全同态加密的发展与应用

1976 年，Diffie 和 Hellman[DH76] 开创了公钥密码学，在密码学发展中具有划时代的意义。 不久，Rivest 等人 [RSA78] 提出第一个公钥加密 方案:RSA加密方案。Rivest等人[RAD78]随 后就指出 RSA 加密系统具有乘法同态性质:给定两个密文 C1=m18modN 和 C2=m28modN，通过计 算，c1·c2 modN=(m1m2)8 modN， 我们就可以在不掌握私钥信息的情况下“同态”计算出明文 m1·m2 的有效密文。根据此发现，他们提出了 “ 全同态加密”(Fully Homomorphic Encryption, FHE)的概念(当时称为私密同态，Privacy Homomorphism)。

尽管上述 RSA 公钥加密方案是乘法同态 的，但是由于它是一个确定性的公钥加密方案， 因而不是语义安全的。第一个语义安全的公钥加密方案由 Goldwaser 和 Micali[GM82] 提 出， 并 且当明文空间为 {0,1} 时，它是加法同态的。另 外，ElGamal[ElG84] 语义安全加密方案是乘法同 态的。上述方案具有一个共同点:它们都只能 支持同态计算一种运算，或者加法，或者乘法， 因此被称为单同态加密。

近年来，云计算受到广泛关注，它拥有强大的计算能力，可以帮助人们执行复杂的计算。 但是，在保护用户数据私密性的前提下，如何利用云计算的强大计算能力是云计算从理论走向实用必须解决的关键问题。在此迫切需求下，全同态加密如约而至。从数学上说，同态就是 保持运算，即先运算再同态与先同态再运算所得到的结果是一样的。而全同态加密是一类特 殊的加密方案，它允许用户通过加密保护数据的私密性，同时允许服务器(比如“云”)对密文执行任意可计算的运算 ( 同时包含加法、乘法 )，得到的结果是对相应明文执行相应运算结果的某个有效密文。这个特性对保护信息的安全具有重要意义：利用全同态加密可对多个密文进行同态计算之后再解密，不必对每个密文 解密而花费高昂的计算代价;利用全同态加密可以实现无密钥方对密文的计算，既可以减少通信代价，又可以转移计算任务，由此可平衡各方的计算代价;利用全同态加密可以实现让解密方只能获知最后的结果，而无法获得每个密文的消息与同态计算方式，可以提高信息的安全性。正是由于全同态加密技术在计算复杂性、通信复杂性与安全性上的优势，越来越多的研究力量投入到其理论和应用的探索中。

鉴于全同态加密的强大功能，一经提出便成为密码界的公开问题，被誉为“密码学圣杯”， 由 Gentry 在 2009 年摘取。之后，全同态加密迅速吸引了一批资深专家、学者对之进行广泛、深 入的研究，并取得了一系列的成果。目前可以构造全同态加密的密码学假设主要有:理想格上的 理想陪集问题(Ideal Coset Problem, ICP)、整数 上的近似最大公因子问题(Approximate Greatest Common Devisior, AGCD)、带错学习问题(Learning with Errors, LWE)等等。

下面我们先从构造技术的发展来分类介绍全同态加密的研究进展，然后给出一个简单易懂的全同态加密实例，最后介绍全同态加密的典型应用。 

全同态加密的发展现状

第一代全同态加密

2009 年，Gentry [Gen09] 取得突破性进展，构造出第一个全同态加密方案(Fully Homomorphic Encryption, FHE) 摘取了“ 密码学圣杯”。Gentry 设计了一个构造全同态加密方案的 “蓝图”：首先构造一个类同态加密( Somewhat Homomorphic Encryption, SHE)方案(这类方案能够同态计算一定深度的电路);然后压缩解密电路(需要稀疏子集和假设)，使得它能够同态计算它本身的增强的解密电路，得到一个可以“自举”(Bootstrapping)的同态加密方案;最后有序执行自举操作(需要循环安全假设)，得到一个可以同态计算任意电路的 方案，即全同态加密。同时，基于理想格上的 ICP 假设，并结合稀疏子集和与循环安全假设， 他也开创性地构造了一个具体的方案。 

随后，van Dijk 等人 [vDGHV10] 提出了一个 整数上的全同态加密方案，这个设计完全模仿 了 Gentry 的蓝图。该方案的安全性基于 AGCD 假设和稀疏子集和假设。它的主要优点在于概 念简单，易于理解，其缺点在于公钥太大。

