Homomorphic Encryption for Single User and Multiple Users

Abstract

Homomorphic Encryption (HE) enables a computation on encrypted data, in other words, the same computation is applied to corresponding unencrypted data when the output is decrypted. Hence, it is a useful tool for an outsourced computation. In general, at least two entities are required to obtain a desired result by using homomorphic encryption. For example, a client asks a computation on its data encrypted under its own key to a server which has relatively much more computation power. After the computation, the server gives the result which is still encrypted under the key of the client, hence the server cannot learn anything about the corresponding plaintext. This can be done between a client and a server using homomorphic encryption with single key, which is the representative application of single user case. For a natural extension, we can consider the case between multiple clients and a server or a computation among multiple users like multiparty computation (MPC) where multiple parties want to compute a common function value without revealing each input data to one another. This can be round efficiently instantiated by using Multikey Homomorphic Encryption (MKHE) which allows a computation on data encrypted under different keys. An MKHE ciphertext is decrypted only when all involved secret keys are gathered. Therefore, MKHE simply enables multiple users to securely compute a common function value while protecting their own input from others by its nature, whereas standard HE with single key cannot guarantee the input security on its own. As the first result of this thesis, we design a privacy preserving building block, Private Information Retrieval (PIR) based on HE with single key, which is a protocol between a server and a client. We introduce an efficient PIR protocol which we call SHECS-PIR, based on GSW-style homomorphic encryption , TFHE, which can achieve deeper circuits without bootstrapping. SHECS-PIR achieves the optimal communication cost O(log{n}), where n is database size, removing all other factors apart from database size while maintaining a high level of efficiency. As the second result of the thesis, we study MKHE without a common random string (CRS) to reduce a strong assumption that there exists a trusted third party who distributes a valid CRS to all relevant parties. Regarding this, building a round optimal secure MPC without CRS has been an interesting issue. We apply a simple idea to existing lattice based MKHE schemes in order to remove CRS by distributing each user's public key to one another. Consequently, we suggest a new type of MKHE scheme as an idea to remove a CRS for a fixed number of users, which we call designated MKHE. Then we can build a round optimal MPC without CRS from our designated MKHE scheme for some restricted functionality. Moreover, we revisit semantic security for MKHE to guarantee not only the input security but also the output security. ;동형암호는 데이터가 암호화된 상태에서 연산이 가능하도록 한다. 따라서, 최종 결과물을 복호화 했을 때 같은 연산이 적용된 데이터 값이 출력된다. 이는 서버의 위탁계산에 주로 활용될 수 있는 기능으로서 각광받는 암호화 방법이다. 동형암호를 의미있게 활용하기 위해서는 일반적으로 최소 둘 이상이 관여하는 프로토콜이 필요하고, 가장 대표적인 예로는 서버와 클라이언트 사이에서의 프로토콜이 있다. 클라이언트가 서버가 가진 데이터를 활용해서 연산결과를 얻거나 서버가 클라이언트가 보낸 데이터를 계산을 대신해서 값을 되돌려주는 경우이다. 이 모든 경우에서, 원하는 결과를 얻는 사람은 서버가 아닌 클라이언트 이므로, 암호화와 복호화 과정에서 그의 비밀키만이 필요하다. 따라서, 이는 단일키 동형암호를 사용한 단일사용자 경우의 어플리케이션이다. 만약 클라이언트의 수가 둘 이상인 경우거나, 사용자 끼리 연산을 하는 다자간 계산의 경우에는 각자의 입력데이터를 보호하기 위해 다중키 동형암호를 이용할 수 있다. 다중키 동형암호는 서로 다른 키로 암호화된 암호문들 사이에 연산을 가능하게 해준다. 따라서 여러 사용자가 각자의 입력데이터를 가지고 공통의 연산 값을 출력하기 위한 계산에 자연스럽게 활용될 수 있으며, 각자의 입력데이터는 자신의 키로 보호된다. 이는 다중키 동형암호가 그 자체로 제공하는 시큐리티이며, 단일 키 동형암호가 보장할 수 없다. 본 학위 논문에서는, 단일 키 동형암호를 이용한 개인 정보 검색 프로토콜을 첫 번째로 소개한다. 이 프로토콜은 클라이언트가 검색한 내용을 서버는 무엇인지 전혀 알지 못 한 채 정확히 출력해 준다. 본 논문에서 고안한 프로토콜은 노이즈 증가율이 낮은 장점을 가진 단일 키 동형암호를 이용하여 최적의 네트워크 복잡도를 달성하며 기존의 효율적인 결과들과 비슷하게 빠른 계산속도를 유지한다. 또한, 데이터의 양이 많아져도 같은 효율을 유지할 수 있다. 두 번째 결과로서, 본 논문은 여러명의 유저들 사이에 공통의 랜덤 파라미터 없이 다중키 동형암호 스킴을 설계하는 방법을 제안한다. 이 파라미터는 신뢰할 수 있는 제 삼자의 존재를 가정하고 그로부터 받는 랜덤 스트링이며, 이는 스킴을 간단하게 만들어주고, 최적의 커뮤니케이션 라운드를 가지는 다자간 계산을 달성하게 한다. 하지만 이 가정은 현실적으로 매우 강력한 조건이기 때문에, 이를 없애기 위해서 각각의 유저들은 각자 독립적으로 만든 공개키를 서로 공유하고 이들사이에 관계식을 만들어 공통의 랜덤 파라미터를 대체할 수 있게 한다. 따라서, 이 스킴을 통해 공통의 랜덤 파라미터 없이 적은 라운드의 다자간 계산을 달성할 수 있다. 또한, 지금까지 다뤄지지 않았던 다중키 동형암호의 안전성의 필요성을 재고하고, 재정의 하여 이에 안전한 스킴을 예제화한다.