FX168财经网_全球视野外汇黄金加密货币NFT资讯网

初探全同态加密之四：Bootstrapping的原理与实现

作者：Steven Yue，原刊于作者知乎在上一期的文章中，我们学习并且深入了解了GSW全同态加密系统的具体构造。通过这一构造，我们可以对加密的密文进行相加和相乘的操作，并且通过二进制分解的方法，把密文中噪声的增加速度控制在一个可控的区间之内。（详情点击《初探全同态加密之三：构建GSW全同态加密系统》） GSW的有限级数限制 Alice的珠宝店 Alice开了一家珠宝店，每天她需要把不同的珠宝（钻石、黄金）加工拼接起来，然后把完成的首饰卖给顾客。过了一阵子后，Alice觉得自己忙不过来，于是决定雇佣Bob作为她的员工。然而，Alice担心Bob会趁着她不注意，偷偷的把加工完剩余的边角料藏起来，或者是加工的时候偷工减料为自己牟利，所以一直放不下心来。直到有一天，Alice突然想到了一个idea。 Alice买来了一个手套箱（Glove Box），就是那种做实验用的密封的箱子，中间有两个带有手套的洞，手可以伸进去碰到箱子里面。她的想法很简单：只需要把所有的原材料全部锁在箱子里，然后Alice保管着可以开锁的钥匙，Bob就偷不走了。Bob想要加工这些原材料也很简单，只需要把手伸进去隔着手套加工珠宝，就可以完成工作了。这个手套箱还有一个巧妙的小设计，有一个单向的进口，外面的人可以投任何东西进来。Bob可以通过这个进口把部分的原材料从外面投入手套箱内，但是无法打开手套箱把它们取出来。整个idea一切都很完美，正当Alice买回来了一个手套箱，准备进行实践的时候，她突然发现了这个箱子的几个问题：首先，套上手套的Bob的加工手艺并没有以前那么精湛了。也许原本只需要半天的活，现在可能要磨蹭两三天才能干完。其次，虽然手套箱上了锁之后，Alice就可以放心Bob不会偷走珠宝了。但是这样的代价就是，当Bob加工完了之后，他并没有办法直接把加工完的珠宝拿出来给顾客，而是得等Alice过来了才能打开来。这样一来如果Alice很忙的话，可能顾客得Alice忙完了才能拿到自己买的商品。以上的两点问题，Alice勉强都可以接受，但是接下来的第三点是最致命的。Alice发现，这个手套箱具有一定的使用寿命，也就是说Bob只能在这个箱子里加工珠宝L次，然后这个箱子就会坏掉，变得无法再继续加工。如果已经达到了损耗的临界值，然后Bob继续尝试使用的话，那么里面的珠宝就有可能会彻底的被搞坏，变得无法修复。当Alice发现手套箱的这三个特点之后，她开始思考如何有效的让Bob使用这一新发明。 Alice的平行世界：FHE 看到这里，想必熟悉FHE构造的读者们一定会对Gentry举的这个Alice的珠宝店例子非常亲切。Alice发明的手套箱其实就是暗指FHE系统！我们来比较一下这两者之间的共同性： Alice拥有手套箱的钥匙，所以可以打开盒中的东西。这代表了FHE加密系统的解密正确性。 Bob可以通过单向的入口把东西投入手套箱中，但是无法取出任何东西。这代表了我们讨论的FHE加密系统是一个安全的public key（公钥）的加密系统，即任意第三方都可以创造密文但不能解开密文。 Bob可以通过两个手套口，任意的加工放在手套箱中的物品，但是效率比起直接加工要慢上许多。这一步对应了FHE中的同态计算（Eval）。最后，手套箱的使用寿命，以及使用了若干次之后就会坏掉这一设定，完美的吻合了Lattice结构的FHE系统中的噪声以及上限。想要增加使用寿命，一种方法是把盒子做的更大、更昂贵，这对应着在FHE中把对应的parameters增大。那么现在问题来了，Alice可以如何不改进手套箱，但是增加它的使用寿命呢？我们继续回到Alice的世界中来看看Gentry是怎么描述的。手套箱中的奥秘一筹莫展的Alice看着一个只能用有限次的手套箱，非常的失望。这一有限的加工次数决定了Bob可以加工的珠宝的复杂程度。按照现在这个样子，Bob只能加工一些半成品出来，然后需要Alice去开锁，再把半成品放到一个新的手套箱中，继续让Bob加工。这样一来，Alice基本上得全程在旁边看着。原本雇Bob来是为了减少负担的，没想到现在反而还更加加重了工作压力。直到有一天，Alice在看Bob加工珠宝的过程中，突然灵机一动：假如我事先知道了Bob加工一个珠宝需要两个手套箱，我能不能想办法可以让Bob在没有钥匙的情况下把未加工完的半成品从第一个手套箱中转移到第二个手套箱中呢？ Alice回去之后想了半天，终于想出了一个绝妙的想法：第二天，Alice准备了两个手套箱，分别标号为A与B。Alice把A、B两个手套箱都交给Bob，并且自己留下手套箱B的钥匙。她唯独做了一件不一样的事情：把A的钥匙丢入了B当中。这样一来，当Bob在手套箱A中加工珠宝达到损耗的临界值的时候，他接下来需要做的事情就是：把手套箱A一整个塞入手套箱B中！然后，Bob就可以直接在手套箱B中拿着实现放进去的钥匙解开里面的A箱的锁，然后把半成品的珠宝拿出来继续加工了。整个想法瞬间震惊了所有珠宝店的人，通过这样的构造，Bob就可以不用Alice帮忙加工任意复杂度的珠宝了，两个不够就串三个，三个不够就四个。唯一需要做的就是Alice需要在开始之前把对应的钥匙丢入对应的箱子中。为什么这样的方案可行呢？因为一开始说到了，手套箱上安装的单向入口可以放入任何东西，包括另一个手套箱，所以就可以层层嵌套啦。唯一需要注意的一点是，在手套箱B中解开箱A的锁这个步骤，也会给箱B带来一定的损耗。所以在选取锁的时候，Alice特意选择了不需要太大力气可以几步解开的锁。 Bootstrapping初见端倪 Alice所想到的这个技巧，正是我们这一期想要讨论的Bootstrapping的概念！如果拿到FHE的世界中简单的概括的话，那就是：把一个满噪音的FHE的密文加密进另一个FHE密文中，并且同态计算FHE的解密算法，把里层的密文解密还原为原文，就能获得一个全新的低噪音FHE密文。如果乍一看有点一头雾水，不要急，我们一步一步的来看在FHE中Bootstrapping是如何实现的。目前来说，我们还没能找到一个非常好的模型来研究Circular Security假设真正的安全性。这是因为在设计公钥加密算法的时候，我们并不会考虑到公开了密钥的密文之后会带来什么后果。有一派的看法是，因为公钥加密系统是Semantic Secure（语义安全的）的，所以密钥的密文应该看起来和其他的密文没有任何区别，所以循环安全这一假设应该很容易成立。但是，我们近几年已经找到了很多反例，即找到了一些一定不满足Circular Security的加密系统。比如说我们手动的在某个加密系统中塞入一个后门，使得一旦拥有了循环密钥，即加密了密钥的密文之后，就可以通过这个后门来获得密钥的原文。但是这些加密系统都是人为的构造的，由于我们目前还没有在现有的公钥加密体系找到一个很自然的反例，所以我们相信Circular Security仍然是个安全的假设。 Bootstrapping的策略看到这里，想必大家已经对Bootstrapping的概念有了一个大概的了解。和之前介绍FHE系统不同的是，Bootstrapping其实是一个很广义、宽泛的概念。