这些被称为第一代全同态加密方案。

第二代全同态加密

随着 Gentry 全同态加密方案的提出，人们开始尝试基于 (R)LWE 构造全同态加密方案，并 结合理想格的代数结构、快速运算等优良性质 来进行方案的优化和实现，最终取得了巨大的成功。

2011 年，Brakerski 和 Vaikuntanathan [BV11a, BV11b] 基于 LWE 与 RLWE 分别提出了全同态 加密方案，其核心技术是再线性化和模数转换。 这些新技术的出现使得我们无需 压缩解密电路， 从而也就不需要稀疏子集和假设，这样方案的 安全性完全基于 (R)LWE 的困难性。Brakerski 和 Vaikuntanathan [BV11b] 还提出了循环安全的类 同态加密方案。但是，他们的方案不能够利用 自举以达到全同态的目的，这是因为他们所得到的循环安全是相对于私钥作为环元素表示的， 而不是自举算法所需要的比特表示。构造循环安全的可自举的同态加密依然是一个公开问题。

Brakerski 等人 [BGV12] 指出:依次使用模数转换能够很好的控制噪音的增长。据此他们 设计了一个层次型的全同态加密方案:BGV。层次型全同态加密可以同态计算任意多项式深度的电路，从而在实际应用中无需启用计算量过大的自举。

研究人员对 BGV 方案做了大量的优化、实现 [GHS12a, GHS12b, GHS12c, AP13, HS14, HS15, HS18]，对 BGV 方案的研究越来越深刻、完善， 效率也越来越高。其中，Halevi 和 Shoup [HS14] 先是针对 BGV 算法开发了 Helib 库，随后实现 了 BGV 自举算法 [HS15]:在打包的情形下(对 约 300 比特消息实施自举)，一次自举算法大约耗费 5 分钟。分销来看，1 个比特的自举大约需要 1 秒。最近，Halevi 和 Shoup [HS18] 又改进 了该自举技术，最快可提升速度大约 75 倍，使得自举时间降到了大约 13ms。目前来看，(优 化后的)BGV 方案是最高效的全同态加密方案 之一。

2012 年，Brakerski [Bra12] 又提出了一个基 于 LWE 的无模数转换的全同态加密方案，该方案不需要模数转换管理噪音，也能够很好地控制噪音的增长。

以上方案与第一代方案相比，无需压缩解密电路，也就不需要稀疏子集和假设。这样一来， 方案的效率与安全性都得到极大的提升，但在同态计算时仍然需要计算密钥的辅助，故被称为第二代全同态加密方案。

第三代全同态加密

上述所有方案无论是层次型的还是纯的全同态加密，都需要“计算密钥”(私钥信息的加密， 可以看做公钥的一部分)的辅助才能达到全同态的目的。但是计算密钥的尺寸一般来说都很大，是制约全同态加密效率的一大瓶颈。

2013 年，Gentry 等 人 [GSW13] 利 用“ 近 似 特征向量”技术，设计了一个无需计算密钥的全同态加密方案:GSW，标志着第三代全同态加密方案的诞生。他们进而还设计了基于身份和基于属性的全同态加密方案，掀起了全同态加密研究的一个新高潮。此后，研究人员在高效的自举算法、多密钥全同态加密、CCA1 安全的全同态加密和电路私密的全同态加密等方面进行了大量的研究，得到了丰硕的成果。下面逐一介绍。

高效的自举算法

Brakerski 和 Vaikuntanathan [BV14] 在 GSW 的基础上，设计了第一个安全性与普通的基于 LWE 的公钥加密算法的安全性相当的全同态加 密算法，使得全同态加密的安全性进一步得到了保障。他们的主要技术就是利用 GSW 方案的噪音增长是非对称的性质，结合 Barrington 定理构造了一个能够很好控制噪音增长的自举算法。

Alperin-Sheriff 和 Peikert [AP14] 基于上述新 成果 [GSW13, BV14]，提出了一个更简单的对称 的 GSW 方案，并用之设计了一个快速的自举算 法:直接同态计算解密函数。该自举方法直接、简单、高效，向实际应用迈出了坚实的一步。 Hiromasa 等人 [HAO15] 提出了一个打包形式的 GSW 方案(要假定循环安全假设成立)，并结 合 [AP14] 巧妙地设计了一个打包形式的自举算 法，效率得到了一定的提高。

