综述：同态加密在安全医疗数据处理中的综合调查：攻击与防御

时间：2025年4月6日

来源：Discover Public Health

编辑推荐：

这篇综述聚焦同态加密（HE）在医疗领域的应用。详细介绍了 HE 的多种类型，探讨其在电子健康记录、基因组数据分析等方面的应用，分析面临的攻击如侧信道攻击、密钥恢复攻击等，并给出相应防御策略，对医疗数据安全研究极具价值。

同态加密技术概述

同态加密（HE）是一种特殊的加密技术，它允许在不解密数据的情况下对加密数据进行计算，在计算过程中能保护数据的隐私和安全。这一特性在医疗领域意义重大，比如在医学成像、基因组数据分析、临床试验以及安全远程监测等方面，既能满足复杂的数据处理需求，又能保障患者隐私。

HE 主要分为四种类型，以适应不同的计算需求和应用场景。部分同态加密（PHE）仅支持加法或乘法运算，像 RSA 和 Paillier 算法，常用于特定操作的安全执行，计算开销较低，适用于资源受限的应用。 somewhat 同态加密（SHE）在 PHE 基础上有所扩展，允许有限数量的加法和乘法运算，但受噪声增长限制，可用于安全的云计算外包计算和传感器网络数据聚合。完全同态加密（FHE）最为强大，支持无限数量的加乘运算，能实现任意计算，在医疗和金融等领域有广泛应用潜力，但面临计算和性能挑战。完全分层同态加密（FLHE）是针对机器学习（ML）应用优化的 FHE，能有效支持加密数据上的深度学习计算，特别适合隐私保护的 ML 场景，如医疗诊断。

同态加密在医疗领域的应用

安全电子健康记录：电子健康记录（EHRs）包含患者大量敏感信息，是网络攻击的主要目标。传统加密方法在处理数据时需解密，存在数据泄露风险。HE 可实现对 EHRs 的安全查询和计算，医院能在不泄露患者信息的情况下检索特定数据或进行数据聚合研究，还能安全共享 EHRs，促进协作医疗和研究。
隐私保护基因组数据分析：基因组数据分析对个性化医疗至关重要，但基因组数据高度敏感。HE 使研究人员和临床医生能够在加密数据上进行复杂分析，如全基因组关联研究，识别疾病相关遗传标记的同时保护参与者隐私，推动遗传学和个性化医疗研究。
安全医疗成像：医疗成像如 MRI、CT 扫描和 X 射线是现代诊断的重要手段，图像包含患者内部结构的详细信息。HE 可用于医疗成像的加密分析和共享，放射科医生能直接在加密图像上进行图像处理任务，确保图像安全存储在云端，只有授权人员可访问原始数据。
隐私保护机器学习：机器学习在医疗领域有巨大潜力，可提供预测分析、个性化治疗建议和自动化诊断。但在敏感医疗数据上训练和部署 ML 模型存在隐私风险。FLHE 特别适合医疗领域的隐私保护 ML，能在加密数据上训练和推理 ML 模型，例如预测疾病爆发或识别高风险患者，同时保护患者隐私。
安全联邦学习：联邦学习是多个机构在不共享原始数据的情况下协作训练 ML 模型的方法，在医疗领域意义重大。HE 通过确保各机构贡献的数据在训练过程中始终加密，增强了联邦学习的安全性。医院可利用加密患者数据协作训练疾病诊断预测模型，在保护数据隐私的同时提高模型的准确性和泛化能力。
隐私保护临床试验：临床试验对开发新治疗方法和药物至关重要，但涉及大量敏感患者数据，隐私问题突出。HE 可用于保护临床试验数据的分析，研究人员能在不访问原始数据的情况下对加密数据集进行统计分析，评估新治疗方法的疗效和安全性，保护参与者隐私。
安全远程监测和远程医疗：远程监测和远程医疗服务在 COVID-19 大流行后变得越来越重要，这些服务依赖患者敏感健康信息的持续收集。HE 使医疗服务提供者能够在不访问原始数据的情况下分析来自可穿戴设备和家庭健康监测器的数据，安全监测患者生命体征并检测异常情况，确保患者数据隐私的同时实现及时有效的远程护理。

