劉欽菊,路獻輝,李 杰,王鯤鵬

1.中國科學院 信息工程研究所 信息安全國家重點實驗室,北京 100093

2.中國科學院大學 網(wǎng)絡空間安全學院,北京 100049

1 引言

目前,在大數(shù)據(jù)和云計算等應用的驅(qū)動下,數(shù)據(jù)的隱私保護問題越來越受到人們的重視.全同態(tài)加密(fully homomorphic encryption,FHE)是目前用來解決數(shù)據(jù)隱私保護的主要技術(shù)手段之一.

全同態(tài)加密最早可以追溯到1978年,Rivest等人[1]針對“保密數(shù)據(jù)庫”(private data banks)的應用場景提出了全同態(tài)加密的概念(當時被稱之為“隱私同態(tài),privacy homomorphic”).在此后的三十年里,密碼學家們對同態(tài)加密進行了非常深入的研究,相繼提出了單同態(tài)加密方案(partial homomorphic encryption,PHE)和部分同態(tài)加密方案(somewhat homomorphic encryption,SHE).單同態(tài)加密方案的特點是只能夠支持同態(tài)加法或者同態(tài)乘法中的單一同態(tài)運算,代表方案有支持乘法同態(tài)的GM82方案[2]和ElGamal[3]方案以及支持加法同態(tài)的Paillier[4]方案.部分同態(tài)加密方案的特點是能夠支持有限次數(shù)的同態(tài)加法和同態(tài)乘法,其代表方案為BGN05[5],該方案是基于雙線性映射中的困難問題構(gòu)造出來的,它除了能夠支持任意多次的同態(tài)加法之外,還能夠支持一次同態(tài)乘法,而且不會增加密文的尺寸.第一個可行的全同態(tài)加密方案是由Gentry于2009年基于理想格上的困難問題構(gòu)造出來的[6].具有代表性的單同態(tài)加密方案,部分同態(tài)加密方案以及全同態(tài)加密方案在圖1中給出.

圖1 同態(tài)加密發(fā)展的時間線Figure 1 Timeline of homomorphic encryption

2009年,Gentry除了給出第一個可行的全同態(tài)加密方案之外,還給出了構(gòu)造全同態(tài)加密方案的理論框架.該理論框架首先構(gòu)造一個部分同態(tài)加密方案,之后再通過自舉(bootstrapping)來實現(xiàn)全同態(tài)加密.目前,在部分同態(tài)加密方案的構(gòu)造中,出于對方案的安全性考慮,加密過程需要引入噪音.隨著同態(tài)運算的進行,噪音不斷地累積,一旦噪音的尺寸超出某個閾值,就會出現(xiàn)解密錯誤.因此,我們必須采取消減噪音的操作來保證正確解密.自舉是目前最有效的消減密文噪音的操作,也是迄今為止實現(xiàn)全同態(tài)加密的唯一途徑.但是,自舉計算代價昂貴,成為全同態(tài)加密算法計算性能的瓶頸.

具體地,自舉是指當同態(tài)操作進行至噪音達到閾值而無法再進行操作時,將此時的密文與對應私鑰的密文進行同態(tài)解密的操作.自舉后可以得到支持繼續(xù)同態(tài)操作的低噪音密文.根據(jù)全同態(tài)加密方案的設計思想1http://people.csail.mit.edu/vinodv/FHE/FHE-refs.html,自舉技術(shù)大致可以劃分為三代.

第一代全同態(tài)加密自舉技術(shù)主要用于文獻[6,7]中的方案.該類方案的特點是其中使用的部分同態(tài)加密方案是不可自舉的,即可同態(tài)計算電路的深度有限,無法支持方案本身的解密電路.為了解決這一問題,Gentry等人利用稀疏子集和假設,將解密電路中復雜的運算進行預處理,壓縮解密電路,使得同態(tài)計算電路能夠支持解密操作,從而實現(xiàn)自舉.該類方案使用的是布爾電路對密鑰信息逐比特加密,自舉一個比特信息的時間需要30 min左右[8].