Ducas 和 Micciancio [DM15] 在 [AP14] 的基础上，利用一个变形的基于 RLWE 的 GSW 方案 来直接同态计算解密函数，大大提升了效率， 他们的测试表明:1 秒内就可以完成一次自举过 程。Chillotti 等 人 [CGGI16] 改进了 [DM15] 的方案，在自举时，他们巧妙地用矩阵与向量间的 运算来代替矩阵与矩阵间的运算，有效地降低了自举所花费的时间:0.1 秒内就可以完成一次自举过程。随后，Chillotti [CGGI17] 等人又改进这一自举过程至 13ms。从公开发表的文献来看， 这是目前最高效的自举方案之一。

此外，Gama 等 人 [GINX16] 也 在 [AP14] 的 基础上设计了一个更高效的自举算法:运行一 次自举算法累积的噪音的上界是线性的。这意 味着全同态加密的安全性与公钥加密的安全性 是一致的(除了额外的循环安全要求)。

多密钥全同态加密

López-Alt 等人 [LTV12] 最先开始研究多密 钥全同态加密，他们基于 NTRU 构造了第一个 多密钥全同态加密，并利用它设计了一个多方安全计算协议。但是，他们的方案用到了一个非标准的假设，并且近年来也遭受到比较严重的攻击。所以设计安全的多密钥全同态加密引起了人们的注意，并研究出多个基于 LWE 的多 密钥全同态加密 [CM15, MW16, PS16, BP16]。其 中，[CM15, MW16] 的多密钥全同态加密方案的密文会随着不同的密钥数的增长而膨胀，而且同 态计算后的密文不能继续执行同态运算。Peikert 等人 [PS16] 利用全同态加密 [GSW13] 与全同态 签名 [GVW15]，一定程度上解决了上述两个问题。 Brakerski 等人 [BP16] 提出了完全动态的多密钥全同态加密，基本解决了上述两个问题。但是，他们利用了笨重的自举技术，并不实用。

CCA1 安全的全同态加密

CCA 安全对于加密来说已经成为标准的安 全性要求。遗憾的是 CCA 安全与同态性质是矛 盾的，不可能同时实现。但是，可以通过控制 同态计算来达到 CCA 安全。赖俊祚等人 [LDM+16] 提出了第一个 CCA2 安全的密钥控制的全同态加 密方案。但是他们的方案利用了不可区分混淆器来验证密文的合法性。

众所周知，CCA1 安全与同态性质并无矛盾之处，它们可以共存。Canetti 等人 [CRRV17] 研 究了 CCA1 安全的全同态加密方案，给出了 3 个 构造:前两个都是由多身份全同态加密转化而来(我们也提出了这个转化方式，遗憾的是未 能及时发表)，并构造了两个多身份全同态加密方案，第三个使用了 SNARKs，得到了一个紧 凑的方案。前两个构造的缺点是密文不紧凑， 第三个构造建立在非标准的假设上。

电路私密的全同态加密

在全同态加密领域，有时不但要保护好数 据的私密性，而且要保护好电路的私密性。电路的私密性是指同态计算出来的密文不泄露电路的任何信息，也就是说只有执行同态运算的人才知道电路，而其他人 ( 包括解密者 ) 都不能从同态计算出来的密文挖掘出电路的信息。

Gentry[Gen09a] 在提出全同态加密的时候就已经考虑了这个问题，他建议在输出同态计算 密文之前，给它增加一个大的噪音，完全掩盖该密文所隐含的同态计算所积累的噪音。这一方法的缺点也是明显的:这样的密文所含的噪音太大，故不能再对它执行同态运算了。

Ducas 等人 [DS16] 多次调用自举算法来控制同态计算后的噪音分布，使得同态计算后的密文 的噪音分布与新鲜密文的噪音分布是统计不可区分的。他们的方法可以运用到所有 ( 理想 ) 格全同态加密方案 [Gen09a, Gen09b, BGV12, Bra12, GSW13]。这个方法依赖于高效的自举算法，目前并不可行。

Bourse 等人 [BPMW16 ] 利用高斯噪音的特性，巧妙地部分解决了上述方案的缺点:在同态计算的每一步，只需要增加一个与当前噪音大小相当的高斯噪音，即可一定程度上保证电 路的私密性。这个技巧的优点是避免了复杂的自举，缺点是泄露了电路的深度。