我们并没有用一系列公式来展示Bootstrapping的过程，而只是介绍了这一种思路，即同态验证解密函数。这种思路可以用于任何FHE的系统，包括BGV与GSW系统。在深入理解Bootstrapping在GSW中到底是什么原理之前，我们先来看看，到底什么时候才需要Bootstrapping。 Bootstrapping的策略分为两种：Gate Bootstrapping与Circuit Bootstrapping。 Gate Bootstrapping 第一种Bootstrapping的策略，就是每当我们进行一次最简单的同态计算，我们就进行一轮的Bootstrapping把噪声值还原到进行计算前的量。因为我们可以把计算的函数用电路表示，而电路的最基本构成元素是逻辑门（Gate），所以这种方案又被称作Gate Bootstrapping。熟悉逻辑电路的读者可能会知道，所有的逻辑门都可以用一个逻辑门NAND来表示。这也就是说，只要我们可以构造出一个同态计算NAND并且再进行一轮Bootstrapping的构造，我们就可以把这个构造作为一个逻辑计算模块，然后用这个模块构造出任何电路。因为Bootstrapping确保了噪声不会超过临界值，所以我们可以用这种方法来进行任何深度的电路的同态计算。基于Gate来构造的Bootstrapping较为简单，我们在同态计算一个程序的时候，只需要写一个编译器，把这个程序转换成电路，再把电路分解为单个的逻辑门，然后把每个逻辑门再拆分成NAND，就搞定了。这样的结构等于是在应用层隐藏了Bootstrapping这件事情，因为每次进行NAND计算的时候，噪音值就已经被重新刷新了。 Circuit Bootstrapping 第二种Bootstrapping的思路和我们之前讨论的思路比较相似。我们首先使用原本的FHE系统同态计算我们想要计算的电路，直到达到了噪音临界值。然后我们再进行一轮Bootstrapping来“刷新”噪声值，以便进行后续的同态计算。这种结构和Gate的思路相反，把Bootstrapping的概念直接暴露在了应用层。我们在进行计算的时候可以根据目前的噪声值来选择是否要进行Bootstrapping。这样的好处在于，如果我们需要同态验证的电路的复杂度不是很高的话，我们就可以很快速的进行Leveled同态计算，而不需要花额外的时间来通过Bootstrapping来刷新噪声。 Bootstrapping的实现了解完Bootstrapping的原理与策略之后，接下来我们终于可以来结合之前所学的看一看，如何在我们之前看到的GSW同态体系中运用Bootstrapping的概念了。我们先重新回顾一下GSW的加密与解密结构。这个问题解决了之后，剩下来的就是把Dec转换成MBP然后进行同态计算了，这一部分我们就不多说了。当BV二人根据这个结构提出Bootstrapping的方案之后，大家逐渐找到了一条可以真正实现Bootstrapping的路，并且开始用代码来实现。到2014年，Halevi与Shoup在HElib（IBM的FHE库）中使用类似的概念进行Bootstrapping计算，并且可以在半个小时左右的时间内进行一次Bootstrapping，使用的参数的存储空间达到了几十个GB左右。实际的Bootstrapping方案（Practical Bootstrapping）看到这里的朋友们可能会不禁吐槽到，Bootstrapping这么简单的概念，居然需要在电脑上花上半个小时的时间，并且占用这么大的空间才能完成。没错，早期的FHE之所以不能投入应用，就是因为Bootstrapping的开销实在是太大了。并且抛开Bootstrapping不说，我们光是用GSW这样庞大的LWE矩阵来加密一个bit，就基本上代表已经没有什么效率可言了。然而，这一切在2014年后开始发生了改变。 2015年的时候，Ducas与Micciancio提出了全新的【DM15】构造，属于Gate Bootstrapping的方案（即提供了一个NAND+Bootstrapping的实现），并且基于GSW系统。这一构造被称作为FHEW，标准参数下只需要0.69秒就可以完成一轮Bootstrapping！在DM15中，作者发现GSW的解密过程中最令人头疼的第二步，其实并不需要实现完整的Comparator Circuit，可以通过一个更加简单的Accumulator（累加器）来实现。这一发现直接就大大简化了第二步所需要的计算量。主要的思路在于，如果我们合理的选择模组q的值，那么第二步比较判断的过程，就完全可以通过观察密文二进制分解之后的最高位是1还是0来完成，而不需要与q/4来进行比较了。紧接着，在2016年的【CGGI16】中，TFHE诞生了，继承了FHEW的特点，不过进行了一系列更加优化的操作，把Bootstrapping的时间压缩到了0.05秒之内。在2017年的follow up 【CGGI17】中，又把这一下限压到了0.013秒！ TFHE所用到的技巧也非常巧妙，它的核心也是观察到FHEW所用的Accumulator的构造，发现如果把密文映射到Torus T（环面空间）中，那么构成这个Accumulator的构造更加简单。因为整个计算空间是一个环形的，只需要通过一个盲旋转（blind rotation）的操作，就可以提取出密文的最高位的值。至于FHEW与TFHE的具体实现与证明，我们在这里就不多说了，以后有时间的话可以再开一篇，详细讨论一下这两种方案。 FHE库的比较到这里，我们大概已经知道了FHE的大致发展了。从09年Gentry提出了这一概念之后，学术界和业界都在争相在计算机上实现FHE。除了我们这期提到的FHEW与TFHE之外，还有HElib，SEAL，cuFHE等等非常有名的开源库。这些库之间并没有特别多的好坏比较，更多的只是他们适应于不同的使用需求。比如说有的库会使用很多浮点操作，有的库会使用CUDA加速，有的库会使用GPL License下的其他插件（比如FFTW），所以不能用来闭源开发等等。由于时间关系，笔者就没有一一去测试了，把这个机会留给大家去尝试一下。写在最后到这里，我们【初探全同态加密】这一专题就到此结束啦。我们来快速回顾一下这4期覆盖的内容：什么是加密系统，与什么是加密系统的同态性质。同态加密的分类与特性。全同态加密的定义的历史。格密码学入门以及LWE问题的介绍。基于LWE问题的Regev加密系统。 GSW全同态加密体系的三次尝试：矩阵特征值，加入噪音，二进制分解。 Bootstrapping是什么，以及具体实现策略。如何基于GSW进行Bootstrapping，以及现有的实现方案。 FHE库的大致一览。这么一看，这四期已经涵盖了非常多的内容了！如果看到这里大家觉得对之前的概念有点生疏的话，不妨回去再看一遍，巩固一下知识。距离上一篇FHE文章已经过去了很久，这段时间笔者都在努力的补更多关于格密码学的知识，在过程中重新学习一遍这些讲过的概念。每次重新学这些概念的时候，都会发现每次的理解都会变得不一样，也会发现很多见过的构造其实都有非常巧妙的相似之处。如果看完了FHE之后，还想了解一下基于格密码学的更多高级的构造，比如ABE，NIZK，iO等等，希望大家也可以关注一波笔者在更新的【格密码学进阶】专题～来源：金色财经

