加密货币安全基石: 详解 Paillier 同态加密并使用币安tss-lib库同态加密在加密货币领域具有广泛的应用, 在

背景同态加密在加密货币领域具有极强重要的作用, 在多方协同签名进行转账, 智能合约方面都有同态加密的身影。看完本文, 你将有能力掌握同态加密的最经典算法 Paillier 同态加密, 并且使用Binance的 tss-lib 进行同态加密与解密。

什么是同态加密

同态加密其实是一种特殊的加密技术，它具有一种特殊的性质，即在密文上进行某种特定运算操作后，再解密得到的结果与在明文上进行同样的运算操作结果相同。

换句话说，同态加密允许在加密状态下进行计算操作，而无需解密。

比如 Paillier 同态加密就有下面这个性质:

(m1+m2) \enspace mod \enspace n =D(E(m1,r1)\cdot E(m2,r2) \enspace mod \enspace n^2)

这个性质就很有意思了，比如 m1 和 m2 是两个分片密钥被两个人把持，这两个人想计算出共享密钥进行转账, 但谁都不想把自己的密钥泄露给另外一个人。这时候就可以找一个靠谱的第三方比如加密币交易所, 交易所提前分配给两个人一把公钥匙，交易所对两个人的密文进行计算然后解密即可得到共享密钥, 然后对转账进行签名，整个过程是在内存中完成, 交易所本身并不会对分片密钥做任何保存，所以对于 m1 和 m2 密钥分片的持有者来说是安全的。当然, 实际的交易所的密钥分发，保存，签名会比这个更加复杂和安全，这里只是简单的举个例子。不过核心思想都是类似的，都是在想办法通过密文上的计算来间接计算明文或者验证明文。

前置知识

为了彻底理解同态加密，这里我列举了一些需要用到的数学定理，公式。

二次项定理/泰勒展开

（1+n）^m = \binom{m}{0}n^m + \binom{m}{1}n^{m-1} + ... + \binom{m}{m-2}n^2+ \binom{m}{m-1}n^1+\binom{m}{0}n^0 \\ = \binom{m}{0}n^m + \binom{m}{1}n^{m-1} +... + \binom{m}{m-2}n^2 + mn+1

若上式对 n的平方进行取模, 可以看出除了最后两项其他全部为零,也就是

（1+n）^m \enspace mod \enspace n^2 = (mn +1)\enspace mod \enspace n^2 \\

算术基本定理

任意正整数 n 可以写成 多个质数次方的积: N = p_1^{a1} p_2^{a2} ... p_n^{an} \\ 其中 a1, a2..., an 均为正整数

剩余类/同余类

设模为n, 根据对n取模将所有正整数分为n类, 记作 [1,], [2], ...[n-1] \\ 把所有与整数a模n同余的整数构成的集合叫做模n的一个剩余类，记作[a], a 为 [a] 的代表元 \\ 如n=5, a=1, [1] ={1,6,11,26,21...} 这些数字对5取模都为1

费马小定理

若 a 为正整数, p 为质数, 则有 : \\ a^{p-1} \equiv 1 \enspace mod \enspace p

欧拉函数

\psi(n) 为 小于等于n的正整数中与n互质的数的数目 \\ 如 \enspace \psi(5) = 4,\enspace 因为有4个数与5互质 分别是 : 1,2,3,4 \\ 若 \enspace 为质数时 很容易得到 \psi(n) = n-1

欧拉函数性质

若 p,q 互质, n =pq, 则 \psi(n) = \psi(p) \psi(q) = (p-1)(q-1),

欧拉定理

若 \enspace n \enspace 与 \enspace a \enspace 互质, 则 \enspace a^{\psi(n)} \equiv 1 \enspace mod \enspace n \enspace

Carmichael 函数

Carmichael \enspace 函数 \enspace \lambda(n) \enspace 为满足 \enspace a^{\lambda(n)} \equiv 1 \enspace mod \enspace n \enspace 的最小值 \\ 其中 \enspace a \enspace 为 \enspace a \enspace 模 \enspace n \enspace 的同余类的生成元 \\ \lambda(n) = \begin{cases} \psi(n), n =1,2,3,4,5,6,7,9,10,11... n 为奇质数的次方 \\ \frac{1}{2} \psi(n), n =8,16,32,64 ... n 为2,4以外的2的次方 \end{cases} \\ 如 n=8, \lambda(8) = \frac{1}{2}\psi(8) =2 \\ a为 [7]的同余类={7,15,23... } \\ 可以验证: 7^2 \equiv \enspace 1 \enspace mod \enspace 8 \enspace , 15^2 \equiv \enspace 1 \enspace mod \enspace 8 \enspace ,23^2 \equiv \enspace 1 \enspace mod \enspace 8 \enspace