Chongchitmate 等人 [CO17] 研究了存在恶意用户情形下的多密钥全同态加密，提出了一个一般的转换，可以把任意非电路私密的多密钥全同态加密转换为电路私密的多密钥全同态加密。

在短短的 10 年内，国际上在全同态加密技术方面已经取得了丰硕的成果，全同态加密也从第一代发展到了第三代，其效率与安全性都得到了极大地提升。 

全同态加密实例：GSW 

2013 年，Gentry 等 人 [GSW13] 利 用“ 近 似 特征向量”技术，设计了一个无需计算密钥的层次型全同态加密方案:GSW，标志着第三代全同态加密方案的诞生。在很多应用场景下， 层次型全同态加密的同态能力就足够了。由于 GSW 无需计算密钥参与同态计算，所以它是最简单最易理解的全同态加密。这里我们以 GSW 为例，说明全同态加密的设计思想。

全同态加密除了传统公钥加密拥有的密钥生成、加密、解密等算法外，还有一个同态计算算法。为了清晰地叙述 GSW，我们增加了参数设置算法 Setup，并把密钥生成算法分解为私钥生成算法和公钥生成算法。注意到任意电路可以分解为一系列的加法和乘法运算，因此我们还把同态计算算法分解为同态加法和同态乘法。

为了详细描述 GSW，我们需要两个工具: 一个是 Regev [Reg05] 提出的 LWE，用来保证 GSW 的安全性，另一个是 Micciancio 和 Peikert [MP12] 提出的矩阵 G，用来支持同态计算。

·考虑有限域 Zq, 判定型 LWE 就是区分(B,sB+e)与(B,u)，这里B←Zq(n-1)m,s←Zqn-1,e ← Dm, u ← Zqm。Regev 证明了 LWE 是困难的。 目前人们普遍认为 LWE 甚至是抵抗量子攻击的。 

·设 G 是一个具有下面性质的公开矩阵: 对任意的 u，容易抽取满足 G G-1(u) = u 的短向量 G-1(u)。

现在我们详细描述 GSW 方案:

·Setup(1n,1L): 给定安全参数 n，最大同 态深度 L，选取公共参数 prms = (n,m,q,D), 令 K=∟ logq 」+1。

·SKGen(prms): 随机选取 s ← Zqn-1, 令私钥 sk = t = (-s||1) ∈ Zqn 。

·PKGen(sk): 随机选取矩阵 B ← Zq(n-1)×m, 抽 取高斯错误e←Dm, 计算b = sB+e, 令公钥pk = A = (B, b) ∈ Zqn×m。

·Enc(μ,pk): 给定明文消息 μ ∈ {0,1}， 随机选取矩阵R←Z2m×nk, 计算密文C= AR+μG ∈ Zqn×nk。

·Dec(sk, C): 令 w = (0,0,...,q/2)T, 先 计 算 tC- G-1(w) =μtw+e=μq/2 + e，再根据该数值的大小 判定出消息是 0 还是 1。

注意:只要密文满足形式 C = AR+μG(称 为解密形式)且 R 是一个小矩阵，就可以成功 解密。

·Add: C1⊕C2 = C1 + C2 = B(R1+R2) + (μ1+μ2) G，可见同态加法满足解密形式。

Multi: C1⊕ C2 = C1 -G-1(C2)

注意到 C1 G-1(C2) = (BR1 +μ1G) G-1(C2)

= BR1 G-1(C2) +μ1G G-1(C2)

= BR1 G-1(C2) +μ1 C2

= BR1 G-1(C2) +μ1(BR2 +μ2G )

=B(R1G-1(C2)+μ1R2)+μ1μ2G

可见，同态乘法也满足解密形式。

方案说明:GSW 是一个层次型的全同态加密方案，可以设置最大深度 L=poly(n)。但是， 如果想同态计算任意的电路，还是需要利用自举来增强同态计算能力。必须注意的是 GSW 尽 管是最简单最易理解的全同态加密，但它并不 是最高效的。在 GSW 基础上，除了可以设计具 有访问控制功能的全同态加密 [GSW13, CM15]， 它还可以用来加速自举 [AP14, DM15, CGGI16, CGGI17]，也许这才是 GSW 的最大意义之所在。  