第二代全同態(tài)加密自舉技術(shù)針對的是基于格上帶錯誤學習((R)LWE)問題構(gòu)造的全同態(tài)加密方案.該類技術(shù)的代表方案主要有BGV[9,10]、BFV[11,12]、CKKS[13].該類方案中使用的部分同態(tài)加密方案通過引入噪音消減技術(shù)(模切換和rescale技術(shù)),使得該類方案在不需要自舉的情況下,就能夠?qū)崿F(xiàn)“層次型”全同態(tài)加密(leveled-FHE),即在以電路深度為參數(shù)作為輔助輸入的前提下,能夠同態(tài)地執(zhí)行任意有界深度的電路.因此,在自舉的過程中,不再依賴于稀疏子集和的安全性假設來壓縮解密電路.這樣,該類方案的安全性就可以歸約到格上的標準困難問題.由于該類方案的密文是向量形式,所以在進行同態(tài)計算的過程中需要引入計算密鑰.并且這類方案支持打包和并行操作[14],因此能夠?qū)Χ鄠€明文比特同時進行處理,具有很強的應用潛力.目前,分別基于BGV、BFV、CKKS方案設計的開源庫HElib、SEAL、HEAAN得到了廣泛的應用.

第三代全同態(tài)加密自舉技術(shù)主要針對的是GSW[15]類型的全同態(tài)加密方案,以AP14[16]、FHEW[17]以及TFHE[18,19]方案為代表.與第二代全同態(tài)加密方案相比較,該類方案的密文是矩陣形式,因此在同態(tài)計算的過程中,不再需要引入計算密鑰.此外,該類方案在同態(tài)計算的過程中噪音的增長是非對稱的(即C1?C2與C2?C1產(chǎn)生的噪音是不相同的,其中C1,C2是密文).這使得之前的噪音消減技術(shù)不再適用.因此,Gentry等人提出了Flatten技術(shù),實現(xiàn)了“層次型”全同態(tài)加密.并且根據(jù)噪音增長的特點,Alperin-Sheriff等人設計了一個快速自舉的算法[16].目前基于該類方案設計的開源庫主要有FHEW和TFHE.其中,TFHE自舉一個比特信息僅需要13 ms的時間,從公開發(fā)表的文獻來看,這是目前自舉效率最高的方案之一.

目前,自舉是實現(xiàn)全同態(tài)加密的唯一途徑,同時也是造成全同態(tài)加密效率低下的主要原因.因此,自舉是整個全同態(tài)加密方案中的核心和關(guān)鍵.本文將著重介紹三代全同態(tài)加密方案中自舉方案的主要思想和具體實現(xiàn)方法.

2 基本概念

本節(jié)主要介紹同態(tài)加密中的一些相關(guān)的基本概念.

一個同態(tài)的公鑰加密方案2雖然同態(tài)加密方案可以使用相同的密鑰進行加解密(對稱加密),但它也可以被設計為使用不同的密鑰進行加密和解密(非對稱,即公鑰加密).文獻[20]給出了一種將對稱和非對稱方案相互轉(zhuǎn)換的通用方法.這里主要介紹公鑰加密的方案的概念.(假設明文空間M={0,1})通常包含有4個PPT時間的算法:HE.KeyGen,HE.Enc,HE.Dec,HE.Eval.其中,HE.Eval能夠完成對加密數(shù)據(jù)的同態(tài)計算.

定義1若公鑰加密方案E滿足:

?(sk,pk,evk)←HE.KeyGen(1λ,1τ):輸入安全參數(shù)λ和參數(shù)τ,輸出私鑰sk、公鑰pk和公開的計算密鑰evk.

?c←HE.Enc(pk,m):給定公鑰pk和明文比特m,輸出相應的密文c.

?m←HE.Dec(c,sk):給定私鑰sk和密文c,輸出相應的明文比特m.

?c f←HE.Eval(evk,f,c1,c2,···,c l):輸入計算密鑰evk、函數(shù)f:{0,1}l■?→{0,1}以及密文c1,c2,···,c l,輸出相應的計算密文c f.則稱E=(HE.KeyGen,HE.Enc,HE.Dec,HE.Eval)是一個同態(tài)的公鑰加密方案.

從語義上,定義1可以自然地拓展到明文向量(m= (m1,m2,···,m t))和密文向量 (c=(c1,c2,···,c t)=HE.Enc(pk,m)).一個同態(tài)加密方案,應至少滿足下面幾個屬性.

