关于算法:Paillier半同态加密原理高效实现方法和应用

80次阅读

共计 12766 个字符,预计需要花费 32 分钟才能阅读完成。

简介:《数据安全法》已于 9 月 1 日起正式施行,两个月后《个人信息保护法》也将开始实施,意味着数据安全和隐衷爱护方面的监管将会在年内陆续到位。在合规收紧大背景下,“数据孤岛”景象日渐显著。如何实现平安的数据流通,爱护数据隐衷并施展数据的价值,反对多方的联结计算,是各大数据平台亟需解决的问题。

作者 | 峰青,DT 可信计算
起源 | 阿里技术公众号

一 简介

1 背景

《数据安全法》已于 9 月 1 日起正式施行,两个月后《个人信息保护法》也将开始实施,意味着数据安全和隐衷爱护方面的监管将会在年内陆续到位。在合规收紧大背景下,“数据孤岛”景象日渐显著。如何实现平安的数据流通,爱护数据隐衷并施展数据的价值,反对多方的联结计算,是各大数据平台亟需解决的问题。而隐衷计算技术旨在实现“数据可用不可见”的指标,具备广大的利用前景。在联合国隐衷加强计算技术手册 [35] 中,列出了同态加密(Homomorphic Encryption, HE)、平安多方计算(Secure Multiparty Computation, MPC)等 5 种隐衷计算技术,其中 HE 提供了对加密数据进行解决的能力,完满合乎隐衷计算的计算模式,是以后学术研究的热点,受到了宽泛的关注。

2 何为同态加密(HE)?

HE 是一种非凡的加密办法,它容许间接对加密数据执行计算,如加法和乘法,而计算过程不会泄露原文的任何信息。计算的后果依然是加密的,领有密钥的用户对解决过的密文数据进行解密后,失去的正好是解决后原文的后果。

依据反对的计算类型和反对水平,同态加密能够分为以下三种类型:

  • 半同态加密(Partially Homomorphic Encryption, PHE):只反对加法或乘法中的一种运算。其中,只反对加法运算的又叫加法同态加密(Additive Homomorphic Encryption, AHE);
  • 局部同态加密(Somewhat Homomorphic Encryption, SWHE):可同时反对加法和乘法运算,但反对的计算次数无限;
  • 全同态加密(Fully Homomorphic Encryption, FHE):反对任意次的加法和乘法运算。

在同态加密概念被 Rivest 在 1978 年首次提出 [15] 后,学术界呈现了多个反对 PHE 的计划,如 RSA、GM[13]、Elgamal[14]、Paillier[1]。尔后,SWHE 计划也相继问世,如 BGN[16]。对于 FHE 如何实现,学术界在很长的工夫都没有答案。直到 2009 年,Gentry[28]应用现实格结构了第一个 FHE 计划,轰动了整个学术界,并引发了学者们对于 FHE 计划结构的钻研热潮。尔后相继涌现出多个优良的 FHE 计划,包含 BFV[36]、BGV[37]、CKKS[38]等,以及多个优良的开源算法库如 SEAL[39]、HELib[40]等。

3 为何须要半同态加密(PHE)?

通用平安计算方法有所有余

隐衷计算的利用场景十分宽泛,除满足多方的通用计算(算数或布尔计算)性能外,还有如隐衷汇合求交 (Private Set Intersection, PSI)[17]、隐衷爱护机器学习[4]、加密数据库查问[9]、门限签名[3] 等等更加细分的利用。然而,在几种次要的通用计算技术路线中,每种办法各有各的效率 / 安全性缺点。FHE 在计算无限次乘法后须要较简单的去除噪声的操作,经典的通用 MPC 协定通信开销较大,而 TEE 的安全性高度依赖于硬件厂商,无奈提供密码学上谨严的安全性。在简单的计算场景中,独自应用某种通用办法通常得不到一个可用的落地计划,这也激发了学者们钻研对于特定场景的特定解法。一个可行的计划通常是依据具体场景来进行定制化的设计,通过组合、优化不同的技术组件来失去平安、高效的计划,精准满足该场景需要。

PHE 退场:辅助多种隐衷计算场景


图 1.1. PHE 的利用场景

因为通用平安计算方法的一些有余,以及在一些特定场景只须要应用一种 HE 运算(如加法)即可实现性能,PHE 在隐衷计算畛域失去了大量应用,在多个开源库(如 FATE[31])和大量学术顶会(如 S &P、NDSS 等 41811)的计划中都有它的身影。PHE 的高效、反对有限次加法或乘法的特点,使其成为隐衷计算的重要根本组件,可辅助实现多种隐衷计算性能:

