1. 项目概述为什么我们需要自己动手写一个Paillier库如果你正在处理一些涉及隐私计算、安全多方计算或者联邦学习的项目那么“同态加密”这个词对你来说一定不陌生。简单来说它允许你在加密数据上直接进行计算而无需先解密。想象一下你把一个上锁的保险箱交给别人他可以在不打开锁的情况下往里面放钱或者取钱最后你拿回箱子用钥匙打开看到的就是经过计算后的结果。这就是同态加密的魅力——数据全程加密计算方看不到明文但能帮你完成运算。在众多同态加密方案中Paillier加密因其“加法同态”的特性而备受青睐。所谓加法同态就是指两个加密后的数字相加解密后得到的结果等于这两个数字明文相加的结果。这在统计、机器学习聚合、电子投票等场景下极其有用。比如多家医院想联合统计某种疾病的患者总数但又不想泄露各自的具体患者数量就可以用Paillier加密各自的数据后交给一个中心方相加中心方只能看到加密后的总和解密后得到总数但无法反推任何一家的具体数据。市面上当然有成熟的同态加密库比如phePython Paillier Homomorphic Encryption。那为什么我们还要“手写”一个呢原因有三第一理解原理。用现成的库就像开自动挡汽车方便但不知道引擎怎么工作。自己实现一遍从密钥生成、加密、解密到同态加你能彻底吃透Paillier的数学基础和每一步的安全考量这是任何文档都替代不了的深度学习。第二教学与调试。当你需要向团队解释、或者优化某个环节时一个你自己写的、结构清晰、注释完整的简易库是最好的教具和调试基准。第三定制化需求。成熟的库为了通用性做了大量封装和优化有时反而显得笨重。一个手写的、核心功能完备的轻量级实现可以轻松嵌入到你的原型系统或特定框架中没有多余的依赖。所以这个项目就是带你用Python从零开始构建一个具备核心功能的Paillier加法同态加密库。我们会聚焦于算法本身用最直白的代码揭示其工作原理并分享在实际编码中会遇到的那些“坑”。无论你是密码学爱好者、隐私计算领域的研究者还是正在寻找落地方案的后端工程师这篇手把手的实战指南都能让你获得远超调用一个encrypt()函数的收获。2. 核心原理拆解Paillier加密的数学心脏在动手写代码之前我们必须先理解Paillier加密算法赖以生存的数学基础。如果你看到“公钥密码学”、“欧拉函数”、“模n平方”这些词就头疼别担心我会尽量用类比和例子把它们讲清楚。Paillier的安全性建立在“复合剩余类问题”的困难性上这是一个公认的计算难题。我们不需要证明它但需要理解它如何被用来构造加密方案。2.1 密钥生成挑选安全的“锁芯”Paillier的密钥生成是整个系统安全性的基石。它产生一对密钥公钥(n, g)和私钥(λ, μ)。选择两个大素数p和q这是最关键的一步。p和q必须足够大通常至少1024位并且要随机、独立地选择。它们就像是制作一把复杂锁具的两个核心零件。安全性要求gcd(pq, (p-1)(q-1)) 1但通常我们直接选择等长的素数就能满足。在简易实现中我们可以用Python的secrets模块生成指定位数的大素数。计算n和λ计算n p * q。n是模数也是公钥的一部分它的长度决定了加密空间的大小。接着计算λ lcm(p-1, q-1)即p-1和q-1的最小公倍数。λ是私钥的核心部分它和n的因子分解秘密紧密相关。选择生成元gg是公钥的另一部分它是一个整数。标准做法是令g n 1。这是一个经过验证的、能保证方案正确性和安全性的简便选择。为什么是n1因为这样在后续的解密计算中公式可以大大简化。计算模逆元μ这是生成私钥的最后一步。我们需要计算函数L(x) (x-1)/n。然后计算μ (L(g^λ mod n^2))^(-1) mod n。这里的^(-1) mod n表示模n下的乘法逆元。当g n1时L(g^λ mod n^2) λ因此μ λ^(-1) mod n。这极大地简化了计算。注意在真实应用中p和q在生成后必须立即销毁或安全存储绝不能泄露。因为一旦知道p和q攻击者可以轻易计算出λ从而破解私钥。我们的演示代码为了清晰会保留它们但在生产环境中私钥只应保存(λ, μ)或(n, λ, μ)绝不能包含p和q。2.2 加密过程给明文穿上“隐身衣”加密函数接收一个明文整数m0 m n和公钥(n, g)输出一个密文c。选择随机数r随机选择一个整数r满足0 r n且r与n互质即gcd(r, n) 1。这个r是保证每次加密相同明文得到不同密文的关键称为“随机化因子”它提供了语义安全性即相同的明文每次加密结果都不同无法被比较。计算密文密文c由公式c g^m * r^n mod n^2给出。这里涉及模n^2的指数运算。当g n1时公式可以优化为c (1 m*n) * r^n mod n^2计算效率更高。这个过程就像把明文m和随机噪声r一起用公钥(n, g)封装进了一个独特的、不可区分的密文包裹里。2.3 解密过程用“钥匙”解开包裹解密函数接收密文c和私钥(λ, μ, n)输出原始的明文m。计算中间值计算u c^λ mod n^2。应用L函数计算L(u) (u - 1) / n。注意这个除法是在整数域进行的因为u mod n^2的性质保证了(u-1)能被n整除。恢复明文计算m L(u) * μ mod n。当g n1时由于μ是λ模n的逆元所以m L(u) * μ mod n。