Carmichael 定理

\lambda(N) = \lambda(p_1^{a1} p_2^{a2} ... p_n^{an} ) = l_{cm}[\lambda(p_1^{a1})\lambda(p_2^{a2}) ... \lambda(p_n^{an}) ], \\ 其中 l_{cm} 为 \enspace lowest \enspace common \enspace value \enspace也就是最小公倍数

Carmichael 函数与欧拉定理

当 n 与 a 互质时, 可以看出 \enspace Carmichael \enspace 函数 就是 欧拉函数, 即: \enspace \lambda(n) = \psi（n）

根据欧拉函数性与 Carmichael 定理, Carmichael 函数也有如下性质:

若 p, q 互质, n = pq, \\ 则有 \enspace \lambda(n) = \lambda(pq) =l_{cm}[\lambda(p)\lambda(q)] = l_{cm}[\psi(p)\psi(q)] = l_{cm}[(p-1)(q-1)]

根据上式可以得出 $p-1$ , $q-1$ 与 $\lambda(n)$ 之间的关系:

\lambda(n) 为 p-1 \enspace 的 倍数 \\ \lambda(n) 为 q-1 \enspace 的 倍数

Carmichael 函数重要推论

Carmichael 函数有与Paillier 同态加密算法紧密相关的两个重要推论:

对于任意正整数 r, 都有 \\ (1) \enspace r^{\lambda(n)} \equiv 1 \enspace mod \enspace n \\\ (2) \enspace r^{n\lambda(n)} \equiv 1 \enspace mod \enspace n^2

若将 $\lambda(n)$ 简写成 $\lambda$ 则有:

对于任意正整数 r, 都有 \\ (1) \enspace r^{\lambda} \equiv 1 \enspace mod \enspace n \\\ (2) \enspace r^{n\lambda} \equiv 1 \enspace mod \enspace n^2

下面来证明上面的 (1) 式和 (2) 式

证明（1）式

根据 Carmichael 函数与欧拉定理 章节部分有:

\lambda(n) = l_{cm}[(p-1)(q-1)] \\ \lambda(n) 为 p-1 \enspace 的 倍数 \\ \lambda(n) 为 q-1 \enspace 的 倍数

所以 $\lambda(n)$ 可以写成如下形式:

\begin{cases} \lambda(n) = k1(p-1), 一定存在一个正整数k1满足此式 \\ \lambda(n) = k2(q-1), 一定存在一个正整数k2满足此式 \end{cases}

将 $r^{\lambda(n)} = r^{k1(p-1)}$ 重写:

r^{\lambda(n)} = r^{k1(p-1)} = (r^{(k1)})^{p-1}

根据费马小定理 $a^{p=1} \equiv 1 mod p$ 可得:

r^{\lambda(n)} = r^{k1(p-1)} = (r^{(k1)})^{p-1}\equiv 1 mod p

即:

r^{\lambda(n)} \equiv 1 mod p

两边同时减去1 , 得:

r^{\lambda(n)} - 1 \equiv 0 mod p

也就是 $r^{\lambda(n)} - 1 为 p$ 的倍数

同理: $r^{\lambda(n)} - 1 为 q$ 的倍数

因为 $r^{\lambda(n)} - 1 为 p 和 q$ 的公倍数, 而 $n=pq$ , 所以有 $r^{\lambda(n)} - 1 为 n$ 的公倍数, 用公式表达出来就是这样:

r^{\lambda(n)} - 1 \equiv 0 \enspace mod \enspace n, \enspace n = pq \\ r^{\lambda(n)} \equiv 1 \enspace mod \enspace n

（1）式得证

证明（2）式

根据(1)式 :

r^{\lambda(n)} \equiv 1 \enspace mod \enspace n \\ \Rightarrow r^{\lambda(n)} -1 \equiv 0\enspace mod \enspace n \\ \Rightarrow r^{\lambda(n)} -1 为 \enspace n \enspace 的整数倍 \\ \Rightarrow 一定存在一个整数 k 满足: r^{\lambda(n)} -1 = kn \\ \Rightarrow 一定存在一个整数 k 满足: r^{\lambda(n)} = kn+1

两边同时取 n 次方得到:

r^{\lambda(n)n} = (kn+1)^n

两边同时对 $n^2$ 取模:

r^{\lambda(n)n} \enspace mod \enspace n^2= (kn+1) ^n \enspace mod \enspace n^2

根据二次项定理的推论,

r^{\lambda(n)n} \enspace mod \enspace n^2 = (kn+1) ^n \enspace mod \enspace n^2 = (1+knn) \enspace mod \enspace n^2 = (1+kn^2) \enspace mod \enspace n^2 =1 \\ \Rightarrow r^{\lambda(n)n} \enspace mod \enspace n^2 =1 \\ \Rightarrow r^{\lambda(n)n} \equiv 1 \enspace mod \enspace n^2