1)隐衷爱护数据聚合

因为加法 PHE 能够在密文上间接执行加和操作,不泄露明文,在到多方合作的统计场景中,可实现平安的统计求和的性能。

在联邦学习中,不同参与方训练出的模型参数可由一个第三方进行对立聚合。应用加法 PHE,能够在明文数据不出域、且不泄露参数的状况下,实现对模型参数的更新,此办法已利用在理论利用(如 FATE[31])和多个顶会工作中(如 SIGMOD[4]、KDD[7]、ATC[18]);

在在线广告投放的场景中,广告主(如商家)在广告平台(如媒体)投放在线广告,并心愿计算广告点击的转化收益。然而,广告点击数据集和购买数据集扩散在广告主和广告平台两方。应用 PHE 加密联合隐衷汇合求和(Private Intersection-Sum-with-Cardinality, PIS-C)协定 [19] 能够在爱护单方隐衷数据的前提下,计算出广告的转化率。该计划已被 Google 落地利用 [20];
在加密数据库 SQL 查问场景,在数据库不可信的状况下,能够通过部署协定和代理来爱护请求者的查问隐衷。其中,PHE 能够用来实现平安数据求和和均值的查问[9]。

2)乘法三元组生成

通用平安计算依据计算电路的不同可分为算数计算和布尔计算,对于算数计算来说,其中的难点是如何做乘法。而应用预生成的乘法三元组来辅助乘法运算的办法能够大大降低乘法的在线开销,是目前最为风行的办法。PHE 是用于计算乘法三元组的重要工具 2,已在多个顶会计划(如 NDSS[11]、S&P[21])和理论产品(如 Sharemind[2])中失去利用,对于减速平安计算具备重要意义。

3)结构特定的隐衷爱护协定

在机器学习预测分类场景中,若领有模型的一方不可信(如内部厂商),在数据方输出样本进行预测分类时,可能须要爱护样本数据的隐衷。PHE 作为 building block 能够结构出隐衷爱护比拟协定和 argmax 协定,并能够此进一步结构出隐衷爱护奢侈贝叶斯分类器和超平面决策分类器[24]。此外,用 PHE 还可结构出不经意抉择(Oblivious Selection)协定,来反对隐衷爱护决策树分类器[25]。

4)门限签名

传统签名形式要求签名时从存储介质(如磁盘)中拉取残缺私钥到内存,存在泄露危险(如被木马、病毒窃取,侧信道攻打等)。应用门限签名能够无效躲避此类危险,让多方合作实现签名过程,并确保私钥没有在任何一方被复原。特定的 PHE 算法能够用于实现门限签名[3],相干计划已在团体密钥管理系统落地[22]。

5)同态机密分享

同态机密分享是一种前沿的平安计算技术,能够用来大幅升高平安计算的交互通信量。具备特定代数构造的 PHE 计划通过非凡设计,能够用来实现同态机密分享[10],具备广大的利用前景。

6)隐衷汇合求交

应用 PHE 联合多项式的办法可结构出 PSI 协定[17]。

4 Paillier:最驰名的半同态加密计划

Paillier 是一个反对加法同态的公钥明码零碎 [1],由 Paillier 在 1999 年的欧密会(EUROCRYPT)上首次提出。尔后,在 PKC’01 中提出了 Paillier 计划的简化版本 26,是以后 Paillier 计划的最优计划。在泛滥 PHE 计划中,Paillier 计划因为效率较高、安全性证实齐备的特点,在各大顶会和理论利用中被宽泛应用,是隐衷计算场景中最罕用的 PHE 实例化计划之一。

其余的反对加法同态的明码零碎还有 DGK [5]、OU [6]和基于格明码的计划 [12] 等。其中,DGK 计划的密文空间相比 Paillier 更小,加解密效率更高,但因为算法的正确性和安全性在学术界没有失去宽泛钻研和验证,且咱们的试验表明算法的加解密局部存在缺点,不举荐在工业界代码中应用。OU 和基于格的加法同态计算效率更高,也是 PHE 不错的候选项。其中 OU 的在计划中的应用频率绝对较低,而基于格的计划密文大小较大,在一些特定场景有本身的劣势。