这个数学魔术的精妙之处在于随机因子r在计算c^λ mod n^2时其影响会被λ的特性消除因为r^(n*λ) mod n^2 1基于卡迈克尔函数性质最后只剩下关于m的信息。2.4 加法同态魔法发生的地方这是Paillier最核心的特性。假设有两个明文m1和m2对应的密文为c1 Enc(m1)和c2 Enc(m2)。 那么c1 * c2 mod n^2 Enc(m1 m2 mod n)。为什么让我们用简化公式c (1 m*n) * r^n mod n^2来看c1 * c2 mod n^2 [(1 m1*n) * r1^n] * [(1 m2*n) * r2^n] mod n^2 (1 (m1m2)*n m1*m2*n^2) * (r1*r2)^n mod n^2。 由于运算在模n^2下进行m1*m2*n^2项模n^2等于0。并且(1 (m1m2)*n)这一项恰好是加密(m1m2)时当随机数r为(r1*r2)时的核心部分。因此乘积的密文解密后正是m1m2。这意味着任何人即使没有私钥只要持有公钥和两个密文就可以计算出它们对应明文之和的密文。这个性质是构建更复杂隐私保护应用的基础。3. 手把手实现从数学公式到Python代码理解了原理我们现在开始用Python将其实现。我们将创建一个名为SimplePaillier的类包含密钥生成、加密、解密和同态加法四个核心方法。我们会使用Python内置的secrets、math库以及强大的pow函数支持模运算。3.1 环境准备与依赖我们不需要任何第三方密码学库如pycryptodome只依赖Python标准库确保最大程度的透明性和可移植性。import secrets import math from typing import Tuplesecrets: 用于生成密码学安全的随机数大素数、随机因子r。math: 使用gcd函数计算最大公约数用于检查互质。typing: 提供类型注解让代码更清晰非必需但推荐。3.2 核心类与密钥生成实现首先定义我们的SimplePaillier类。在__init__方法中我们直接生成密钥对。class SimplePaillier: def __init__(self, key_length: int 512): 初始化Paillier加密系统生成密钥对。 :param key_length: 素数p和q的比特长度。总模数n的比特长度约为key_length*2。 **警告**仅为演示1024位以下不安全。生产环境应使用2048位或以上。 if key_length 512: print(f警告密钥长度{key_length}位过短仅用于教学演示不具备实际安全性。) self.key_length key_length self.public_key, self.private_key self._generate_keys(key_length) def _generate_keys(self, key_length: int) - Tuple[Tuple[int, int], Tuple[int, int, int]]: 生成公钥(n, g)和私钥(lambda, mu, n)。 # 1. 生成两个大素数p和q p self._generate_large_prime(key_length) q self._generate_large_prime(key_length) # 确保p和q不相等这是安全的基本要求 while p q: q self._generate_large_prime(key_length) n p * q n_square n * n # 2. 计算 lambda lcm(p-1, q-1) lambda_val math.lcm(p - 1, q - 1) # 3. 选择 g n 1 (简化方案) g n 1 # 4. 计算 mu (L(g^lambda mod n^2))^(-1) mod n # 当 g n1 时 L(g^lambda mod n^2) lambda # 所以需要计算 lambda 模 n 的乘法逆元 l_value lambda_val # 因为 g n1, L(g^lambda mod n^2) lambda mu self._mod_inverse(l_value, n) public_key (n, g) # 私钥包含lambda, mu, 以及n解密时需要。实践中不应存储p和q。 private_key (lambda_val, mu, n) return public_key, private_key def _generate_large_prime(self, bits: int) - int: 生成一个指定位数的大素数概率性测试。 while True: # 生成一个奇数候选 candidate secrets.randbits(bits) candidate | (1 (bits - 1)) | 1 # 确保最高位和最低位为1使其达到指定位数且为奇数 if self._is_probable_prime(candidate): return candidate def _is_probable_prime(self, n: int, k: int 128) - bool: 使用Miller-Rabin素性测试概率性判断n是否为素数。 