全同态加密的若干应用

该节我们举例说明全同态加密的潜在应用。 我们将展示全同态加密在各个领域应用的广泛 性，以此说明这项技术的重要性。

全同态加密在基因组学中的应用案例

隐私数据共享已经大大限制了基因组学的 发展。DNA 和 RNA 序列可以迅速而廉价产生， 因此大量的此类序列在不同的实验室和医疗机 构累积。预计在二十年内，世界上大多数人将 拥有全基因组序列。这是一个在生物学，医学 和人类历史的研究中强大的工具，许多复杂疾 病或流行病学研究需要数千个样本来探究致病模式，并设计治疗方案。然而，人类 DNA 和 RNA 序列就像指纹一样是生物识别标识符，它 们可以传达重大疾病风险或国民身份标志等信 息起源，例如阿尔茨海默氏症等位基因的存在 或非亲属的检测(亲子鉴定)。一旦这些数据 被释放后，他们永远无法取回或撤回。因此， 广泛分享这些隐私数据存在很大的挑战。

目前用于保护基因组学数据的策略具有很高的开销，更好的解决方法是将基因组数据共 享的一些用例映射到数据的简单操作，这就非 常适合全同态加密。人类在 3B 碱基对基因组序列中彼此几乎相同，这意味着基因组数据可以 简化为简单的差异向量。基因组序列的改变， 变体或突变，可以从序列中挑选出来，这些基 因型和表型的共享在许多设置中很有用。

例如，医生在乳腺癌患者或他们的家庭成 员中测试乳腺癌基因会经常检测出具有未知意 义的新变种，但却无法为他们的患者乳腺癌复 发或家族性风险提供建议。检测到的变体实际 上是致病性的吗?或者它是变异正常背景的一 部分?如果可以收集和分析这些来自世界上成 千上万诊所的基因型和表型数据，那么更多未 知意义的变种或变异就可以被人们理解。因此， 差异基因统计可以统计出哪些变异会导致疾病， 哪些不会。

基因匹配是类似的，带有遗传疾病的儿童 可以通过寻找在任一亲本中未发现的从头变体 来检测具有遗传疾病的原因。通过与长辈的基 因比对，从而发现孩子疾病的根源，多个实例 就可以推断出致病的基因。确定疾病的遗传原 因有时可以导致治疗得到很大改善，比如 Beery双胞胎，他们在经历了多年的严重身体残疾之 后现在过着正常的生活。

这些例子都依赖于类似的可用全同态加密 来支持的基本数据操作。全同态加密的使用可 以允许将不同的基因组数据集上传到云中并用 于精确医疗，从而改善患者的健康和福祉。上 述案例是许多基因组应用的代表，可以从全同 态加密技术中受益。

全同态加密在国家安全 \ 关键基础设施中的应用案例

假定智能电网提供具有 n 个节点的网络， 其中每个节点产生大量数据(每个节点可以代 表单个发电机 / 建筑物或单个微电网等)。大型 智能电网 / 市政 / 政府监控每个节点产生的数据。 监控机构可以将监控和计算工作外包给公共云， 并使用同态加密对来自网格上每个节点的状态 数据进行计算。如果每个节点代表一个单独的 微电网，那么状态测量可能包括发电和使用， 物理设备温度，能量流等。如果节点代表不同 的智能建筑，那么状态测量可能包括当前的能 量使用(此类信息可用于检测建筑系统中的异 常和入侵，例如，受恶意软件感染的设备的存 在)。由于此基础设施的关键作用，保护信息 不受影响并确保它不能被敌手干扰，对来自电 网的数据执行分析并用于控制电网和电力分配。 因此，为了允许云计算用于分析数据，必须确 保云对潜在的攻击具有敏感性。

全同态加密可以提供这样的安全性。在这 个场景中，不断地对网格中每个节点进行测量， 得到的测量值被同态加密后发送到基于云的平 台进行计算和分析。能量使用和这些度量被发 送到基于云的平台，在那里计算它们，计算的 加密结果被发送到决策中心进行分析。

智慧城市提供类似的重要场景。例如，如 果发生需要城市警察，消防部门和多辆救护车 的汽车事故，城市的基于云的平台可以快速加 载服务器，向特定的城市部门发送信息请求(例 如，警察，消防，救护车，运输等)，从每个 部门分配物资，规划从事故现场到合适医院的 最佳路线。这些应用需要不同类型的计算，其 中一些使用全同态加密相对容易，例如计算描 述性统计。然而，计算的某些方面可能需要额 外的研究，例如实体统一和比较等。