（2）式得证明

Paillier 同态加密

密钥生成

定义: p,q 为大素数, n =pq, g=n+1

定义: 公钥 $pubKey = n$ , 私钥 $priKey = （p,q）$

安全性保障

可以看出 Paillier 加密的私钥安全性依赖于大整数的因数分解, 这点和RSA相同, 也就是同等密钥长度下, Paillier加密的安全性与RSA加密相当。

加密

密文 $c \enspace = \enspace g^m \cdot r^n \cdot mod \enspace n^2$ , 其中 $m$ 为明文, $r 为随机数$

解密

定义: $\lambda = l_{cm}((p-1),(q-1)), \enspace l_{cm} 为最小公倍数$

定义: 函数 $L(y)=\frac{y-1}{n}$

定义: $\mu = (L(g^{\lambda})\enspace mod \enspace n^2)^{-1} \enspace mod \enspace n$

解密: $m= L(c^{\lambda} \enspace mod \enspace n^2) \cdot \mu \enspace mod \enspace n^2$

正确性证明

下面来证明 $m= L(c^{\lambda} \enspace mod \enspace n^2) \cdot \mu \enspace mod \enspace n^2$

1. 计算 $c^{\lambda} \enspace mod \enspace n^2$

c^{\lambda} \enspace mod \enspace n^2 = (g^m \cdot r^n)^{\lambda} \enspace mod \enspace n^2 \\ = g^{\lambda m} \cdot c^{\lambda n} \enspace mod \enspace n^2

将上面的 Carmichael 函数重要推论的 (2)式 $c^{\lambda n} \equiv 1 \enspace mod \enspace n^2$ 以及 $g=1+n$ 带入上式得到:

c^{\lambda} \enspace mod \enspace n^2 = (g^m \cdot r^n)^{\lambda} \enspace mod \enspace n^2 \\ = g^{\lambda m} \cdot c^{\lambda n} \enspace mod \enspace n^2 \\ = g^{\lambda m} \cdot 1 mod \enspace n^2 \\ = （1+n）^{\lambda n} \cdot 1 mod \enspace n^2

根据上面的二项式展开公式可以看出 $（n+1）^{\lambda n} \cdot 1 mod \enspace n^2$ 只剩最后两项, 所以有:

c^{\lambda} \enspace mod \enspace n^2 = (g^m \cdot r^n)^{\lambda} \enspace mod \enspace n^2 \\ = g^{\lambda m} \cdot c^{\lambda n} \enspace mod \enspace n^2 \\ = g^{\lambda m} \cdot 1 mod \enspace n^2 \\ = （1+n）^{\lambda m} \cdot 1 mod \enspace n^2 \\ = (1+ nm\lambda） mod \enspace n^2

2. 计算 $L(c^{\lambda} \enspace mod \enspace n^2)$

L(c^{\lambda} \enspace mod \enspace n^2) = \frac{c^{\lambda} \enspace mod \enspace n^2-1}{n} \\ = \frac{(1+ nm\lambda） mod \enspace n^2 -1}{n} \\ = m\lambda \enspace mod \enspace n^2

3. 计算 $g^{\lambda } \enspace mod \enspace n^2$

g^{\lambda } \enspace mod \enspace n^2 = (1+n)^{\lambda} \enspace mod \enspace n^2

根据上面的二项式展开公式可以看出 $(1+n)^{\lambda} \enspace mod \enspace n^2$ 只剩最后两项, 所以有:

g^{\lambda } \enspace mod \enspace n^2 = (1+n)^{\lambda} \enspace mod \enspace n^2 \\ = (1+n\lambda) \enspace mod \enspace n^2

4. 计算 $L( g^{\lambda } \enspace mod \enspace n^2 )$

L( g^{\lambda } \enspace mod \enspace n^2 ) = \frac{(1+n\lambda) \enspace mod \enspace n^2 +1}{n} \\ = \lambda \enspace mod \enspace n^2

5. 计算 $\mu = L( g^{\lambda } \enspace mod \enspace n^2 )^{-1} \enspace mod \enspace n$

\mu = L( g^{\lambda } \enspace mod \enspace n^2 )^{-1} \enspace mod \enspace n = \frac{mod \enspace n}{\lambda \enspace mod \enspace n^2}