数据技术及产品部 - 数据安全生产平台团队对 Paillier 加密计划的原理和高效实现办法发展了钻研,利用多种优化办法实现了目前最优的 Paillier 加解密效率,可助力基于 Paillier 加密的下层协定在团体实在业务场景中落地。

二 Paillier 计划原理

1 加法同态加密定义

在形容具体计划之前,咱们先定义加法 PHE。首先列举计划具备的所有算法。

  • KeyGen():密钥生成算法。用于产生加密数据的公钥 PK(Public Key)和私钥 SK(Secret Key),以及一些公开常数 PP(Public Parameter);
  • Encrypt():加密算法。应用 PK 对用户数据 Data 进行加密,失去密文 CT(Ciphertext);
  • Decrypt():解密算法。用于解密失去数据原文 PT(Plaintext)。

HE 除了加解密以外,还具备在密文上进行解决的能力,所以还应领有“解决”算法。对于加法 PHE,反对的算法有同态加以及同态标量乘(标量乘法可看作屡次加法)。

Add():同态加算法。输出两个 CT 进行同态加运算。

ScalaMul():同态标量乘算法。输出一个 CT 和一个标量 PT,计算 CT 的标量乘后果。

2 Paillier 计划形容

原版 Paillier 计划于论文 [1] 中提出,上面对计划进行形容:

密钥生成

加密

解密

同态加

同态标量乘

3 正确性和安全性

加解密正确性

同态加正确性

同态标量乘正确性

安全性

Paillier 计划满足加密计划的规范平安定义:语义平安,即在抉择明文攻打下的密文的不可辨别性(IND-CPA)。直观地说,就是密文不会泄露明文中的任意信息。计划安全性能够归约到断定性合数残余假如(Decisional Composite Residuosity Assumption, DCRA),即给定一个合数 n 和整数 z,断定 z 是否在 n^2 下是否是 n 次残余是艰难的。这个假如通过了几十年的充沛钻研,到目前为止还没有多项式工夫的算法能够攻破,所以 Paillier 加密计划的安全性被认为相当牢靠。

具体的安全性证实能够参见论文,这里不再赘述 1。

三 高效实现

1 优化参数抉择

依据论文 [23]中的形容,在不影响算法正确性的前提下,为了简化运算,算法在密钥生成阶段能够取 g =n+1。尔后,加密过程中的计算 g^m 的局部可进行如下简化:

对于 g^m=(n+1)^m,依据二项定理[43],因为:

前 m - 1 项均是 n^2 的倍数,在模 n^2 下消去,故这里模指数运算简化为了 1 次模乘,减速了加密过程:

2 应用 Paillier-DJN 优化计划


图 3.1 优化 1 和优化 2

3 应用中国残余定理(CRT)减速模指数

定理介绍

应用 CRT 计算模指数过程举例

CRT 利用到 Paillier 加解密过程


图 3.2 应用 CRT 进行优化

若应用 CRT 进行计算减速,计算方必须要晓得模数 n^2 的合成 (p^2、q^2)。而(p^2、q^2) 为私钥的局部,故咱们能够间接将 CRT 利用到解密过程。而对于加密过程来说,咱们依据加密者是否领有私钥,将加密算法设计为两类,别离为公钥加密算法 Enc1(pk,m)和私钥加密算法 Enc2(pk,sk,m)。若加密音讯的一方只领有公钥,则调用规范的公钥加密算法 Enc1(pk,m)进行加密;若加密的一方同时领有公钥和私钥,则能够调用私钥加密算法 Enc2(pk,sk,m),输出私钥的 (p^2、q^2) 来应用 CRT 减速加密过程。

咱们对应用 CRT 后的优化成果进行测试。因为 DJN 计划严格优于 Paillier 原版计划,咱们只将 CRT 利用到 DJN。经测试,应用 CRT 后,DJN 的私钥加密和解密性能晋升约 90%,具体数据见表 4.2。