金色财经2023-10-11

知乎因广告合同纠纷起诉威马汽车

）有限公司新增一则开庭公告信息，原告为知乎关联公司北京知乎网技术有限公司，案由为广告合同纠纷，该案将于11月6日在上海市青浦区人民法院开庭审理。近期，威马汽车申请破产审查引发关注。对此，威马汽车表示不会躺平，更不会倒下，希望通过调整企业战略，解决财务债务问题，获得投资人参与重构和发展等展开积极自救。

金融界2023-10-11

这个隐藏的以太坊（ETH）的支持是非常重要的

金色财经2023-10-10

知乎-W(02390.HK)10月9日斥资17.69万美元回购8.68万股

知乎-W(02390.HK)发布公告，于2023年10月9日该公司斥资17.69万美元回购8.68万股，每股回购价格为2-2.04美元。

金融界2023-10-10

初探全同态加密之三：构建GSW全同态加密系统

作者：Steven Yue，原刊于作者知乎上一期的文章中，我们一起了解了格密码学到底是什么，随后我们学习了LWE问题的构造。最后，我们把所学的内容组合起来，构成了格密码学中最经典的Regev加密算法。（详情点击《初探全同态加密：FHE的定义与历史回顾》）希望看到这里，大家已经对上期讲到的内容已经有一个深刻的认知了。这一期，我们就可以真正开始实战最后的boss——开始构造全同态加密系统。上期回顾在开始之前，为了便于大家能够更好理解这期会描述的FHE系统，我们在此快速的复习一下之前两期文章讲到的比较关键的知识点。 LWE问题上期文章中较为重点的内容就是LWE问题了。可以说正确的理解了LWE，格密码学和FHE问题就已经搞定了一大半了。全同态加密体系最后，我们一起来回顾一下上上期讲到的，一个完整的全同态加密（FHE）体系的构造。 FHE的四个阶段我们在第一期的文章中，还学习了构成FHE系统的四个不同阶段：部分同态（Partially Homomorphic Encryption）：在这一阶段下，我们可以运算的功能F只能够要么由加法/线性组合，要么由乘法构成。常见的例子有RSA（乘法同态）以及ElGamal（加法同态）。近似同态（Somewhat Homomorphic Encryption）：这一阶段的算法拥有不完整的同态属性，比如拥有Pairing配对的ElGamal循环群，具有完整的加法同态属性，但是只有非常薄弱的乘法同态属性。有限级数全同态（Leveled Fully Homomorphic Encryption）：这一阶段的算法可以同态运算任意形式的功能F，但所转换成的电路的复杂度不能超过上限L，不然就会噪音太大丢失信息。全同态（Fully Homomorphic Encryption）：最后的阶段就是我们想要得到的FHE了。在这一阶段我们可以计算任意复杂度的功能F，并且噪音可以被完美的控制在可控范围内。我们之前还提到了，通过Bootstrapping的方式，可以有效的将一个有限级数全同态（LFHE）的系统转换为一个全同态（FHE）的系统。Bootstrapping这一概念是FHE界的开山鼻祖Craig Gentry在09年的PhD毕业论文中指出的。我们这次要讲到的GSW系统，就是一个FLHE系统，随后通过Bootstrapping被有效的转换为FHE系统。综上所述，我们这一期来仔细的探讨一下，GSW中提出的LFHE系统是怎么构造的吧～ PS：这一段回顾的内容仅仅是前两期描述的一小部分。所以如果大家看到这里对FHE的定义与LWE问题还是不够了解的话，不妨再回去看看之前的文章，然后再回来继续往下看。构造GSW-LFHE系统的三次尝试 GSW系统是Gentry，Sahai，Waters三位大牛在2013年提出的第三代同态加密系统。整套加密系统围绕了一个核心概念：矩阵的近似特征向量。乍一听，这个概念有点云里雾里的。所以整篇论文其实也分了三个阶段，循序渐进的来介绍这一系统的构造。这三个阶段中，每一个阶段都提出了一个LFHE系统的尝试，并且评估了这一尝试是否可行。话不多说，我们这一期就来详细的学习一下Gentry在原文中对于LFHE构造的三次尝试，并且逐步的推导出最后GSW系统的全貌吧。第一次尝试：矩阵的特征值与特征向量 “加密算法”的问题我们的第一次尝试就完美的实现了全同态的所有要求，似乎看上去可以直接收摊，结束这篇文章了。但是我们不能高兴的太早，因为这一体系有一个非常致命的弱点。如果细心的读者朋友们会发现，我们在讲述第一种方案的时候，一直给“加密”二字打上了引号。但是这一架构对于我们后续的尝试是一个很好的启发，我们缺哪里补哪里就行了。上一期的文章中，我们讲到高斯消除法可以很好的找到线性方程组的解，但是如果我们叠加了一个噪音的话，就变成了困难的LWE问题。我们这里不妨也做同样的尝试，在特征向量与特征值的等式中加入噪音，看看会不会有所变化。篇尾小结相比起前两篇文章来说，这一篇文章可以说是最学术、数学公式最多的了。我尽可能地在描述的过程中用大白话来讲述LFHE系统的构造。如果大家在看的过程中还有一些疑惑，不妨把有困惑的地方再读一遍，或者私信我一起交流！我在文章开头有所提到：GSW系统的精华就在于近似特征向量这么一个定义。我们从普通的特征向量出发构建了一个全同态、但是不加密的系统；随后，我们加入了LWE问题中类似的噪音向量，构成了一个部分同态、但加密的系统。最后，我们使用二进制分解这么一个工具，构成了GSW中最后提到的有限级数全同态加密系统。看到这儿，如果你已经能get到GSW系统在做什么，是怎么来的的话，恭喜你已经掌握FHE系统构造的精髓啦！这是一件值得高兴的事情，因为FHE是一个相对来说非常年轻（～10年）的领域，我们已经站在密码学技术很前沿了。下一步，是什么？我们现在已经根据GSW这一篇paper所述的，一起构建出了一套LFHE系统了。但是就像我在第一篇中承诺的——我们要再接再厉，冲向真正的FHE。（注：GSW的paper中讲到的加密算法和我们本文中提到的可能有所出入，使用的是一种非对称的形式，而我们用的是对称加密形式。但是这并不会影响整个体系的正确性或者是功能性。个人觉得这样更好理解一点。）为了能够把LFHE系统转换为真正的FHE系统，我们就需要用到Gentry大佬提出来的Bootstrapping这一方法了。简单的来说，Bootstrapping可以把一个即将达到临界值的、带有很大噪音的密文，”刷新“成一个噪音很小的密文，这样就可以无限制的进行同态运算了。下一期，我们详细的介绍一下GSW系统中是如何应用Bootstrapping把原本的LFHE转换为FHE的。篇幅允许的话，我们还可以来探讨一下现有FHE库（如HELib，SEAL，TFHE）等的区别。下期见啦～来源：金色财经