?(正確性)通常情況下,HE.Enc輸出的密文可稱為“新鮮密文”,HE.Eval輸出的密文可稱為“計算密文”.下面的正確性定義針對的是這兩種密文.讓E=(HE.KeyGen,HE.Enc,HE.Dec,HE.Eval)表示一個同態(tài)加密方案,F={f i}i∈Z表示某個函數(shù)族.如果E能夠正確解密“新鮮密文”和“計算密文”,那么同態(tài)加密方案E對于F是正確的.即對于任意的λ和i∈Z,下面兩個條件成立:-對于任意的m∈{0,1},

-對于任意的f∈F以及明文向量m=(m1,m2,···,m t)∈{0,1}t,

?(同態(tài)性)如果一個加密方案E支持下面的等式:

E(m1)?E(m2)=E(m1?m2),?m1,m2∈M,

其中M表示的是明文空間,那么該加密方案關(guān)于該運算?是同態(tài)的.由于乘法和加法在有限集合上面是功能完備的[21],因此為了構(gòu)造一個能夠允許對任意函數(shù)進行同態(tài)操作的加密方案,該加密方案只需要滿足加法和乘法同態(tài)就足夠了.特別的,對于布爾電路來說,任意的電路都可以用XOR(加法)門和AND(乘法)門來表示.

?(語義安全性)同態(tài)方案的語義安全性是使用選擇明文攻擊(chosen plaintext attacks,CPA)安全性的標準概念來定義的.在這種定義下,任意一個PPT的敵手,即使是在知道公鑰的情況下,也不能夠區(qū)分0和1的加密.令E=(HE.KeyGen,HE.Enc,HE.Dec,HE.Eval)表示一個同態(tài)加密方案,A表示某個敵手.那么A對于E算法的優(yōu)勢定義為:

?(緊致性)對于一個同態(tài)加密方案E=(HE.KeyGen,HE.Enc,HE.Dec,HE.Eval),如果存在一個確定多項式函數(shù)B(·),對于所有的λ,τ,任意函數(shù)f和明文比特向量m=(m1,m2,···,m t)∈{0,1}t,滿足

那么該方案E是緊致的.

緊致性能夠充分體現(xiàn)同態(tài)計算的能力,它要求密文尺寸不隨著計算電路的復雜性增加而增加.需要指出,在這里B(·)是一個只依賴于λ的多項式函數(shù).這意味著即使方案中的某些部分(比如公鑰的尺寸)依賴于方案中除去λ以外的其他因素,而計算密文是不依賴于這些參數(shù)的.換句話說,密文的尺寸與t和f無關(guān).

3 自舉的發(fā)展與研究現(xiàn)狀

目前,在基于格的同態(tài)加密方案中,明文在加密成為密文的過程需要引入噪音,其目的是為了保證安全性.然而引入的噪音尺寸會隨著同態(tài)運算的進行而不斷的增長,一旦噪音的尺寸超出了某個閾值,就會出現(xiàn)解密錯誤.自舉技術(shù)是目前實現(xiàn)全同態(tài)加密的唯一途徑.因此,自舉在同態(tài)地計算較深的電路或者沒有限制次數(shù)的同態(tài)運算中起著至關(guān)重要的作用.

3.1 自舉的計算任務

粗略地說,在某個給定的方案中自舉一個“原始密文”意味著使用該方案中密鑰的加密,以同態(tài)計算的方式運行該方案自己的解密算法.自舉的結(jié)果是產(chǎn)生一個新的密文,該密文加密的明文跟“原始密文”相同,并且與“原始密文”相比較,自舉之后產(chǎn)生的新的密文的噪音尺寸更小.因此,在同態(tài)計算的過程中,在適當?shù)墓?jié)點進行自舉操作,能夠保證密文在解密正確的情況下,同態(tài)運算可以持續(xù)進行下去.

3.2 自舉的實現(xiàn)

根據(jù)全同態(tài)加密方案的劃分方式,自舉的實現(xiàn)主要劃分為三條技術(shù)路線.第一條技術(shù)路線以第一代全同態(tài)加密方案中的自舉為代表.他們研究的是在基于整數(shù)上稀疏子集和假設下構(gòu)造的部分同態(tài)加密方案的自舉,主要的技術(shù)手段是通過壓縮解密電路和逐比特加密來實現(xiàn)全同態(tài)加密.第二條技術(shù)路線主要是以第二代的全同態(tài)加密方案中的自舉為代表.他們研究的是基于環(huán)上帶錯誤學習(RLWE)的困難問題構(gòu)造的層次型全同態(tài)加密方案中的自舉.這部分的工作主要是針對BGV、BFV和CKKS三個方案自舉的設計和改進,與第一代全同態(tài)加密方案不同,這類方案利用SIMD技術(shù)能夠做到同時對多個比特進行處理.特別地,與BGV和BFV方案不同,CKKS方案可以對加密數(shù)據(jù)進行近似的算術(shù)運算.正是由于這個特性,CKKS方案的自舉過程有別于BGV和BFV方案.在CKKS的自舉過程中,沒有選擇特殊的模數(shù),而是找到一個代替該方案的解密函數(shù)的逼近函數(shù)-正弦函數(shù)來完成自舉.第三條技術(shù)路線以第三代全同態(tài)加密方案中的自舉為代表.他們針對的是對單個比特加密的自舉.他們的實驗結(jié)果表明,對于任意的布爾電路,自舉一個比特僅需要13 ms的時間.目前,該方案是自舉單個比特效率最高的方案之一.接下來,我們將依次對這三條技術(shù)路線中自舉的過程和發(fā)展進行介紹.