if n 2: return False # 处理小素数 small_primes [2, 3, 5, 7, 11, 13, 17, 19, 23, 29] if n in small_primes: return True for p in small_primes: if n % p 0: return False # 将 n-1 写成 d * 2^s 的形式 s 0 d n - 1 while d % 2 0: d // 2 s 1 # 进行k轮测试 for _ in range(k): a secrets.randbelow(n - 3) 2 x pow(a, d, n) if x 1 or x n - 1: continue for _ in range(s - 1): x pow(x, 2, n) if x n - 1: break else: return False return True def _mod_inverse(self, a: int, m: int) - int: 使用扩展欧几里得算法计算 a 模 m 的乘法逆元。 # 扩展欧几里得算法实现 def egcd(a, b): if b 0: return (1, 0, a) else: x1, y1, gcd egcd(b, a % b) x y1 y x1 - (a // b) * y1 return (x, y, gcd) x, y, g egcd(a, m) if g ! 1: raise Exception(f模逆元不存在因为 gcd({a}, {m}) {g}) else: return x % m代码解析与实操心得_generate_large_prime和_is_probable_prime我们实现了Miller-Rabin素性测试。在真实库中如phe会调用更高效、经过更多优化的底层库如gmpy2。这里自己实现是为了展示原理。k128是一个较高的测试轮数错误概率极低2^{-256}足以满足教学和原型需求。_mod_inverse计算模逆元是密码学中的常见操作。我们实现了扩展欧几里得算法。Python 3.8 其实内置了pow(a, -1, m)来计算模逆元但为了展示算法我们选择了手动实现。关键参数key_length初始化时指定的key_length是每个素数p和q的比特长度。模数n的长度大约是它的两倍。务必注意我们默认设置为512位这只是为了演示快速生成。根据NIST等标准当前Paillier加密的安全模长至少应为2048位即key_length1024。生成2048位的n在普通电脑上可能需要几秒到十几秒请耐心等待。私钥存储我们将(lambda, mu, n)作为私钥存储。p和q在生成后就被丢弃了这是正确的安全实践。任何情况下都不应序列化或传输p和q。3.3 加密与解密方法实现接下来我们实现加密encrypt和解密decrypt方法。class SimplePaillier(SimplePaillier): def encrypt(self, plaintext: int) - int: 使用公钥加密一个整数。 :param plaintext: 明文整数必须满足 0 plaintext n。 :return: 密文整数。 n, g self.public_key # 检查明文范围 if plaintext 0 or plaintext n: raise ValueError(f明文 {plaintext} 超出范围 [0, {n})) # 1. 选择随机数 r满足 1 r n 且 gcd(r, n) 1 while True: r secrets.randbelow(n - 2) 2 # 确保 r 在 [2, n-1] 区间 if math.gcd(r, n) 1: break n_square n * n # 2. 计算密文 c g^m * r^n mod n^2 # 使用 pow 函数的三个参数形式进行模幂运算效率极高。 # 注意当 g n1 时可以优化为 c (1 m*n) * r^n mod n^2 # 我们使用通用公式以保持清晰。 c1 pow(g, plaintext, n_square) c2 pow(r, n, n_square) ciphertext (c1 * c2) % n_square return ciphertext def decrypt(self, ciphertext: int) - int: 使用私钥解密密文。 :param ciphertext: 密文整数。 :return: 解密后的明文整数。 lambda_val, mu, n self.private_key n_square n * n # 1. 计算 u c^lambda mod n^2 u pow(ciphertext, lambda_val, n_square) # 2. 计算 L(u) (u - 1) // n # 注意这里必须是整数除法 l_u (u - 1) // n # 3. 计算明文 m L(u) * mu mod n plaintext (l_u * mu) % n return plaintext代码解析与实操心得加密中的随机数rr的选择至关重要。