6. 计算 $L(c^{\lambda} \enspace mod \enspace n^2) \cdot \mu \enspace mod \enspace n$

L(c^{\lambda} \enspace mod \enspace n^2) \cdot \mu \enspace mod \enspace n^2 = (m\lambda \enspace mod \enspace n^2) \cdot \frac{mod \enspace n}{\lambda \enspace mod \enspace n^2} \cdot mod \enspace n \\ = (m \enspace mod \enspace n ) mod \enspace n \\ = m \enspace mod \enspace n , 加密前确保 m<n \\ = m \\ 证明完毕！

同态性质

Paillier 加密满足两个同态性质, 同态加和同态乘

同态加:

(m1+m2) \enspace mod \enspace n =D(E(m1,r1)\cdot E(m2,r2) \enspace mod \enspace n^2) \\ \\

同态乘

m1 \cdot m2 \enspace mod \enspace n = D(E(m1 \cdot r1 )^{m2} \enspace mod \enspace n^2)

这里就不详细证明了, 大家根据上面对于解密公式的证明顺着推导一下就能很容易得出这两个性质。

tss-lib 中的同态加密

tss-lib/crypto/paillier/paillier_test.go

直接上单测函数, 代码比较简单, 我就不写注释了, 相信大家都可以看懂

// Copyright © 2019 Binance
//
// This file is part of Binance. The full Binance copyright notice, including
// terms governing use, modification, and redistribution, is contained in the
// file LICENSE at the root of the source code distribution tree.

package paillier

import (
	"context"
	"crypto/rand"
	"math/big"
	"testing"
	"time"

	"github.com/stretchr/testify/assert"

	"github.com/bnb-chain/tss-lib/v2/common"
	"github.com/bnb-chain/tss-lib/v2/crypto"
	. "github.com/bnb-chain/tss-lib/v2/crypto/paillier"
	"github.com/bnb-chain/tss-lib/v2/tss"
)

// Using a modulus length of 2048 is recommended in the GG18 spec
const (
	testPaillierKeyLength = 2048
)

var (
	privateKey *PrivateKey
	publicKey  *PublicKey
)

func setUp(t *testing.T) {
	if privateKey != nil && publicKey != nil {
		return
	}

	ctx, cancel := context.WithTimeout(context.Background(), 10*time.Minute)
	defer cancel()

	var err error
	privateKey, publicKey, err = GenerateKeyPair(ctx, rand.Reader, testPaillierKeyLength)
	assert.NoError(t, err)
}

func TestGenerateKeyPair(t *testing.T) {
	setUp(t)
	assert.NotZero(t, publicKey)
	assert.NotZero(t, privateKey)
	t.Log(privateKey)
}

func TestEncrypt(t *testing.T) {
	setUp(t)
	cipher, err := publicKey.Encrypt(rand.Reader, big.NewInt(1))
	assert.NoError(t, err, "must not error")
	assert.NotZero(t, cipher)
	t.Log(cipher)
}

func TestEncryptDecrypt(t *testing.T) {
	setUp(t)
	exp := big.NewInt(100)
	cypher, err := privateKey.Encrypt(rand.Reader, exp)
	if err != nil {
		t.Error(err)
	}
	ret, err := privateKey.Decrypt(cypher)
	assert.NoError(t, err)
	assert.Equal(t, 0, exp.Cmp(ret),
		"wrong decryption ", ret, " is not ", exp)

	cypher = new(big.Int).Set(privateKey.N)
	_, err = privateKey.Decrypt(cypher)
	assert.Error(t, err)
}

func TestHomoMul(t *testing.T) {
	setUp(t)
	three, err := privateKey.Encrypt(rand.Reader, big.NewInt(3))
	assert.NoError(t, err)

	// for HomoMul, the first argument `m` is not ciphered
	six := big.NewInt(6)

	cm, err := privateKey.HomoMult(six, three)
	assert.NoError(t, err)
	multiple, err := privateKey.Decrypt(cm)
	assert.NoError(t, err)

	// 3 * 6 = 18
	exp := int64(18)
	assert.Equal(t, 0, multiple.Cmp(big.NewInt(exp)))
}

func TestHomoAdd(t *testing.T) {
	setUp(t)
	num1 := big.NewInt(10)
	num2 := big.NewInt(32)

	one, _ := publicKey.Encrypt(rand.Reader, num1)
	two, _ := publicKey.Encrypt(rand.Reader, num2)

	ciphered, _ := publicKey.HomoAdd(one, two)

	plain, _ := privateKey.Decrypt(ciphered)

	assert.Equal(t, new(big.Int).Add(num1, num2), plain)
}

加密货币安全基石: 详解 Paillier 同态加密并使用币安tss-lib库