3.2.1 第一代全同態(tài)加密方案中自舉的實現(xiàn)

以Gentry等人為代表實現(xiàn)的第一代全同態(tài)加密方案的主要思想是,首先構(gòu)造一個部分同態(tài)加密方案,該類方案的特點是可同態(tài)計算的電路深度比解密電路深度小,因此該類方案無法正確地執(zhí)行自舉操作.因此,該類方案需要通過壓縮解密電路,使得解密電路的深度小于同態(tài)計算的電路深度,再借助自舉技術(shù)來實現(xiàn)全同態(tài)[6,7].以vDGHV10方案為例,該方案的具體解密操作如下:

Decsk(c)=cmodpmod 2=m,

vDGHV10方案簡化解密的具體過程如下:

Step-1(密鑰生成):生成集合y={y1,y2,···,yβ}(其中y i∈[0,2)是一個實數(shù)),滿足:存在一個稀

由于該類方案的實現(xiàn)采用的是布爾電路對密鑰信息進行逐比特加密,所以使得整個方案的計算效率不高(自舉一個比特需要花費大約30 min的時間)[8],不具備實用化的潛力.但是,盡管如此,其對后來自舉方案的實現(xiàn)具有非常重要的理論指導意義.

3.2.2 第二代全同態(tài)加密方案中自舉的實現(xiàn)

在第二代全同態(tài)加密方案中,我們主要介紹自舉實現(xiàn)的兩個代表方案:BGV方案和CKKS方案.

BGV方案的具體解密操作如下:

Decsk(c)=〈c,sk〉modqmod 2=m,

通過表2可以看出,w i的最低位比特就是z〈i〉.因此,我們可以利用公式(1)來進行比特提取.

表2 2i w i的位置比特信息Table 2 Bits position of 2i w i

表1 的位置比特信息Table 1 Bits position of

表1 的位置比特信息Table 1 Bits position of

比特位置 0 1 2 ··· r?1 z= z〈0〉 z〈1〉 z〈2〉 ··· z〈r?1〉z2= z〈0〉 0 * ··· *z22= z〈0〉 0 0 ··· *::::::z2r?1= z〈0〉 0 0 ··· 0

同態(tài)的比特提取無論是從時間還是電路深度上來說,都是復雜度最高的一個操作.并且它的時間和電路深度是隨著提取的最高位有效比特(也就是r)增加的.從這一方面入手,直觀上可以有兩種改進方案.第一種方法,由于?q=2r+1,因此可以選取較小的?q來降低同態(tài)的比特提取的復雜度.但是,由于受解密正確的條件限制,?q的選擇不能太小,所以這一方法可行性不大.第二種方法,找到一種可以減小最高位有效比特(也就是r),但是不減小?q的方法.該方法具體過程如下:

“拓展”BGV方案的自舉.基礎的BGV方案中的明文空間mod2可以拓展到modp e,接下來我們將介紹如何對拓展之后的BGV同態(tài)加密方案進行自舉[23-25].將明文空間拓展之后的BGV同態(tài)加密方案的解密操作如下:

Decsk(c)=〈c,sk〉modqmodp e=m.

拓展的BGV同態(tài)加密方案的自舉過程與基礎方案類似.在基礎BGV方案的比特提取過程中,X2在其中發(fā)揮了重要的作用.那么在拓展的BGV的同態(tài)數(shù)字提取過程中,也需要有這種性質(zhì)的多項式,我們稱之為“提升多項式”[26].

定義2(提升多項式)對于任意的e,存在一個次數(shù)為p的多項式F(·),滿足:若z=z0modp e,則F(z)=z0modp e+1.我們稱具有這種性質(zhì)的多項式為“提升多項式”

拓展的BGV方案的自舉過程可以類比基礎方案的自舉過程得到,我們在這里就不再贅述.