secrets.randbelow提供了密码学安全的随机数。循环直到找到与n互质的r。由于n是两个大素数的乘积随机选一个数与它互质的概率非常高所以这个循环通常一次就过。模幂运算pow(a, b, m)Python内置的pow函数在提供第三个参数m时会使用高效的模幂算法如平方乘算法直接计算a^b mod m这对于处理大整数指数运算是必不可少的。自己写循环进行乘方再取模对于大数来说是灾难性的慢。解密中的整数除法L(u) (u - 1) // n必须使用整数除法//。因为u是模n^2下的结果数学上保证了(u-1)能被n整除。使用浮点除法会引入误差。明文范围检查在加密前检查明文m是否在[0, n)范围内。Paillier方案本身定义在此范围内。如果需要对负数或浮点数加密需要额外的编码方案例如将浮点数定点化为整数将负数映射到[n/2, n)区间表示负值这超出了我们核心库的范围但却是实际应用时必须考虑的。3.4 同态加法实现实现同态加法是展示Paillier价值的关键。class SimplePaillier(SimplePaillier): def add(self, ciphertext1: int, ciphertext2: int) - int: 对两个密文进行同态加法。 :param ciphertext1: 第一个密文。 :param ciphertext2: 第二个密文。 :return: 对应明文之和的密文。 n, _ self.public_key n_square n * n # 同态加法c_sum c1 * c2 mod n^2 ciphertext_sum (ciphertext1 * ciphertext2) % n_square return ciphertext_sum def add_plain(self, ciphertext: int, plaintext: int) - int: 将一个密文与一个明文相加无需解密。 :param ciphertext: 密文。 :param plaintext: 要加的明文整数。 :return: 新的密文。 n, g self.public_key n_square n * n # 计算 g^plaintext mod n^2然后与密文相乘 factor pow(g, plaintext, n_square) new_ciphertext (ciphertext * factor) % n_square return new_ciphertext代码解析add方法极其简单就是两个密文在模n^2下相乘。这就是加法同态的魔法公式。add_plain方法这是一个非常实用的优化。有时我们想给一个加密的数据加上一个已知的明文常数比如给加密的工资统一加薪1000元。我们不需要先加密这个常数再同态加可以直接计算g^常数作为因子去乘密文。这节省了一次加密操作。3.5 完整代码与基础测试让我们把上面的代码整合起来并写一个简单的测试来验证其正确性。# simple_paillier.py import secrets import math from typing import Tuple class SimplePaillier: # ... (将上面所有代码段合并到这里) ... if __name__ __main__: print( 简易Paillier加密库测试 ) # 1. 初始化使用较小的密钥长度以便快速测试 print(1. 生成密钥对...) cipher SimplePaillier(key_length128) # 128位仅用于测试 n, g cipher.public_key print(f 公钥 n (16进制): {hex(n)}) print(f 公钥 g: {g}) # 2. 加密测试 print(\n2. 加密测试...) plaintext1 42 plaintext2 123 ciphertext1 cipher.encrypt(plaintext1) ciphertext2 cipher.encrypt(plaintext2) print(f 明文 m1 {plaintext1}, 密文 c1 {hex(ciphertext1)[:30]}...) print(f 明文 m2 {plaintext2}, 密文 c2 {hex(ciphertext2)[:30]}...) # 3. 解密测试 print(\n3. 解密测试...) decrypted1 cipher.decrypt(ciphertext1) decrypted2 cipher.decrypt(ciphertext2) print(f 解密 c1 得到: {decrypted1} (应与 {plaintext1} 相等)) print(f 解密 c2 得到: {decrypted2} (应与 {plaintext2} 相等)) assert decrypted1 plaintext1, 解密1失败 assert decrypted2 plaintext2, 解密2失败 # 4. 同态加法测试 print(\n4. 