【隐私计算篇】中国剩余定理解释以及Paillier解密加速应用

news2024/9/20 10:52:52

1. 背景介绍

本篇主要关注中国剩余定理的原理以及在paillier同态加密系统中的应用。在很多工作中，都可以看到中国剩余定理的影子，特别是同态加密提升计算效率的优化工作中，将paillier与中国剩余定理进行结合，能够实现在加密状态下进行高效计算。

2. Paillier加密系统

【1，2，3】描述了paillier加密系统的原理。这里做简单的描述。Paillier加密算法是一种同态加密算法，支持加法同态运算。该算法的安全性基于大整数的分解困难问题，具体的加密和解密过程涉及模数 $N^2$ 上的运算，计算复杂度较高。

2.1 Paillier密钥生成

选择两个大质数 p 和 q，计算 $N = p \times q$ 。
公钥为 N 和 g（通常选择 g = N + 1）。
私钥为和，其中：
- $\lambda = \text{lcm}(p-1, q-1)$ （即 p-1 和 q-1 的最小公倍数）。
- $\mu = (\mathcal{L}(g^\lambda \mod N^2))^{-1} \mod N$ ，其中 $\mathcal{L}(x) = \frac{x-1}{N}$ 。

2.2 加密和解密

加密：给定明文 m，选择随机数 r，计算密文 $c = g^m \cdot r^N \mod N^2$ 。
解密：给定密文 c，解密过程为： $m = \mathcal{L}(c^\lambda \mod N^2) \cdot \mu \mod N$ 这里的模 $N^2$ 运算会涉及非常大的数，计算较为耗时。

3. 中国剩余定理（CRT）

3.1 算法描述

中国剩余定理（Chinese Remainder Theorem, CRT）【4，5】是数论中的一个经典定理，用来解决模数互素时同余方程组的求解问题。它最早起源于中国古代数学家孙子在《孙子算经》中的研究。

设 $m_1, m_2, \dots, m_k$ 是两两互素的整数，也就是说，对于 $i \neq j$ ，有 $\gcd(m_i, m_j) = 1$ 。给定同余方程组：

$\begin{cases} x \equiv a_1 \pmod{m_1} \\ x \equiv a_2 \pmod{m_2} \\ \vdots \\ x \equiv a_k \pmod{m_k} \end{cases}$

其中 $a_1, a_2, \dots, a_k$ 是给定的整数，则该方程组有唯一解 x （模 $M = m_1 \times m_2 \times \dots \times m_k$ ），并且解的形式为：

$x \equiv c \pmod{M}$

定理的意义：

解的存在性：如果模数 $m_1, m_2, \dots, m_k$ 互素，则方程组总有解。
解的唯一性：在模 $M = m_1 \times m_2 \times \dots \times m_k$ 意义下，解是唯一的。

解法步骤：

计算总模数：计算模数的乘积 $M = m_1 \times m_2 \times \dots \times m_k$ 。
计算每个模的辅助量：对于每个 i，计算 $M_i = \frac{M}{m_i}$ ，即其他模数的乘积。
计算模逆元：对于每个 i，找到 $M_i$ 模 $m_i$ 的逆元 $N_i$ ，即满足 $M_i \times N_i \equiv 1 \pmod{m_i}$ 的整数 $N_i$ 。
求解 x：解的形式为： $x = \sum_{i=1}^k a_i \times M_i \times N_i \pmod{M}$ 其中 $a_i$ 是同余方程组中的常数项， $M_i$ 是步骤 2 中的值， $N_i$ 是步骤 3 中的模逆元。

此外，也关注到【6】对于中国剩余定理的解释比较清晰，这里也贴一下，以便参考学习。

3.2 模 n 同余概念

模 n 同余是数论中的一个概念，用来表示两个整数在被同一个整数 n 除时得到相同的余数。具体来说，模 n 同余是指两个整数 a 和 b，如果 a 和 b 被 n 除后余数相同，那么我们说 a 和 b 在模 n 意义下同余，记作：

$a \equiv b \ (\text{mod} \ n)$

这表示 a - b 能被 n 整除，即存在某个整数 k 使得：

$a - b = k \cdot n$

其中：

a 和 b 是两个整数。
n 是模数（或称模量），是一个正整数。
$a \equiv b \ (\text{mod} \ n)$ 表示当 a 和 b 都被 n 除后，余数相同，或者说 a - b 是 n 的倍数。