CKKS方案的具體解密操作如下:

Decsk(c)=〈c,sk〉modq=m+e,

圖2 模約化和正弦函數(shù)[27]Figure 2 Modular reduction and scaled sine functions[27]

CKKS加密方案的自舉過程如下:

Step-1(模提升):輸入原始密文c,此時其對應的模數(shù)為q,則有m(x)=〈c,sk〉modq.我們可以觀察到,如果只進行內(nèi)積操作而不進行模約化,那么t(x)=〈c,sk〉(modX N+1)=m(x)+q I(x),其中I(x)∈R.因此,我們可以將c看作是在一個大的模數(shù)Q>q下,對t(x)=t0+t1x+···+t N?1x N?1的加密,即〈c,sk〉modQ=t(x).這時,同態(tài)解密過程(自舉過程)轉(zhuǎn)換為同態(tài)地對t(x)執(zhí)行modq的操作(m(x)=t(x)modq).

Step-2(線性變換):由于我們是需要對多項式t(x)的系數(shù)t0,t1,···,t N?1進行運算操作,因此線性變換的目的是將明文t(x)的系數(shù)轉(zhuǎn)換到明文槽中.

Step-3(模約化的近似同態(tài)操作):這一步過程主要是進行對t(x)進行modq的同態(tài)操作.由于我們可以求得modq的近似多項式函數(shù)P(·),所以我們只需要對相應的密文執(zhí)行多項式P(·)的同態(tài)操作即可.

Step-4(逆線性變換):輸入上一步得到的密文,這一步工作的目的是將明文m(x)的系數(shù)m0,m1,···,m N?1從明文槽中變換到明文系數(shù)的位置.這一步實際上是第三步的逆過程.之后,我們就能夠得到在新的模數(shù)Q′(Q′>q)下對原始明文m(x)加密的新密文,自舉過程結(jié)束.

3.2.3 第三代全同態(tài)加密方案中自舉的實現(xiàn)

在第三代全同態(tài)加密方案中,主要的代表方案是GSW方案,這部分我們主要介紹針對GSW方案的自舉.

GSW方案的特點是只針對單個比特的加解密,并且其同態(tài)計算的過程中無需計算密鑰的輔助,該方案的解密函數(shù)如下:

Decsk(c)=[〈c,sk〉modq]2=m.

我們可以將該方案的解密函數(shù)分解成為三個基本的操作:內(nèi)積(〈·,·〉),模約化(modq)以及舍入操作([·]2).顯然內(nèi)積操作的同態(tài)運算是簡單的,并且我們可以觀察到,〈c,sk〉modq=∑s i c imodq∈Zq.Alperin-Sheriff和Peikert等人[16]觀察到這一點,通過構(gòu)造(Zq,+)與(S q,×)之間的同構(gòu)映射,將Zq中的元素編碼成為S q的元素,之后只需要借助算數(shù)電路就能夠完成GSW類型的同態(tài)加密方案的自舉.具體的編碼方式是,對于任意的i∈Zq,π(i)=(0,···,0,1,0,···,0)∈S q,其中π(i)的第i個位置為1,其余位置均為0.這種編碼方式的好處在于可以自動的實現(xiàn)模約化操作.此外,還能夠使得同態(tài)的舍入操作變得簡單.事實上,我們可以把舍入操作理解為區(qū)間判定.因此,要判斷一個屬于Zq的數(shù)字是否屬于某個區(qū)間,我們只需要將該區(qū)間的所有數(shù)字與該數(shù)字作比較.若相等,則返回1;否則,返回0.例如,判斷m1是否與m2相等.給定m1,m2∈Zq,π(m1),π(m2)∈S q,那么m1=m2當且僅當π(m1)·π(m2)=1.

據(jù)此,我們可以將GSW類型的方案的解密過程分為兩步:累加和最高位比特提取過程[18,19].其解密算法如算法2.

相應地,我們也可以將GSW類型的同態(tài)加密方案的自舉過程分為兩步:

Step-1(同態(tài)累加,homomorphic accumulator):這一步的主要目的是解決同態(tài)的內(nèi)積和模約化操作.具體的算法過程如算法3.

算法3 Homomorphic accumulator ACC←b;for i=1 to n do ACC←ACC?Enc inter(a i·s i mod q);end Return ACC

其中,Encinter(·)指得是自舉過程中的“中間同態(tài)加密方案”.盡管不同的自舉方案有不同的中間方案,但是同態(tài)累加的過程大致一樣,因此在這里就不再一一贅述.

