Lattigo项目安全更新：CKKS自举算法中的密钥层级修复

项目背景

Lattigo是一个开源的Go语言实现的同态加密库，专注于格密码学方案。它实现了多种先进的同态加密算法，包括CKKS方案，该方案支持对复数进行近似计算，广泛应用于隐私保护的机器学习等领域。CKKS自举（Bootstrapping）是该方案中的关键技术，允许在有限计算深度下进行无限次计算。

安全问题分析

在最新发布的Lattigo v6.1.1版本中，修复了一个涉及CKKS自举算法中密钥层级的安全问题。该问题存在于DenseToSparse评估密钥（EvkDenseToSparse）的生成过程中。

在CKKS自举算法的默认实现中，使用了两种密钥：

1. 常规密钥：用于电路中的主要计算
2. 稀疏密钥：专门用于自举过程中的模提升（ModRaise）步骤

问题核心在于，EvkDenseToSparse评估密钥本应在最低层级（模pq）生成，以确保稀疏密钥提供的128位安全性。然而，在v5.0.0至v6.1.0版本中，该密钥被错误地在更高层级（模PQ，其中PQ ≫ pq）生成。

安全影响评估

虽然这个问题不会导致实际攻击，但它确实降低了系统的理论安全保证：

• 安全强度从设计的128位降至约106位
• 对于大多数实际应用场景，106位的安全性仍然足够
• 但不符合密码学领域对关键系统128位安全性的标准要求

值得注意的是，这个问题仅影响使用CKKS自举功能的用户。如果仅使用基本的CKKS加密操作而不涉及自举，则不受此问题影响。

技术原理深入

在CKKS自举过程中，EvkDenseToSparse评估密钥的作用是将密文从常规密钥切换到稀疏密钥。稀疏密钥的特殊结构使其在模pq时能提供128位安全性，但在更高模数下，其安全保证会降低。

这种安全性降低源于RLWE（带误差的环学习）问题的数学特性。当模数增大时，解决相关的格问题会变得相对容易，从而降低了攻击难度。在密码学设计中，确保所有组件在最坏情况下都能满足安全要求是至关重要的。

修复方案

v6.1.1版本中的修复措施是确保EvkDenseToSparse评估密钥在正确的层级（模pq）生成。这一修改恢复了系统完整的128位安全性保证。

对于技术实现细节：

• 修复涉及密钥生成算法的调整
• 确保所有自举相关操作都使用适当层级的密钥材料
• 保持与之前版本相同的功能接口，确保兼容性

用户行动建议

所有使用Lattigo库并启用CKKS自举功能的用户应立即升级至v6.1.1版本。升级步骤通常包括：

1. 更新go.mod文件中的依赖版本
2. 重新构建应用程序
3. 重新生成所有持久化的自举密钥材料（如果适用）

对于不使用自举功能的用户，虽然不受此问题影响，但仍建议计划性升级以获得其他可能的改进和修复。

总结

Lattigo团队对安全问题的快速响应体现了对密码学系统严谨性的重视。这次更新虽然针对的是一个理论风险大于实际威胁的问题，但遵循了密码学最佳实践——任何偏离设计安全目标的情况都应被及时纠正。这也提醒开发者，在实现复杂密码学方案时，需要对每个组件的安全假设保持高度警觉。