金色财经2023-10-10

美股收盘：道指涨近200点热门中概股多数下跌小鹏汽车跌超10%

互联，36氪涨超4%，老虎证券，网易，知乎涨幅超3%，微博，360数科，云米科技，唯品会，团车涨超2%，陌陌，怪兽充电，兰亭集势，逸仙电商，云集，比特矿业，拼多多，信也科技涨幅超1%，1药网，有道，新东方，嘉楠科技，汽车之家微幅上涨。香颂国际跌超14%，物农网跌超13%，小鹏汽车跌超10%，中北能，万春医药，数海股份，乐居跌超9%，开心汽车，寺库跌超7%，蘑菇街，小赢科技，水滴公司，医美国际，百家云跌超6%，小牛电动，达达集团，叮咚买菜，讯鸟软件，凤凰新媒体，尚德机构，易电行等跌超5%。斗鱼，艾斯欧艾斯，华赢证券，房多多，理想汽车，蔚来，旭明光电，悦航阳光，极光等跌超4%，高途，宝尊电商跌超3%，搜狐，贝壳，哔哩哔哩跌超2%，途牛，万国数据，携程，阿里巴巴，趣店，满帮，京东，虎牙跌超1%，百度，品钛，爱奇艺，宜人金科，优信，中通，金山云，腾讯音乐，猎豹移动，欢聚集团小幅下跌。美联储副主席Jefferson：美联储可以谨慎行事注意到债券收益率上升美联储副主席Philip Jefferson表示，尽管通胀率仍然过高，但他正在关注美国国债收益率上升对经济的潜在抑制效应。 Jefferson表示，官员们“在评估可能必要的额外政策收紧程度时可以谨慎行事”。“展望未来，我将继续留意债券收益率上升会导致的金融环境收紧，并将在评估未来政策路径时牢记这一点。” 美联储官员Logan：收益率上升可能意味着进一步加息的必要性降低达拉斯联储行长Lorie Logan表示美国长期国债收益率近期飙升可能意味着美联储再次提高基准利率的必要性降低。 Logan表示：“在其他条件相同的情况下，对于相同的联邦基金利率设定，期限溢价上升会导致期限利率上升”。“因此，如果期限溢价上升，可能会为我们起到一些降温经济作用，降低进一步收紧货币政策的必要性。” 高盛：美债收益率飙升将抑制美国经济增长但不会出现衰退高盛集团经济学家表示，过去几周美国国债收益率飙升至历史高位，这将抑制经济增长并埋下金融风险隐患，不过该行仍预测经济不会陷入衰退。高盛经济学家David Mericle和Ronnie Walker周日在给客户的报告中写道，“以利率上升为首的金融环境进一步收紧产生的主要影响是其对GDP增长会更长久地形成拖累。” 高盛团队预计这在未来一年对美国经济的冲击约占国内生产总值的0.5个百分点，这“较为显著，”但不及去年金融环境收紧产生的拖累，且“影响太小，不足以造成经济衰退的风险，”他们写道。经济学家：美联储将持续加息股市大跌正在酝酿之中 Lombard Street Research首席美国经济学家Steven Blitz表示，仍然希望美联储能够引导美国经济实现软着陆并避免对全球市场造成伤害的投资者将会失望。 Blitz在一份报告中写道，银行的资产负债表显示出利率上升带来的压力，5%的长期美国国债收益率可能会导致退休储蓄离开股市。“他们将一如既往地加息直到某些东西崩溃，”他在谈到美联储时说。“现在利率终于到了某些东西可能崩溃的地步。” 雪佛龙关闭以色列天然气田欧洲天然气价格飙升欧洲天然气期货延续涨势，之前雪佛龙公司关闭了以色列一个天然气田的生产，可能会令东地中海地区的供应减少。欧洲基准天然气合约一度飙升14%，创下七周来最大涨幅。在哈马斯周末发动袭击后，以色列政府以安全担忧为由要求雪佛龙关闭Tamar海上天然气平台的生产。Leviathan天然气田的供应仍在继续。得益于过去二十年在地中海的勘探发现。以色列向邻近地区出口一些天然气。该国希望将更多天然气出口到正从数十年来最严重能源危机中恢复的欧洲。贝莱德副董事长：全球央行的政策利率料不会很快下降贝莱德副董事长Philipp Hildebrand表示，即使全球经济增长放缓，央行也不得不将利率保持在高位，对于已经习惯了决策者提供支持的市场来说，这是一个机制改变。 “我们将处于一个通胀更加顽固的环境中，将无法下调利率来应对经济疲软，”Hildebrand周一接受采访时表示。他表示，参加本周在Marrakech举行的国际货币基金组织（IMF）和世界银行年会的官员们应该关注新经济秩序的持久影响，在这种秩序下，央行回旋的余地较小。

金融界2023-10-10

中国概念股收盘：小鹏汽车跌超10%，蔚来汽车、理想汽车跌超4%

互联，36氪涨超4%，老虎证券，网易，知乎涨幅超3%，微博，360数科，云米科技，唯品会，团车涨超2%，陌陌，怪兽充电，兰亭集势，逸仙电商，云集，比特矿业，拼多多，信也科技涨幅超1%，1药网，有道，新东方，嘉楠科技，汽车之家微幅上涨。香颂国际跌超14%，物农网跌超13%，小鹏汽车跌超10%，中北能，万春医药，数海股份，乐居跌超9%，开心汽车，寺库跌超7%，蘑菇街，小赢科技，水滴公司，医美国际，百家云跌超6%，小牛电动，达达集团，叮咚买菜，讯鸟软件，凤凰新媒体，尚德机构，易电行等跌超5%。斗鱼，艾斯欧艾斯，华赢证券，房多多，理想汽车，蔚来，旭明光电，悦航阳光，极光等跌超4%，高途，宝尊电商跌超3%，搜狐，贝壳，哔哩哔哩跌超2%，途牛，万国数据，携程，阿里巴巴，趣店，满帮，京东，虎牙跌超1%，百度，品钛，爱奇艺，宜人金科，优信，中通，金山云，腾讯音乐，猎豹移动，欢聚集团小幅下跌。