同态加法测试...) ciphertext_sum cipher.add(ciphertext1, ciphertext2) decrypted_sum cipher.decrypt(ciphertext_sum) expected_sum plaintext1 plaintext2 print(f c1 c2 (同态) 解密得到: {decrypted_sum}) print(f 明文直接相加: {expected_sum}) assert decrypted_sum expected_sum, 同态加法失败 # 5. 与明文加法测试 print(\n5. 密文与明文加法测试...) plaintext_to_add 10 ciphertext_new cipher.add_plain(ciphertext1, plaintext_to_add) decrypted_new cipher.decrypt(ciphertext_new) expected_new plaintext1 plaintext_to_add print(f c1 {plaintext_to_add} (明文) 解密得到: {decrypted_new}) print(f 预期结果: {expected_new}) assert decrypted_new expected_new, 密文明文加法失败 print(\n✅ 所有基础测试通过)运行这个脚本你应该能看到所有断言都通过证明我们的简易Paillier库核心功能是正确的。4. 深入实战性能、编码与安全考量一个能跑通的库只是第一步。要把它用到实际项目或深入理解我们必须考虑更多现实问题。4.1 性能瓶颈分析与优化思路我们的简易实现存在明显的性能瓶颈大数运算Paillier的所有运算都在大整数n^2可能达到4096位上进行Python的原生大整数运算虽然方便但速度远不及C语言实现。素数生成Miller-Rabin测试对于大素数如1024位非常耗时。模幂运算pow(a, b, m)是主要计算开销尤其是在加密指数为m和n和解密指数为λ时。优化建议使用gmpy2库这是Python处理大整数事实上的标准加速库。它用C实现了高精度算术pow运算速度可提升数十倍甚至上百倍。只需将代码中的pow函数替换为gmpy2.powmod并将大整数转换为gmpy2.mpz类型。预计算对于固定的公钥可以预计算一些值。例如在加密时如果g n1则g^m mod n^2可以优化为(1 m*n) mod n^2避免了一次大数模幂。我们的代码使用了通用公式你可以尝试实现这个优化。密钥长度选择在开发和测试阶段使用较短的密钥如512位在生产环境切换为2048位或更长。记住密钥长度每增加一倍运算时间可能增加数倍。4.2 处理非整数数据编码与解码Paillier加密的是整数。但现实世界的数据是多样的浮点数如工资、评分、负数如盈亏、甚至字符串。这就需要我们在加密前进行“编码”解密后进行“解码”。1. 定点数编码用于浮点数将浮点数乘以一个缩放因子scale转换为整数。SCALE_FACTOR 10**6 # 保留6位小数精度 def encode_float(value: float) - int: return int(round(value * SCALE_FACTOR)) def decode_int(encoded_int: int) - float: return encoded_int / SCALE_FACTOR # 使用 salary 12345.67 encoded_salary encode_float(salary) # 12345670000 # 加密 encoded_salary... # 解密后得到 decoded_int # final_salary decode_int(decoded_int)注意同态加后缩放因子也被“加”了。如果加两个编码后的数解密解码后相当于原始浮点数相加。但如果涉及同态乘Paillier本身不支持需要与一个明文常数相乘这实际上是多次加法缩放因子会发生变化需要额外处理。2. 有符号整数编码用于负数将负数映射到[n/2, n)区间正数映射到[0, n/2)区间。def encode_signed(value: int, n: int) - int: 将可能有负的整数编码到 [0, n) 范围内。 if value 0: return n value # value是负数所以 n (-5) n-5 else: return value def decode_signed(encoded_int: int, n: int) - int: 将编码后的整数解码回有符号整数。 if encoded_int n // 2: return encoded_int - n else: return encoded_int注意这种编码方式下同态加的结果在解密解码后如果超出了(-n/2, n/2)的范围会发生“环绕”导致结果错误。因此必须确保运算结果不会溢出这个范围。4.3 安全注意事项与常见陷阱自己实现密码学原语安全是头等大事。以下是一些必须警惕的陷阱随机数质量加密中的随机数r必须密码学安全。我们使用了secrets模块这是正确的。绝对不要使用random模块。密钥管理私钥(λ, μ, n)必须妥善保管。在内存中处理时考虑使用安全的内存区域某些安全模块提供。序列化存储时必须加密。