4 预计算

对于 fixed-base 状况,进行指数预计算来减速模乘

在 Java 上,若应用上述按单个 bit 开展的办法,|n|/ 2 次(|n|=3072)耗时比 1 次模指数要长,没有达到优化计算的成果。

在存储空间无限时,能够采纳更轻量级的预计算办法来减小存储开销 41,在 c /c++ 下预计能够达到肯定减速成果。

这里的模乘咱们应用 Java 中的 Biginteger.multiply(),模指数应用 Biginteger.modpow()。

图 3.3 预计算

在加解密时会反复用到的变量,都在密钥生成过程提前计算并保留,以防止加解密时的反复运算。

5 应用 JNI 技术

Java 执行简单计算的效率通常不迭 C /C++。以密码学计算中常见的模指数为例,在设置模数 n、底数 b 和指数 e 均为 2048bits 的状况下,在 Java 中执行 1000 次 Biginteger.modPow()须要耗时 3000ms,而在 C ++ 下应用 GMP 库的 mpz_powm()跑只需 1800ms,相比 Java,性能晋升了约 60%。咱们心愿能够把 Paillier 中耗时的加解密计算通过调用 C ++ 执行来提速。

Java 本地接口(Java Native Interface, JNI)是 Java 语言的本地编程接口,它提供了若干的 API,使得 Java 能够与其余语言(如 C /C++)程序进行相互调用,来实现 Java 不便实现的性能或难以达到的效率。

有了 JNI 这座桥梁,咱们就能够将简单耗时的计算模块用效率更高的 C /C++ 实现,通过 JNI 来实现 Java 对算法的高效调用。咱们对原版 Paillier 计划和优化后的 Djn 算法都开发了 JNI 调用的版本,用 C ++ 编写外围算法,并通过 Java 包装类应用 JNI 对 C ++ 库进行调用。利用 JNI 后,加解密过程的效率取得了显著晋升,具体数据见表 4.2。

应用 JNI 调用 C ++ 库晋升效率的代价是会丢失程序的可移植性(C/C++ 是非跨平台语言),故是否应用 JNI 要依据场景灵便抉择。

图 3.4 JNI

6 打包

为了确保安全强度,Paillier 计划中的明文空间大小为固定的 n(如 3072bits),而待加密的明文可能属于较小的空间(如 16bits)。在这种状况下,如果依照失常的加密形式,将 1 个明文加密为 1 个密文,则明文空间会存在很高的冗余(等同于先在 16bits 明文的高位填充 0,编码到 3072bits,再进行加密),在加密工夫和空间上效率都很低。

为了防止冗余,在明文较短且定长的状况下,咱们充分利用明文空间,将多个明文打包为 1 个进行加解密 2。具体过程如下:

相比原来的 1 次只加密 1 个明文,应用打包优化后,密文大小和加解密中的模指数工夫耗费升高为原来的 1 /k。该优化的成果取决于明文长度,本文中暂不作试验测试。


图 3.5 打包

四 测试后果

1 测试条件


表 4.1. 测试条件

2 性能

表 4.2:Paillier 密钥生成、加密、解密性能在不同优化下的体现


图 4.1 Paillier 半同态加密优化成果

从表 4.2 和图 4.1 中能够看到,DJN 优化计划加解密的效率相比原版计划晋升了大概 100%。当应用 CRT 优化后,私钥加密和解密的效率持续晋升约 90%。当 CRT 和 Fixed-base 预计算同时应用时,随着窗口大小 w 的增大,公钥加密的效率进一步晋升;应用 JNI 调用 C 同样能够大大降低计算开销,相比纯 Java 晋升幅度达 60% 以上,晋升幅度在联合应用 Fixed-base 优化时尤为显著。特地地,当同时应用 DJN+CRT+Fixed-base(w=8)+JNI 优化时,公 / 私钥加密的工夫耗费从原版计划的 37ms,别离降落到约 2ms/1ms,实现了质的飞跃。随着不同优化的使用,密钥生成(预计算)的工夫会随着变长,但该局部为一次性耗费,相比大量数据的加解密工夫能够忽略不计。

3 预计算 List 大小

应用 Fixed-base 预计算优化须要提前生成预计算 list,list 占用的空间大小与窗口大小 w 的大小见表 4.3。

表 4.3:Paillier 预计算 List 的大小与窗口大小 w 的关系

五 与现有开源库的比照


表 5.1. 本工作与一些现有开源库的比照

六 PHE 的利用:一个理论的例子

1 业务场景

在商业广告的在线投放场景中,广告主(如商家)在广告平台(如媒体平台)上投放广告曝光产品,而用户点击广告后可能会产生购买行为,实现广告转化变现。为了评估广告在该平台投放的理论收益,须要统计在点击了广告的用户中,共产生了多少生产金额。然而,“点击广告”的用户数据集在广告平台侧,而“产生购买”的用户数据集在广告主侧。因为法律合规和商业秘密因素的影响,单方可能不违心分享原文数据进行单干。

