来的是它实现的匿名交易系统。为了使隐私得到广泛传播，它必须成为社会契约的一部分。 人们必须为了共同利益而共同部署这些系统。 隐私只能扩展到社会中某人的同伴的合作。 我们这些密码朋克寻求你的问题和顾虑，并希望我们能与你互动，以免我们欺骗自己。 但是，由于某些人可能不同意我们的目标，因此我们不会改变我们的路线。密码朋克正在积极参与使网络对于隐私更加安全。 让我们一起前进。 Eric Hughes撰写。 1993年3月9日。

>- 原文链接： [zama.ai/post/drifting-to...](https://zama.ai/post/drifting-towards-better-error-probabilities-in-fully-homomorphic-encryption)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

博客

研究

在全同态加密中，朝着更好的错误概率漂移

2025年4月8日

Marc Joye

📣 激动人心的消息！我们关于改进全同态加密（FHE）的安全性和效率的最新研究将在EUROCRYPT 2025上展示，该会议将于2025年5月4日至8日在马德里举行!

问题：为什么解密失败在FHE中很重要？

全同态加密（FHE）允许对加密数据进行计算，使其成为保护隐私应用的一个游戏规则改变者。然而，确保效率和强大的安全性是一个主要的挑战。在实践中，允许一个小的解密错误概率可以通过减少计算开销和内存需求来显著提高性能。然而，这种权衡引入了潜在的漏洞，尤其是在从标准的IND-CPA安全转向更强的IND-CPAD安全时。

FHE方案传统上侧重于实现IND-CPA安全，确保攻击者无法区分在选择明文攻击下加密的消息。然而，在某些实际部署中——尤其是在公钥场景中——攻击者可能会利用解密失败来提取敏感信息。这促使引入了IND-CPAD安全，它考虑了攻击者可能将从已知明文派生的密文提交给解密 oracle 的场景，从而暴露潜在的弱点。

对于完全正确的FHE方案（解密永远不会失败），IND-CPAD和IND-CPA是等价的。然而，由于大多数实际的FHE方案都有一个很小但非零的解密失败概率，因此当只考虑IND-CPA安全性时，会出现新的漏洞。

我们的贡献：控制密文漂移

我们的工作引入了密文漂移，作为影响FHE方案（如FHEW、TFHE和FINAL）中解密错误的一个关键因素。我们观察到，标准的模切换操作是误差增长的一个主要来源，这使得FHE方案更容易受到IND-CPAD安全模型中的攻击。

我们没有依靠更大的密码学参数来抑制解密失败（这会显著影响效率），而是提出了一种新的方法，从根本上直接缓解漂移。

我们提出了三个关键见解：

新的模切换技术 -> 降低失败概率，而不会增加计算成本。
实际影响 -> 我们的方法以无明显性能开销实现更高的安全性，使FHE对于现实世界的应用程序来说更安全。
改进的安全概念 -> 我们引入了sIND-CPAD，一个更强的安全模型，解决了现实世界的攻击场景。

因为我们的漂移缓解方法避免了大幅更改密码学参数，所以性能开销可以忽略不计。典型用例的基准测试表明，我们的技术可以无缝集成到现有的FHE框架中，计算成本极低，同时显著增强其针对基于解密失败的攻击的安全性。我们对防止大漂移的建议对策进行了广泛的研究和分析。实际测量的数值实验证实了我们从分析中得到的结果和具体参数。特别是，事实证明，我们的一种通用防御通常会使失败概率的强度加倍，从2−κ 到 2−2κ。

即使使用IND-CPAD安全，如果攻击者对加密随机性有一定的控制权，实际攻击仍然可能存在。我们的研究定义了sIND-CPAD，一种比IND-CPAD严格更强的安全概念，因此确保了针对更高级的对抗模型的弹性。我们提供了一个标准，将IND-CPAD安全方案转换为sIND-CPAD安全方案。我们新开发的几种技术自然会导致sIND-CPAD安全，而无需额外的计算成本。

为什么这很重要

我们的结果表明，使用我们的新技术可以显著改进现有的FHE参数集——而无需在效率方面做出不切实际的权衡。这项工作直接应用于保护隐私的AI、安全数据处理和密码学协议，在这些领域，强大的安全保证至关重要。