金融界2023-10-10

知乎-W(02390.HK)10月6日斥资约15.99万美元回购7.86万股

知乎-W(02390.HK)发布公告，于2023年10月6日斥资约15.99万美元回购股份7.86万股，每股回购价格为1.96-2.04美元。

金融界2023-10-09

初探全同态加密：FHE的定义与历史回顾

作者：Steven Yue，原刊于作者知乎前一阵子在斯坦福学习了CS355（高阶密码学）的课程。给我们上课的是Dan的三个PhD学生Dima Kogan，Florian Tramer和Saba Eskandarian。三个PhD讲师各有特色，研究的方向也非常不同。Dima主攻隐私保护技术PIR（Private Information Retrieval），Florian主攻ML和区块链方面的研究，而Saba主攻零知识证明。 CS355这一门课几乎涵盖了从古至今密码学领域的所有内容。从最早的单向函数（One-way Function），到椭圆方程（ECC）和Pairing，最后到一些近几年比较热的MPC、零知识、私有信息检索（PIR）、全同态算法等等。由于前两天刚刚结课，趁着知识内容还在浅层记忆中没有忘掉，整理了一波笔记。课程内容非常有趣，其余的内容以后有时间跟大家慢慢分享～这一期，我们来讲一讲最近很火的全同态加密（FHE）与伴随而来的格加密（Lattice-based Encryption）技术。全同态加密是什么相信很多朋友已经多少听说过全同态加密（Fully Homomorphic Encryption/FHE）的大名了。近几年对于个人隐私保护的话题越来越多，包括同态加密在内的一系列密码学应用技术也得到了很广泛的普及。为了更好的了解这个话题，我想要再对全同态加密这个定义稍作介绍一下。加密体系回顾在开始之前，我们先温习一下最最传统的加密体系。我们都知道，如果要构建一个加密系统，往往都需要一个密钥（Key）。通过这个密钥，我们可以一头把明文的信息加密成密文，然后在另一头通过密钥再把密文变回原来的样子。如果没有这个Key的话，其他的人很难知道我们到底传递了什么信息。上文的图例基本展示了所有常见加密体系的全貌。所有的加密体系，如果用比较正式的描述方法，无疑是做了三件事：对加密算法有所了解的朋友，肯定会知道常见的一些加密算法，比如说AES，RSA等等。大家肯定也会知道一般来说加密体系分为两种：对称加密体系和非对称加密体系。我们这里描述的这三个步骤，其实通用于任何加密体系。如果是对称的，那么加密和解密用的密钥就是一样的。如果是非对称的体系的话，那么加密用的就是公钥（Public Key），然后解密用的是不一样的私钥（Private Key）。在密码学研究中，每当我们看到一个新的系统的定义之后，接下来往往都要陈述这个系统所应具有的属性（Properties）。语义安全的主要意义在于旁观者无法区分两条加密的消息。那么如果有入侵者窃听网络，看到了我发出的加密信息，只要我使用的加密体系是语义安全的，那么我就可以确信入侵者无法从密文中得到关于加密内容的任何信息。满足了上述两条属性之后，一个加密体系就变得健全啦。同态加密：偶然的特殊性质了解完加密体系是怎么一回事之后，我们可以来关注一下这个看似像随机生成的乱码一样的密文。我们都知道，光看密文本身，我们什么信息都不会得到。但是这是不是就代表，如果没有密钥只有密文，我们什么都不能做了呢？答案我们都知道：其实并不是。对于这种属性，我们称之为加法同态。意思就是说，加密过后的密文与以前的原文保持着一种微妙的代数关系。如果我们把密文累加起来，我们就可以获得把原文相加起来加密过后的新密文。同理可得，加法同态至于，还存在着乘法同态的加密算法。一个乘法同态的算法生成的密文，我们可以相乘起来，然后获得原文之间相乘之后的结果所对应的密文。整个过程中，我们不需要知道任何和密钥有关的信息，纯粹只是把看似像随机乱码的密文组合起来。举个例子：匿名投票系统下面，我们来举一个例子，生动的描述一下同态加密的实用性。我们都知道在线投票是怎样的——假如一个公司的老板想要发起一波投票，选择公司是否要采取996的制度。那么老板可以让IT设置一个服务器，让员工提交自己的选择：投0代表不想，投1代表想。最后投票阶段结束之后，老板就可以把所有的投票加在一起。如果最后所有票的总和超过了员工人数的一半，那么公司就会开始996。这个投票机制看起来很简单，但是有一个很大的隐私问题：假如老板心中就想让全员996，然而只是故意发起了这个投票来钓鱼执法，看看哪个员工不愿意加班，那么老板可以悄悄委托自己的小弟在网络上偷听，把每一个员工提交的选择都记录下来，最后看到底是谁投了0。这样一来，员工都十分害怕，不敢吐露自己的心声。如果我们可以使用加法同态的加密算法的话，那么这个问题就很好解决了。当然，这个系统还非常的不完整，比如IT部门可以直接帮助老板把每个人的投票解密开来，然后记录成一个文档。对于这个问题还有别的密码学工具可以帮我们来解决。由于篇幅原因就在这里不多说明啦。不过到这里，我们应该可以感受到同态加密算法的强大了。