阈值全同态密码系统

最近，克雷格（Craig Gentry）发布了第一个完全同态的公钥加密方案（在纯文本空间{0,1}上），这意味着人们可以在不了解秘密解密密钥的情况下高效，紧凑地评估加密后的明文的AND和XOR。

我想知道是否有任何明显的方法可以将此公钥密码系统转变为阈值公钥密码系统，从而每个人都可以进行加密，AND和XOR，但是只有在某些（所有人）共享密钥团队的情况下才可以解密。

我会对有关该主题的任何想法感兴趣。

提前致谢

w

Steven Myers，Mona Sergi和Abhi Shelat在eprint上发表的新论文“ 阈值完全同态加密和安全计算 ”声称具有阈值完全同态加密方案。

从他们的摘要：

...

Gentry [Gen09a]显示了如何将这两种想法与完全同态加密相结合，以构建允许评估功能的安全多方协议 $f$使用与电路描述无关的通信$f$ 和多项式的计算 $|f|$。本文解决了Gentry方法的主要缺点：我们消除了Naor和Nissim编译器固有的非黑盒方法的使用。

为此，我们展示了如何修改van Dijk等人的完全同态加密构造。[vDGHV10]是阈值完全同态加密方案。

...

总而言之，我们构建了第一个允许对功能进行评估的黑盒安全多方计算协议$f$ 使用与电路描述无关的通信 $f$。

我不知道Gentry方案的细节，但是所有其他阈值密码系统都需要与公钥和秘密密钥有关的两种同态性（暗示第三种）：

1. ${\sf KG}(sk1)\otimes{\sf KG}(sk2)={\sf KG}(sk1\oplus sk2)$
2. $c={\sf Enc}_{pk1}({\sf Enc}_{pk2}(m,r))={\sf Enc}_{pk1\otimes pk2}(m,r)$
3. $m={\sf Dec}_{sk1}({\sf Dec}_{sk2}(c))={\sf Dec}_{sk1\oplus sk2}(c)$

（${\sf KG}$ 是给定私钥并返回公钥的函数： $pk={\sf KG}(sk)$）

如果满足这些条件，则进行某些操作 $\oplus$ 和 $\otimes$，很可能可以进行分布式（n出n）解密，并且如果操作 $\oplus$ 例如，对于内插多项式就足够了。

例如，在Elgamal门槛中， $\oplus$ 是加法，可以插值。

即使没有人回答原始问题，也许有人可以回答以下问题：（1）Gentry的FHE是否符合上述蓝图（就 ${\sf KG}$， ${\sf Enc}$， ${\sf Dec}$）。（2）公钥和私钥之间是否存在这种同态性？（3）如果是，该怎么做？

同样，我并不是说这些条件对于具有阈值密码系统是必要的。缺乏这种同构性（据我所知）并不意味着阈值解密是不可能的。