加入我们在EUROCRYPT 2025

我们很高兴在马德里举行的EUROCRYPT 2025上展示这项工作！如果你正在研究FHE、密码学安全或安全计算，我们很乐意讨论我们的发现如何影响你的研究和应用。

在https://ia.cr/2024/1718/上阅读我们的完整论文
会议详情请见https://eurocrypt.iacr.org/2025/
加入5号星期一的Zama聚会：" 小吃、饮料和...全同态加密——Zama聚会和下班后活动"，距离Eurocrypt会场仅5分钟步行路程。

请继续关注更多更新，马德里见！

阅读更多相关帖子

未找到项目。

隐私对于电子时代的开放社会是必要的。隐私不是保密。私事是不想让全世界知道的事情，但秘密是不想让任何人知道的事情。隐私是有选择地向世界展示自己的力量。如果双方有某种交易，那么每一方都记得他们的互动。每一方都可以谈论自己对这件事的记忆；谁能阻止呢？可以通过法律来禁止它，但是言论自由，甚至比隐私更重要，是开放社会的基础；我们尽量不限制任何言论。如果许多各方在同一论坛中一起发言，则每个人都可以对所有其他人说话，并将有关个人和其他各方的知识汇总在一起。电子通信的力量实现了这种群体语音，并且它不会仅仅因为我们可能希望它消失而消失。由于我们渴望隐私，因此我们必须确保交易的每一方仅了解该交易直接需要的知识。由于可以谈论任何信息，因此我们必须确保尽可能少地透露信息。在大多数情况下，个人身份并不重要。当我在商店购买杂志并将现金交给店员时，没有必要知道我是谁。当我要求我的电子邮件提供商发送和接收消息时，我的提供商无需知道我在与谁交谈或我在说什么或其他人对我说什么。我的提供商只需要知道如何到达该消息以及我欠他们的费用。当我的身份被交易的底层机制泄露时，我没有隐私。我无法在此有选择地展示自己；我必须始终展示自己。因此，开放社会中的隐私需要匿名交易系统。到目前为止，现金一直是主要的此类系统。匿名交易系统不是秘密交易系统。匿名系统使个人能够在需要时以及仅在需要时透露其身份。这是隐私的本质。开放社会中的隐私还需要密码学。如果我说些什么，我希望只有我打算让其听到的人才能听到。如果我的演讲内容对全世界开放，我将没有隐私。加密是为了表明对隐私的渴望，而使用弱密码学加密则表明对隐私的渴望不大。此外，在默认设置为匿名的情况下，为了有把握地公开一个人的身份，需要使用密码学签名。我们不能期望政府、公司或其他大型、无面孔的组织出于仁慈而赋予我们隐私。谈论我们对他们有利，我们应该期望他们会说话。试图阻止他们的讲话是与信息的现实作斗争。信息不仅仅是想自由，它渴望自由。信息会扩展以填充可用的存储空间。信息是谣言的年轻而强大的表亲。信息的脚步更快，眼睛更多，知道的更多，理解的比谣言少。如果我们希望拥有隐私，就必须捍卫自己的隐私。我们必须团结起来，创建允许进行匿名交易的系统。几个世纪以来，人们一直通过耳语、黑暗、信封、紧闭的门、秘密握手和信使来捍卫自己的隐私。过去的技术不允许强大的隐私，但是电子技术可以。我们这些密码朋克致力于构建匿名系统。我们正在使用密码学、匿名邮件转发系统、数字签名和电子货币来捍卫我们的隐私。密码朋克编写代码。我们知道必须有人编写软件来保护隐私，并且由于除非我们所有人都这样做，否则我们无法获得隐私，因此我们将编写它。我们发布我们的代码，以便我们的密码朋克同伴可以练习和使用它。我们的代码可供全球所有人免费使用。如果你不赞成我们编写的软件，我们并不在乎。我们知道软件无法销毁，并且无法关闭广泛分散的系统。密码朋克谴责对密码学的法规，因为加密本质上是一种私人行为。实际上，加密行为会将信息从公共领域中删除。即使是针对密码学的法律也只能达到一个国家的边界和暴力的范围。密码学必将在全球范围内传播，随之而来的是它实现的匿名交易系统。为了使隐私得到广泛传播，它必须成为社会契约的一部分。人们必须为了共同利益而共同部署这些系统。隐私只能扩展到社会中某人的同伴的合作。我们这些密码朋克寻求你的问题和顾虑，并希望我们能与你互动，以免我们欺骗自己。但是，由于某些人可能不同意我们的目标，因此我们不会改变我们的路线。密码朋克正在积极参与使网络对于隐私更加安全。让我们一起前进。 Eric Hughes撰写。 1993年3月9日。