我们可以这样理解：通过同态加密算法，用户可以与一个不可信的远程服务器（云端）进行某种安全代理计算（Secure Delegated Computation）。用户可以通过同态加密的技术来把自己敏感的隐私输入加密后托付给云端，然后云端可以在加密过后的数据上进行一定程度的计算，最后得到加密过后的用户想要的结果，并且返还给用户。最后用户就可以用解密密钥来打开得到的结果了。整个协议中，被代理方（云端）始终都无法看到任何和私密输入有关的有用信息。同态加密体系的分类大致了解了两种最基础的同态性质之后，其他的概念就变得非常容易理解了。如果系统性的来看，同态加密体系大致上被分为四类：部分同态、近似同态、有限级数全同态与完全同态。下面，我们就来依次看一下每一个类别的具体定义。部分同态加密（Partially Homomorphic Encryption) 同态加密最初级的阶段被称为部分同态加密，定义就是密文只有一种同态特性。这一阶段就包括了我们上文所描述的加法同态与乘法同态两种模式。我们就得到了这两条消息相乘之后所对应的密文！这就是乘法同态性质了，我们可以接着这条密文继续往上叠加新的密文，这样一来我们就可以得到密文之间任意的相乘。近似同态加密（Somewhat Homomorphic Encryption）就如同我们在上一段所说，如果我们又想让私密输入相乘，又想得到它们之间的线性组合的话，单纯的部分同态加密算法（RSA，ElGamal）是无法完成的。所以我们就需要来到下一阶段。部分同态加密的下一阶段是近似同态加密，这一阶段距离我们想要实现的全同态更近了一步。如果我们有近似同态加密算法的话，那么我们就可以在密文上同时计算加法与乘法了。但是需要注意的是，正因为这一阶段是近似同态（Somewhat Homomorphic）的，所以可以做的加法和乘法次数非常有限，可以计算的函数 F 也在一个有限的范围内。近似同态加密这一阶段常见的例子并不多，如果说最好理解的例子的话，那就应该是基于配对（Pairing）的循环群加密算法了。上文我们简单的讨论过基于普通循环群的ElGamal加密算法。我们都知道这一算法是加法同态的，也就是说可以得到任意密文之间的线性组合。事实上，在某些特殊的循环群中，我们还可以找到一些薄弱的乘法同态性质。这一局限性证明了这个系统是近似同态的，因为我们不能计算任意逻辑和深度的函数F。有限级数全同态加密（Fully Leveled Homomorphic Encryption）来到下一个阶段之后，我们距离全同态的目标更进一步了。这一阶段被称之为有限级数全同态加密。在这一阶段的话，我们已经可以对密文进行任意的加法乘法组合了，没有任何对于次数的局限性。全同态加密（Fully Homomorphic Encryption，FHE）千呼万唤使出来，最后就到我们拭目以待的全同态加密（FHE）了。就像名字所说的一样，一个全同态加密的系统没有任何计算方法的限制，我们可以在没有密钥的情况下，把密文任意的组合起来，形成新的密文，并且新的密文，无论计算的复杂度，都可以完美的被还原成原文。当我们达到这一阶段的时候，之前提到的安全代理计算就变得可行了。如果可以找到一个效率比较高的全同态加密体系的话，我们可以安全的把所有本地的计算全部代理到云端，并且不会泄露任何一丁点数据！全同态加密体系的定义在开始下文对于全同态历史的讨论之前，我们可以系统性的定义一下全同态系统的正式定义。一个全同态加密系统，一共拥有四个算法：全同态加密的历史回顾在开始学习全同态加密算法到底是怎么实现的之前，我们不妨来看看全同态加密这个概念到底是怎么来的。 FHE（全同态）的概念其实在上世纪70年代末就已经被提出了。1978年，密码学界的几个大牛Rivest，Adleman和Dertouzos在他们的论文On Data Banks and Privacy Homomorphisms中第一次提到了对于密文进行一定的计算，可以间接地对原文进行操作的系统构想。到后来这一想法就被重新总结命名为全同态加密了。由此可见，全同态加密这一概念已经被提出了很久了。令人惊讶的是，1976年，也就是论文发表的两年前，Diffle-Hellman密钥交换协议才刚刚被提出！由此可见密码届大牛的想象力还是非常丰富的。当FHE的概念被提出来之后，整个学术界都为之所动，开始了长达几十年的搜索，试图找到一个拥有全同态性质的完美算法。但是这几十年下来，人们试遍了所有可以想到的选择，但是找不到一个又能满足全同态所有条件，并且安全性可以被轻易证实的选项。直到2009年，在斯坦福读书的PhD Craig Gentry突然灵光一现，攻破了FHE算法的难关。在他的博士毕业论文中，他第一次给出了一个合理并且安全的全同态加密系统！这一系统基于理想格（ideal lattice）的假设。Gentry09提出来的全同态系统，我们往往称之为第一代全同态加密系统。在Gentry的论文中，他还提到了一个至关重要的概念叫做Bootstrapping。Bootstrapping是一种对于密文的特殊处理技巧，处理过后竟然可以把一个噪音接近临界值的密文“重新刷新”成一个噪音很低的新密文。