Ducas和Micciancio等人[17]則利用的是Zq與Z[X]/〈X N+1〉,q=2N之間的同構(gòu)映射σ.即對于任意的i∈Zq,σ(i)=X imodX N+1.具體的映射內(nèi)容為:

3.3 自舉的實現(xiàn)效率

自從2009年Gentry提出自舉框架以來,自舉技術(shù)作為全同態(tài)加密中的核心和計算代價最高的操作,得到了非常廣泛深入的研究.從最開始自舉一個比特需要30分鐘開始,關(guān)于自舉方案的實現(xiàn)主要發(fā)展成為兩條路線.第一條主要是以第二代的全同態(tài)加密方案為代表,這類方案支持打包和并行,所以能夠做到對多個明文同時進行自舉,代表的開源庫有HElib、SEAL、Palisade和HEAAN等.第二條主要是以第三代的全同態(tài)加密方案為代表,其針對的是對單個明文比特進行自舉,代表的開源庫有FHEW和TFHE等(圖3).

圖3 全同態(tài)加密方案中自舉實現(xiàn)的效率Figure 3 Efficiency of bootstrapping in FHE

3.4 技術(shù)總結(jié)以及發(fā)展方向

從自舉技術(shù)的實現(xiàn)來看,解密函數(shù)中涉及到的非線性部分是整個自舉過程的最大困難點(見表3).而這一部分往往會導致方案本身的解密電路深度要大于方案可同態(tài)計算的電路深度.為了實現(xiàn)自舉,通常會采取兩種方式:一種是通過壓縮解密電路的方式來減小解密電路深度(以第一代全同態(tài)加密方案為代表);一種是借助削減噪音的技術(shù)(模切換等技術(shù))來增大方案可同態(tài)計算的電路深度(以第二、三代全同態(tài)加密方案為代表).

表3 三代全同態(tài)加密方案中自舉的技術(shù)總結(jié)Table 3 Summary of three generations of bootstrapping in FHE

第一代的全同態(tài)加密方案中,將私鑰信息借助稀疏子集和假設嵌入到公開密鑰中,降低解密電路的復雜度.但是這一做法導致方案依賴于非標準的安全性假設.第二代的全同態(tài)加密方案的自舉過程的主要計算開銷來源于比特提取過程.若能找到一種能夠?qū)γ魑亩囗検降亩鄠€系數(shù)甚至是所有系數(shù)進行比特提取的方法,將會對第二代全同態(tài)加密方案中自舉效率有很大提升.第三代的全同態(tài)加密方案中,恒等測試是自舉方案設計的難點,也是決定整個自舉計算開銷的關(guān)鍵點.而恒等測試的設計依賴于(Zq,+)同構(gòu)映射的構(gòu)造.因此,如何構(gòu)造一個緊致高效的同構(gòu)映射將成為第三代全同態(tài)加密自舉方案的設計中重點研究的內(nèi)容.

4 總結(jié)

現(xiàn)如今,在大數(shù)據(jù)和云計算的推動下,數(shù)據(jù)隱私保護扮演著越來越重要的角色.全同態(tài)加密能夠允許任何第三方在不事先解密的情況下對加密的數(shù)據(jù)執(zhí)行任意的運算操作.正是由于全同態(tài)加密這一優(yōu)良特性,讓其能夠自然地解決云計算中遇到的數(shù)據(jù)隱私保護的問題.因此,利用全同態(tài)加密來保護數(shù)據(jù)隱私成為了一個非常有潛力的發(fā)展方向.自舉作為目前實現(xiàn)全同態(tài)加密的唯一途徑,成為全同態(tài)加密中的關(guān)鍵和核心.事實上,自從2009年Gentry提出了自舉框架開始,該框架已經(jīng)存在有十多年的歷史.隨著全同態(tài)加密方案設計上的理論和實踐創(chuàng)新,自舉也得到了深入廣泛的研究.具體來說,這篇文章從自舉的困難點入手,圍繞著自舉技術(shù),介紹了近年來全同態(tài)加密的發(fā)展與研究現(xiàn)狀.之后,重點針對三代全同態(tài)加密方案的自舉技術(shù),逐一展開進行詳細的介紹,并進行了效率方面的比較以及對未來發(fā)展方向的思考,以供感興趣的研究學者參考.