3.3 中国剩余定理应用问题说明

中国剩余定理的原问题如下：

有物不知其数，三三数之剩二，五五数之剩三，七七数之剩二。问物几何？

问题的意思是找一个数 x，满足以下三个同余条件：

$\begin{aligned} x &\equiv 2 \ (\text{mod} \ 3), \\ x &\equiv 3 \ (\text{mod} \ 5), \\ x &\equiv 2 \ (\text{mod} \ 7). \end{aligned}$

我们要解这个系统，找到 x 满足所有条件。

解法步骤：

从第一个和第二个条件开始：
$x \equiv 2 \ (\text{mod} \ 3), \quad x \equiv 3 \ (\text{mod} \ 5)$
设 $x = 3k + 2$ ，代入 $x \equiv 3 \ (\text{mod} \ 5)$ ：
$3k + 2 \equiv 3 \ (\text{mod} \ 5)$
即：
$3k \equiv 1 \ (\text{mod} \ 5)$
我们需要解这个同余方程。找到 $3^{-1} \ (\text{mod} \ 5)$ 即 3 在模 5 下的逆元。通过尝试：
$3 \times 2 = 6 \equiv 1 \ (\text{mod} \ 5)$
所以 $k \equiv 2 \ (\text{mod} \ 5)$ 。即 $k = 5m + 2$ ，代入 $x = 3k + 2$ ：
$x = 3(5m + 2) + 2 = 15m + 8$

考虑第三个条件 $x \equiv 2 \ (\text{mod} \ 7)$ ： 现在有 $x = 15m + 8$ ，代入 $x \equiv 2 \ (\text{mod} \ 7)$ ：
$15m + 8 \equiv 2 \ (\text{mod} \ 7)$
即：
$15m \equiv -6 \ (\text{mod} \ 7)$
由于 $-6 \equiv 1 \ (\text{mod} \ 7)$ ，所以：
$15m \equiv 1 \ (\text{mod} \ 7)$
考虑 $15 \equiv 1 \ (\text{mod} \ 7)$ ，所以这个方程化简为：
$m \equiv 1 \ (\text{mod} \ 7)$
即 $m = 7n + 1$ 。代入 $x = 15m + 8$ ：
$x = 15(7n + 1) + 8 = 105n + 23$

得出最终结果： 所以，满足条件的数 x 可以表示为：
$x = 105n + 23$
其中 n 是任意整数。因此，最小的正整数解是 x = 23。

所以这个物的数是 23。

4. Paillier引入中国剩余定理

4.1 思路介绍

中国剩余定理与Paillier加密算法结合可以有效提升计算效率，尤其是在大数模运算的场景中。通过利用中国剩余定理的性质，将涉及大整数的计算拆分为两个较小模数空间中的并行计算，从而加快整体的运算速度。这种结合方式在Paillier加密算法中的典型应用是加速解密过程。

具体地，中国剩余定理用于将大整数的计算分解为在较小整数模数下的并行计算。对于给定的两个模数 p 和 q，可以将模 $N = p \times q$ 下的计算转化为模 p 和模 q 下的两个独立计算。

设 $N = p \times q$ ，对于任何整数 x，有：

$x \mod N = (x \mod p, x \mod q)$

通过在较小模数空间中分别计算 $x \mod p$ 和 $x \mod q$ ，可以加快运算速度。

Paillier算法中的解密操作主要依赖于模 $N^2$ 的运算，而 $N^2$ 是一个非常大的数。通过中国剩余定理，可以将这些大模数运算分解为在较小模数 $p^2$ 和 $q^2$ 下的并行计算，从而加速解密过程。

4.2 处理步骤

分解模数空间：
利用中国剩余定理，将模 $N^2$ 下的运算分解为模 $p^2$ 和模 $q^2$ 的运算。
并行计算：
在解密过程中，密文 c 的解密需要计算 $c^\lambda \mod N^2$ 。通过中国剩余定理，可以将这一操作分解为： $m_p = c^{\lambda_p} \mod p^2$ ， $m_q = c^{\lambda_q} \mod q^2$ 其中 $\lambda_p = \lambda \mod (p-1)$ ， $\lambda_q = \lambda \mod (q-1)$ 。
重构结果：
利用中国剩余定理的逆过程，将模 $p^2$ 和模 $q^2$ 下的结果 $m_p$ 和 $m_q$ 通过CRT重构为最终的明文 $m \mod N$ ： $m = \text{CRT}(m_p, m_q)$ 这一步通过快速计算结合模 p 和 q 的结果，得到最终的解密结果。
在原始论文【2】中，其实也列出了相应的说明：