侧信道攻击我们的简易实现没有考虑时序攻击等侧信道攻击。例如如果明文m很小pow(g, m, n_square)的计算时间可能略短尽管Python的pow实现在一定程度上是常数时间的但并非绝对。生产级库会采用更严格的常数时间算法。参数验证在加密、解密函数中应验证输入参数的有效性如密文是否在[0, n^2)范围内是否为整数。我们只做了明文范围检查这是一个简化。不要自己发明密码学我们这个实现仅用于教育和原型。任何涉及真实敏感数据的生产系统都应该使用经过广泛审计、成熟稳定的库如phe、tenseal支持多种同态加密或Microsoft SEALC库有Python绑定。4.4 扩展思考从加法同态到更复杂的计算Paillier只支持加法同态和与明文的乘法即密文与明文常数相乘本质上是多次加法。那如何实现更复杂的运算比如加权平均、多项式计算甚至机器学习推理呢答案是结合其他技术与多方计算MPC结合复杂的比较、排序等非线性操作可以通过MPC协议在密文状态下协作完成。使用支持全同态的加密FHE如BFV、CKKS等方案可以直接在密文上做加法和乘法但计算开销巨大目前仍在研究和性能优化阶段。使用混合方案在系统不同部分使用最适合的加密方案。例如用Paillier处理大量的线性聚合用MPC或FHE处理少量的非线性部分。我们的简易Paillier库可以作为理解这些更高级隐私计算技术的敲门砖。理解了加法同态这个基础构件你才能更好地评估和运用那些更复杂的工具。5. 常见问题与调试实录在实际编写和运行代码的过程中你几乎一定会遇到下面这些问题。这里我把它们和解决方法记录下来希望能帮你节省大量调试时间。问题1密钥生成非常慢尤其是当key_length设置为1024时。原因与解决这是我们自己实现的Miller-Rabin测试效率问题。生成大素数本身就是计算密集型任务。对于1024位的素数我们的纯Python实现可能需要几分钟甚至更久。临时方案测试时使用key_length128或256。优化方案安装并使用gmpy2库。gmpy2有内置的next_prime或概率性素数生成函数速度极快。可以将_generate_large_prime方法替换为调用gmpy2.next_prime(secrets.randbits(bits))。问题2解密结果不正确得到的明文是乱码。排查步骤检查明文范围确保你要加密的整数m严格满足0 m n。这是Paillier方案定义域的要求。检查编码/解码如果你对数据进行了编码如处理浮点数请确认加密前编码、解密后解码的流程正确且缩放因子一致。验证密钥一致性确保加密和解密使用的是同一对密钥。在测试代码中这通常没问题但在分布式系统中公钥和私钥的传递和存储可能出错。检查随机数r确保在加密时r与n互质。我们的代码通过循环保证了这一点但如果n的生成有问题比如不是两个素数的乘积可能导致问题。使用小参数调试将p和q设为很小的已知素数如11, 13手动计算n,λ,g,μ然后手动跟踪加密和解密每一步的中间值与你的代码输出对比。这是定位数学逻辑错误最有效的方法。问题3同态加法后解密结果不等于明文之和。排查步骤检查模运算确保同态加法是c1 * c2 mod n^2而不是c1 c2。加法是在模n^2的乘法群中定义的。检查溢出确保plaintext1 plaintext2 n。如果和超过了模数n由于Paillier运算是定义在模n下的会发生“环绕”。例如n100,m160,m250同态加解密后得到的是(6050) mod 100 10。分别验证单个解密先单独解密c1和c2确认它们本身能正确解密。如果单个解密就错了同态加自然不对。问题4我想加密一个列表或数组怎么办Paillier加密的是单个整数。要对数组加密你需要遍历数组对每个元素单独加密。同态加法也可以对应元素进行。这通常意味着通信和计算开销与数组长度成正比。有一些高级的密码学技术如“打包”技术可以将多个整数编码到一个Paillier明文空间中进行加密从而减少密文膨胀但这涉及更复杂的数学如中国剩余定理超出了本简易库的范围。问题5这个库和phe库比差在哪里我们的SimplePaillier和成熟的phe库主要差距在性能phe底层使用gmpy2速度快得多。功能phe支持浮点数编码、密文序列化、JSON交互、预计算优化等。安全性phe经过更多审查可能包含了更多针对侧信道攻击的防护。鲁棒性phe有更完善的输入验证、错误处理和文档。 我们的库优势在于极度透明每一行代码你都能看到原理是学习和原型设计的绝佳起点。最后我想分享一个在测试中容易忽略但很重要的一点随机性测试。由于加密引入了随机因子r你应该多次加密同一个明文观察得到的密文是否完全不同。写一个简单的循环测试这是验证算法“语义安全”性最直观的方法。如果每次密文都一样那你的随机数r肯定没有正确工作。通过这个从零构建的过程我希望你收获的不仅仅是一个能运行的Python文件而是对Paillier同态加密方案深入骨髓的理解。下次当你使用phe.encrypt()时你脑海中能清晰地浮现出g^m * r^n mod n^2这个公式以及背后每一个参数的意义和安全考量。这才是“手写”一个库的真正价值。
)
![PolarDN REVERSE [test] WP](http://pic.xiahunao.cn/yaotu/PolarDN REVERSE [test] WP)