同态加密面临的攻击及防御策略

侧信道攻击及防御：侧信道攻击通过收集物理泄露信息（如时间、功耗或电磁泄漏）来威胁 HE 系统安全，分为被动攻击和主动攻击。
- 定时攻击：攻击者通过分析加密算法执行时间来获取敏感信息。例如，某些算法的执行时间会因输入不同而变化，攻击者可通过精确测量时间来逆向工程输入。可通过实现恒定时间算法来防御，确保所有操作执行时间相同，消除时间差异，降低攻击者获取信息的可能性。
- 功耗分析攻击：攻击者通过分析加密硬件设备的功耗来获取数据信息，分为简单功耗分析和差分功耗分析。简单功耗分析直接解读功耗轨迹，差分功耗分析则利用统计分析多个加密操作的数据来推断中间值。可采用平衡功耗的技术（如动态电压缩放、功耗掩码和电流平坦化）来防御，使功耗模式更难预测和分析。
- 电磁攻击：利用电子设备的电磁辐射作为信息泄露源，具有非侵入性，难以检测和防范。分为简单电磁分析和差分电磁分析。可通过屏蔽和隔离技术防御，用屏蔽材料包裹设备阻止电磁辐射泄露，隔离关键组件减少信息泄漏。
密钥恢复攻击及防御：攻击者试图获取加密算法的秘密解密密钥，一旦成功，可解密所有加密数据，严重破坏数据保密性。攻击者可采用暴力破解、侧信道攻击、密码分析等技术获取密钥。
- 噪声淹没：通过向解密后的消息添加噪声，使攻击者难以区分有用信号和噪声，从而增加密钥恢复难度。但高噪声水平会限制消息精度。
- 密钥托管和分割密钥方案：通过将密钥分割并妥善管理，降低密钥被破解的风险，但在 HE 系统中实施时需考虑密钥的复杂结构和同态特性。
- 硬件安全模块（HSMs）：为加密操作提供安全环境，保护加密密钥在生成、存储、使用和销毁过程中的安全，具有强大的物理安全措施，符合严格的安全标准。
- 后量子密码学：研究基于量子计算机难以解决的问题的加密算法，为加密密钥提供长期安全性，许多 HE 方案基于格问题，具有后量子安全性，研究人员正在优化这些方案以实现实际应用。
选择密文攻击（CCA）及防御：攻击者可选择密文并通过解密预言机获取相应明文，以此推断或破解加密方案。分为非自适应选择密文攻击（CCA1）和自适应选择密文攻击（CCA2），CCA2 更具威胁性。
- CCA 安全的同态加密方案：研究人员致力于开发能抵抗 CCA 的 HE 方案，如采用受限 HE、随机化技术、混合方案和功能加密方法等。
- 密文随机化：在加密过程中引入随机元素，使相同明文加密后的密文不同，增加攻击者识别模式和进行统计分析的难度。
- 密文完整性和认证：通过同态签名、可验证计算和认证 HE 等技术，验证密文完整性和同态计算的正确性，防止密文被恶意修改。
- 定期审计和更新：定期审计加密实现，更新加密算法和协议，实施严格的访问控制，记录所有操作，及时发现和应对潜在攻击。
已知明文攻击（KPA）及防御：攻击者拥有明文及其对应的密文，试图利用这些信息推断加密密钥或了解加密过程。若攻击者能获取大量明文 - 密文对，攻击效果显著。
- 密钥管理和随机化技术：采用动态密钥生成、密钥轮换策略、随机化加密和熵注入等技术，增加加密系统的安全性，降低 KPA 的有效性。
- 强密码协议：使用抵抗 KPA 的密码协议，确保即使攻击者知道明文和密文，也无法推断加密密钥或获取有意义的加密过程信息。
- 数据匿名化：在加密前对数据进行匿名化处理，去除或模糊个人身份信息和关键细节，降低攻击者从明文 - 密文对中推断加密密钥的能力。
- 安全软件开发实践：遵循安全软件开发实践，包括全面测试、代码审查和遵守安全标准，防止 KPA 可利用的漏洞。
选择明文攻击（CPA）及防御：攻击者可选择明文并观察其对应的密文，分为批处理选择明文攻击（batch-CPA）和自适应选择明文攻击（CPA2），CPA2 更具动态性和破坏性。
- 随机化加密：在加密过程中引入随机元素，使相同明文每次加密后的密文不同，防止攻击者通过比较密文获取有用信息。
- 使用强密码原语：采用基于困难数学问题的密码原语，如基于格的密码学，使加密后的密文高度非线性且不可预测，增加攻击者从选择明文中提取信息的难度。
- 自适应安全措施：通过调整密钥或加密参数（如密钥轮换、会话密钥和动态重新密钥），减少攻击者收集足够数据进行有效 CPA 的时间窗口，增强加密系统的安全性。
- 安全密钥管理：实施严格的密钥管理策略，包括频繁密钥轮换、安全密钥存储（如使用 HSMs）、严格访问控制和多因素认证，防止攻击者利用 CPA 攻击加密系统。
故障注入攻击（FIA）及防御：FIA 旨在通过在 HE 过程（计算或密钥生成阶段）中引入错误来获取秘密密钥或明文，可分为硬件攻击和软件攻击。
- 物理不可访问性：将系统关键组件置于安全、防篡改的环境中，如密封外壳或加固芯片，增加攻击者物理访问硬件进行故障注入的难度。
- 使用非平凡常量：在加密算法和敏感操作中使用非平凡、随机或动态生成的常量，使故障注入的效果难以预测和利用，增加攻击复杂性。
- 抗故障注入实现：设计和采用天生抗 FIA 的硬件和软件，通过严格测试、形式验证和使用容错设计原则，如处理冗余和算法抗故障设计，提高系统的抗攻击能力，并定期审计和更新以应对新的攻击技术。
格攻击及防御：格攻击对许多基于格问题（如 LWE 和 Ring-LWE）的 HE 方案构成重大威胁，攻击者通过解决格中的最短向量问题（SVP）或最接近向量问题（CVP）来恢复私钥或解密密文。
- 增加格维度：在基于格的密码学中，增加格的维度可指数级增加攻击者成功攻击的难度，但会导致密钥和密文尺寸增大。
- 噪声管理：合理管理加密过程中引入的噪声，确保基于格问题的难度，使加密方案抵抗格攻击。噪声过多或过少都会影响加密效果，需谨慎平衡。
- 安全参数选择：仔细选择加密参数（如密钥大小、噪声水平），遵循密码库和标准（如 NIST 的后量子密码学项目）的指导，确保加密方案能抵抗已知攻击。