2 隐衷诉求

不能泄露单方交加的个体用户信息,否则不满足法律规定的“最小够用”准则,故“先进行 PSI 再求和”的办法不可取。

不能泄露交易金额给广告平台方。

3 解法:Private Intersection-Sum-with-Cardinality(PIS-C)

PIS- C 协定 [19] 于在 EuroS&P’20 会议上被提出,其核心思想是通过 ”Tag, Shuffle and Aggregate” 过程,将 PSI 协定和 PHE 转化为 PIS- C 协定,使得广告主最终失去交加 value 的聚合后果,确保没有额定数据泄露(具体过程参见原论文)。


图 6.1. 基于 DDH 的 PIS- C 协定流程

PHE 在该协定中扮演着核心作用。协定中的“隐衷爱护求和”性能依赖于广告主将本人的交易数据用 PHE 加密发送给广告平台,使得广告平台在看不到原始数据的前提下,实现对交集中数据金额的聚合。该计划已被 Google 落地[20]。除了广告场景外,还能够用于多种“行为数据和效益数据拆散”的商业场景,在利用上有着很大的设想空间。

七 对于咱们

数据技术及产品部 - 数据安全生产平台致力于前沿隐衷计算技术的钻研与落地,与阿里云独特研发的 DataTrust 隐衷计算产品是信通院大数据产品能力测评中惟一同时取得“多方平安计算”、“可信执行环境”、“联邦学习”等 4 项测评通过的产品,已服务于经济体内外多个理论业务。如有隐衷计算相干的技术单干志愿 / 业务需要 / 转岗志愿,欢送垂询。