通过Bootstrapping，一个有限级数的系统的噪音可以永远不超过临界值，从而变成了全同态的系统。这样一来，我们就可以同态计算任意大小的F 了。在Gentry的重大突破之后，整个密码圈又一次陷入了疯狂，大家都开始争相基于Gentry提出的想法寻找更加高效率和全能的全同态体系。在2011年的时候，两位大佬Brakerski和Vaikuntanathan提出了一个新的全同态加密体系，这一体系基于格（lattice）加密的另一种假设Learning With Errors（LWE）。在同一年，Brakerski，Gentry与Vaikuntanathan这三人一起把这个体系做完了，并且正式发表出来。他们发明的全同态系统简称为BGV系统。BGV系统是一个有限级数的同态加密系统，但是可以通过Bootstrapping的方式来变成全同态系统。BGV系统相比起Gentry09提出的系统，使用了更加实际一点的LWE假设。一般来说我们都把BGV系统称之为第二代全同态加密系统。 2013年，Gentry又卷土重来了。Gentry，Sahai和Waters三个大佬推出了新的GSW全同态加密系统。GSW系统和BGV相似，本身具有有限级数全同态性质，基于更加简单的LWE假设，并且通过Bootstrapping可以达到全同态。我们一般把GSW系统称为第三代全同态加密系统。 2013年之后，密码圈基本上就百花齐放了。基于原来的三代全同态系统之上，出现了各种各样新的设计，致力于优化和加速BGV与GSW系统的运行效率。IBM基于BGV系统开发了一个开源的全同态运算库HElib，并且成功的移植到各大移动平台上。与此同时，还有另外一个开源项目TFHE也非常值得注意。TFHE是基于GSW系统，又加以了各种优化与加速，现在也非常的有名。在开发传统的全同态库之外，也有很多团队在研究如何通过GPU，FPGA，ASIC等异构硬件来更好的加速全同态加密算法的计算。比如cuFHE就是一个比较有名的基于CUDA的GPU加速全同态加密系统。站在今天的角度上，一路看来，全同态体系的大门被Gentry大神敲开已经过去了11年了。现在业界对于FHE的研究百花齐放，不少人都在不同的角度和应用需求上在研究全同态系统。直到今天，我们已经拥有了多种可行的FHE实现方法，但是现在大家还在不断追求的是FHE系统运转的效率。拿现在最前沿的FHE库来说，在移动平台上同态计算一些比较简单的逻辑可能要少则花上几十毫秒，多则花费几十秒的时间。这些时间单位对于计算机系统来说是极其缓慢的。如何可以让FHE系统更加高效率的在异构平台上运行，仍然是一个未解之谜。如果这道难题一旦被解决了，那么把所有的电脑运算都转为全同态，代理在第三方的云端上进行计算，都是伸手可得的未来。 FHE与MPC的关系在结束文章之前，我还想补充说明一下FHE与MPC之间的关系。MPC即Secure Multi-Party Computation，就是可信多方计算。通常代表的是有多方拥有自己的私密输入，不想泄露给别人，但是他们想使用自己的输入一起计算一个函数 F 并分享计算的结果。 MPC其实已经是一个非常广为人知，并且被研究了很久的一个领域了。自从上个世纪密码学家姚期智推出了他的Garbled Circuits之后，MPC领域获得了非常广的认可，并且也有很多突破。现在我们已经拥有很多可以使用的MPC库，并且也具有一定的运行效率了。如果了解MPC的朋友，看到全同态加密系统的艰辛历史之后，也许会有很多疑问：为什么不可以直接通过一个MPC协议来代替全同态加密呢？的确，一个MPC协议可以完全代替一个FHE协议。我们只需要把用户和私密输入作为一个协议中的一个Party，再把远程的代理计算服务器作为另一个Party，就满足了MPC协议执行的条件，只需要通过一定的交互，就可以实现代理计算，并且服务器也看不到私密输入。但是有很重要的一点我们忽略了：由于MPC是有交互性的，所以需要用户和服务器共同进行计算与交流才可以完成协议。这也就和FHE代理计算最根本的需求冲突了。如果用户需要一直保持在线完成协议，并且也要付出一部分算力的话，那其实计算根本就没有被“代理”出去，双方只是为了信息的安全性而在做更多的计算。这也说明了为什么MPC领域已经得到重大突破了，但是FHE的领域仍然是一片未知，因为他们两个系统解决的是完全不同的问题。下一站：GSW全同态加密系统看到这里，想必大家已经对于全同态加密系统有了非常透彻的理解。下一站，我们可以一起来学习一下前文提到的GSW全同态加密系统。虽然说这是全同态系统的第三代，但是我认为Gentry09，BGV，GSW这三套系统中用到假设最少，构造最简单，并且最容易理解的就是GSW了。并且现在也有很多开源库（如TFHE）就是基于GSW系统构建的。由于篇幅原因，我们就在这里结束这一篇文章吧。下一篇文章，我们可以首先学习一下GSW系统的基础：基于格（lattice）的加密体系与LWE问题。一旦了解了LWE问题之后，GSW解决的问题就变得非常清晰了。来源：金色财经