同态加密的研究方向展望

尽管 HE 为安全数据计算提供了强大框架，但仍面临诸多挑战，需要持续研究。

提高效率：目前 HE 方案的计算开销和延迟限制了其实际应用，研究人员正在探索优化算法、硬件加速和并行处理等技术，以降低加密数据处理的计算负担，使其更适用于现实场景。
后量子安全：随着量子计算机的发展，传统密码方法面临量子攻击风险，包括当前的 HE 系统。因此，研究人员致力于开发能抵御未来量子威胁的后量子 HE 方案，确保加密数据的长期安全。
混合加密方法：将 HE 与其他加密技术（如安全多方计算和差分隐私）相结合的混合加密方法受到关注。这种方法可利用多种加密技术的优势，为敏感数据提供更全面的保护。
可扩展性：随着各行业对 HE 的应用需求增加，开发可扩展的 HE 方案至关重要，以有效处理大数据集和复杂计算。研究人员正在努力创建既能保持安全性又具备可扩展性的 HE 解决方案，满足医疗、金融和云计算等领域的广泛应用需求。
提高可用性：当前许多 HE 系统复杂，操作需要专业知识，限制了其在非专家领域的应用。提高可用性的研究方向包括开发更直观的用户界面、提供清晰的文档和培训资源，使 HE 更易于使用，促进其在各个领域的广泛应用。