参考文献

[1] Paillier P. Public-key cryptosystems based on composite degree residuosity classes[C]//International conference on the theory and applications of cryptographic techniques. Springer, Berlin, Heidelberg, 1999: 223-238.
[2] Pullonen P, Bogdanov D, Schneider T. The design and implementation of a two-party protocol suite for Sharemind 3[J]. CYBERNETICA Institute of Information Security, Tech. Rep, 2012, 4: 17.
[3] Lindell Y. Fast secure two-party ECDSA signing[C]//Annual International Cryptology Conference. Springer, Cham, 2017: 613-644.
[4] Fu F, Shao Y, Yu L, et al. VF2Boost: Very Fast Vertical Federated Gradient Boosting for Cross-Enterprise Learning[C]//Proceedings of the 2021 International Conference on Management of Data. 2021: 563-576.
[5] Damgård I, Geisler M, Krøigaard M. Efficient and secure comparison for on-line auctions[C]//Australasian conference on information security and privacy. Springer, Berlin, Heidelberg, 2007: 416-430.
[6] Okamoto T, Uchiyama S. A new public-key cryptosystem as secure as factoring[C]//International conference on the theory and applications of cryptographic techniques. Springer, Berlin, Heidelberg, 1998: 308-318.
[7] Chen C, Zhou J, Wang L, et al. When homomorphic encryption marries secret sharing: Secure large-scale sparse logistic regression and applications in risk control[J]. arXiv preprint arXiv:2008.08753, 2020.
[8] Damgård I, Jurik M, Nielsen J B. A generalization of Paillier’s public-key system with applications to electronic voting[J]. International Journal of Information Security, 2010, 9(6): 371-385.
[9] Popa R A, Redfield C M S, Zeldovich N, et al. CryptDB: Protecting confidentiality with encrypted query processing[C]//Proceedings of the Twenty-Third ACM Symposium on Operating Systems Principles. 2011: 85-100.
[10] Orlandi C, Scholl P, Yakoubov S. The Rise of Paillier: Homomorphic Secret Sharing and Public-Key Silent OT[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. Springer, Cham, 2021: 678-708.
[11] Demmler D, Schneider T, Zohner M. ABY-A framework for efficient mixed-protocol secure two-party computation[C]//NDSS. 2015.
[12] Rathee D, Schneider T, Shukla K K. Improved multiplication triple generation over rings via RLWE-based AHE[C]//International Conference on Cryptology and Network Security. Springer, Cham, 2019: 347-359.
[13] Shafi G, Silvio M. Probabilistic encryption & how to play mental poker keeping secret all partial information[C]//Proceedings of the 14th Annual ACM Symposium on Theory of Computing. 1982: 365-77.
[14] ElGamal T. A public key cryptosystem and a signature scheme based on discrete logarithms[J]. IEEE transactions on information theory, 1985, 31(4): 469-472.
[15] Rivest R L, Adleman L, Dertouzos M L. On data banks and privacy homomorphisms[J]. Foundations of secure computation, 1978, 4(11): 169-180.
[16] Boneh D, Goh E J, Nissim K. Evaluating 2-DNF formulas on ciphertexts[C]//Theory of cryptography conference. Springer, Berlin, Heidelberg, 2005: 325-341.
[17] Freedman M J, Nissim K, Pinkas B. Efficient private matching and set intersection[C]//International conference on the theory and applications of cryptographic techniques. Springer, Berlin, Heidelberg, 2004: 1-19.
[18] Zhang C, Li S, Xia J, et al. Batchcrypt: Efficient homomorphic encryption for cross-silo federated learning[C]//2020 {USENIX} Annual Technical Conference ({USENIX}{ATC} 20). 2020: 493-506.
[19] Ion M, Kreuter B, Nergiz A E, et al. On deploying secure computing: Private intersection-sum-with-cardinality[C]//2020 IEEE European Symposium on Security and Privacy (EuroS&P). IEEE, 2020: 370-389.
[20] https://security.googleblog.c…
[21] Mohassel P, Zhang Y. Secureml: A system for scalable privacy-preserving machine learning[C]//2017 IEEE symposium on security and privacy (SP). IEEE, 2017: 19-38.
[22] https://zhuanlan.zhihu.com/p/…
[23] Catalano D, Gennaro R, Howgrave-Graham N, et al. Paillier’s cryptosystem revisited[C]//Proceedings of the 8th ACM Conference on Computer and Communications Security. 2001: 206-214.
[24] Bost R, Popa R A, Tu S, et al. Machine learning classification over encrypted data[C]//NDSS. 2015, 4324: 4325.
[25] Kiss Á, Naderpour M, Liu J, et al. SoK: Modular and efficient private decision tree evaluation[J]. Proceedings on Privacy Enhancing Technologies, 2019.
[26] Damgård I, Jurik M. A generalisation, a simplification and some applications of Paillier’s probabilistic public-key system[C]//International workshop on public key cryptography. Springer, Berlin, Heidelberg, 2001: 119-136.
[27] Acar A, Aksu H, Uluagac A S, et al. A survey on homomorphic encryption schemes: Theory and implementation[J]. ACM Computing Surveys (CSUR), 2018, 51(4): 1-35.
[28] Gentry C. A fully homomorphic encryption scheme[M]. Stanford university, 2009.
[29] https://www.keylength.com/en/4/
[30] https://github.com/FISCO-BCOS…
[31] https://github.com/FederatedA…
[32] https://github.com/data61/pyt…
[33] http://hms.isi.jhu.edu/acsc/l…
[34] https://github.com/encryptogr…
[35] Big Data UN Global Working Group. Un handbook on privacy-preserving computation techniques[J]. 2019.
[36] Fan J, Vercauteren F. Somewhat practical fully homomorphic encryption[J]. IACR Cryptol. ePrint Arch., 2012, 2012: 144.
[37] Brakerski Z, Gentry C, Vaikuntanathan V. (Leveled) fully homomorphic encryption without bootstrapping[J]. ACM Transactions on Computation Theory (TOCT), 2014, 6(3): 1-36.
[38] Cheon J H, Kim A, Kim M, et al. Homomorphic encryption for arithmetic of approximate numbers[C]//International Conference on the Theory and Application of Cryptology and Information Security. Springer, Cham, 2017: 409-437.
[39] https://github.com/microsoft/…
[40] https://github.com/homenc/HElib
[41] Brickell E F, Gordon D M, McCurley K S, et al. Fast exponentiation with precomputation[C]//Workshop on the Theory and Application of of Cryptographic Techniques. Springer, Berlin, Heidelberg, 1992: 200-207.
[42] Lim C H, Lee P J. More flexible exponentiation with precomputation[C]//Annual International Cryptology Conference. Springer, Berlin, Heidelberg, 1994: 95-107.
[43] https://en.wikipedia.org/wiki…
[44] https://en.wikipedia.org/wiki…
[45] https://en.wikipedia.org/wiki…
[46] https://en.wikipedia.org/wiki…

原文链接
本文为阿里云原创内容,未经容许不得转载。

正文完
 0