金色财经2023-10-08

目标究竟瞄准谁？中国多地大型国企组建“人民武装部”、由解放军直接管理舆论高度关注

。或者各种拘留，”@zyqq在问答网站知乎上写道，1000多名用户点击了“同意”。但@ZhihuUser不同意，该用户说武装部队部门负责民兵训练，防御演习，防空洞，物资仓储，武器和弹药，以及紧急情况下的大规模疏散协调。该用户写道：“这不是在准备如何处理债权人，而是在为台湾当局、日本和美国的非理性行为做准备，并组织应对大城市空袭等紧急情况。”500多名用户点击了“同意”。用户@Protect_the_best_pure_pure_pure打趣道：“也许士兵们现在必须完成所有未完成的建筑。” 江苏时事评论员张建平表示，此举可能与对潜在社会动荡的担忧有关。张建平表示：“城市投资集团……欠下巨额债务，他们必须想要保持稳定。(武装部队部门)也可以帮助解决退伍军人的失业问题。” 时事评论员毕鑫本对此表示赞同。他说：“他们正在扩大控制人民和政府之间对抗的能力。上海城投的业务主要是城市建设，地产投资，交通网络，桥梁隧道、地铁、城铁等，人民武装部就是维稳的新手段。” 时事评论员马聚说，企业民兵的组织根源在于国有企业中一直存在的私人保安行动，他们通常携带武器。马聚表示：“这件事，我把习近平上任之后提倡的枫桥经验以及这两天，习近平在杭州亚运会召开前，前往浙江再提枫桥经验结合，也就是说要再打一场人民战争。” 马聚补充道：“这些武装部队部门与任何来自海外的威胁或国防动员无关。人武部是用武装去斗内部‘不忠诚’的人。”

tqttier2023-10-05

24小时热点