全同态加密在健康保健中的应用案例

健康保健系统必须在保护敏感信息不被泄 露的环境中运行，并且可用于日常操作。但是 泄露风险与可操作功能之间难以平衡:2015年， 健康保险公司 Anthem 泄露了 8000 万条记录， 该泄露事件的总损失成本预计将超过 10 亿美元， 证明了这种平衡未得到正确维护。

尽管网络保险可以提供一些保护免受此类 损害，但是小型医院和诊所通常会发现此类保 险不可用。实际上，此类保险最低政策的价值 目标是收入至少为 20 亿美元的公司，而且保费 很高:每 100 万美元的保险费通常为 3500 美元。 据统计，缺乏实用保护措施导致 60%小型公司 受重大数据泄露影响后在 6 个月内倒闭。

全同态加密有助于解决风险 - 功能平衡问 题并且可在医疗保健行业的一些应用中实现信 息共享。计费和报告生成是两个应用程序，在 这两种应用场景下，分析师都需要访问个人医 疗记录来计算其内容的某些部分。通过允许这样的计算而隐性显示那些记录，可以避免隐私 泄露，且不会破坏日常操作。全同态加密在医 疗环境中实现防止泄露的工作流程如下:分析 师查询当前的医疗记录，以收集诸如诊所提供 的处方或医疗交流的统计数据等信息。不受信 任的服务器可能拥有加密的相关数据集，包括 受 HIPAA 保护或其他相关隐私法规和政策约束 的个人医疗记录。全同态加密允许在保持加密 的同时对查询进行计算，并向分析师返回加密 的查询结果。然后，分析师在可信平台上解密 查询结果，得到相关报告或单据中包含的查询 结果。由于数据在存储和计算时都保持加密状态，因此任何敌手都不会了解数据或此类查询的结果。

可见，医疗保健组织(尤其是小型医疗机构) 的数据隐私和公用事业需求之间需要较好的权 衡，否则会对医疗保健组织和他们的病人都会 带来灾难性后果。全同态加密可为此类平衡提 供新颖的解决方案，并且成本是比较小的。

全同态加密在保护控制系统中的应用案例

控制系统或网络物理系统是一个控制信号 操作物理系统的计算机系统，它由具有传感器 和执行器的设备和控制器组成。控制器从传感 器接收传感数据，利用用户输入对其进行处理 以计算命令数据，并发送到按照命令操作设备 的执行器。它涵盖了许多系统，包括智能汽车， 无人机和核电站等。有很多关于黑客控制系统 的报告:在 2010 年，铀浓缩设施中的恶意计算 机蠕虫进入计算机系统，并且改变了离心机的 转速以破坏它们。2015 年，一名黑客展示了如 何远程控制汽车的制动器和加速器。防止黑客 攻击控制系统非常重要，但被认为是一个难题。 人们建议传感器在加密后向控制器发送数据， 并在加密后向控制器发送控制数据。它可以防 止黑客攻击敏感数据和控制命令，但不能阻止 控制器内部的恶意软件泄露数据。

最近，一些研究人员建议使用全同态加密来保护控制系统 [KLS+16]，即利用 FHE 加密传感数据。在这种情况下，控制器不需要解密敏感数据后，再来对之处理，因此可以对控制器本身保密。此外，黑客对加密数据的任何操纵都可能被执行器的检测系统检测到。为了更加保证，可以考虑使用同态认证加密或者全同态签密。对该问题的挑战应该是实时运行，目前还没有如此高效的全同态加密。

随着全同态加密效率的提高，其应用也逐步提上议程，学术界与工业界联合，于 2017 年启动了同态加密的标准化工作与应用研究 [ACC+18a, ACC+18b]，以此推动同态技术的快速 发展与工业应用。据专家预测，在 3-5 年内， 全同态加密就会在一些场合得到启用。  

为便于排版，已省去原文注释

作者 >>>

王付群，杭州师范大学理学院 讲师、卫士通摩石实验室兼职专家。研究方向主要包括全同态加密与签名、格密码、公钥密码等。承担多项国家自然科学基金面上、重点项目，参与一项国家重点研发计划项目，主持一项浙江省自然科学基金项目等，发表密码与信息安全相关论文多篇。

（本文选自《信息安全与通信保密》2018年第十一期）

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。