表征CKKS方案客户端操作中对单比特翻转的敏感性
摘要
同态加密(HE)能够在不解密的情况下对加密数据进行计算,使其成为不可信环境中隐私保护计算的基石。随着HE在安全机器学习和机密数据分析等敏感应用中的日益普及,确保其抗错误鲁棒性变得至关重要。故障(例如,传输错误、硬件故障或同步失败)可能损坏加密数据并危及HE操作的完整性。然而,软错误(如比特翻转)对现代HE方案的影响仍未得到探索。具体而言,CKKS方案——最广泛使用的近似算术HE方案之一——缺乏对此类错误在其流水线中传播方式的系统研究,特别是在余数系统(RNS)和数论变换(NTT)等优化下。本文通过提出CKKS在单比特翻转错误下的容错性的理论和实证分析来弥合这一差距。我们专注于客户端操作(编码、加密、解密和解码),并证明虽然原始CKKS方案表现出一定的弹性,但性能优化(RNS/NTT)引入了显著的脆弱性,放大了错误敏感性。通过表征这些故障模式,我们为容错HE设计奠定了基础,确保隐私关键应用中的性能和完整性。
引言
同态加密(Homomorphic Encryption, HE)允许在加密数据上直接进行计算,而无需解密,这为云计算和分布式系统中的隐私保护提供了强大工具。CKKS方案因其支持近似算术而成为最流行的HE方案之一,广泛应用于机器学习和数据分析。然而,在实际部署中,硬件故障、传输错误等可能导致比特翻转,进而影响加密数据的完整性和计算结果的正确性。尽管已有研究关注HE的安全性和效率,但针对软错误(如单比特翻转)对CKKS方案影响的研究尚属空白。
方法
本研究采用理论和实证相结合的方法,系统分析了CKKS方案客户端操作(包括编码、加密、解密和解码)对单比特翻转错误的敏感性。具体而言,我们:
- 理论分析:建模单比特翻转在CKKS操作中的传播路径,重点考察了余数系统(RNS)和数论变换(NTT)等优化技术对错误敏感性的影响。
- 实验验证:通过模拟单比特翻转错误,评估了错误在不同操作阶段的传播效果和最终输出偏差。
结果
研究发现:
- 原始CKKS方案的容错性:在未优化的情况下,CKKS对单比特翻转表现出一定的 resilience,错误传播有限。
- 性能优化的负面影响:使用RNS和NTT等优化技术显著增加了错误敏感性,单比特翻转可能导致大规模输出错误。
- 故障模式特征:错误在编码和加密阶段最为敏感,而在解密和解码阶段错误传播较为可控。
讨论
本研究首次揭示了CKKS方案在性能优化下的错误脆弱性,强调了在隐私关键应用中平衡性能与完整性的重要性。结果表表明,未来的HE设计需集成容错机制,例如错误检测与纠正代码,以应对硬件和传输中的软错误。此外,研究为HE在现实环境中的可靠部署提供了重要见解。
结论
通过系统分析CKKS方案对单比特翻转的敏感性,本研究表明性能优化(如RNS/NTT)会引入显著的错误脆弱性。这为开发容错同态加密方案奠定了基础,确保在隐私敏感应用中同时实现高性能和数据完整性。未来工作将探索集成容错技术的HE设计,以提升其在错误-prone环境中的鲁棒性。