ElGamal 暗号と準同型性（暗号化バイラテラル制御）

ElGamal 暗号と準同型性

ElGamal 暗号は離散対数の困難性（ecdh-key-exchange と同じ DH 系の仮定）に基づく公開鍵暗号で、乗法準同型性を持つ。すなわち暗号文同士の積を復号すると平文の積になる:

$\mathrm{Dec}(\mathrm{Enc}(m_1)\cdot \mathrm{Enc}(m_2))=m_1\cdot m_2$

一方で加法は素直には計算できないため、行列積のような線型演算をそのまま暗号文上で計算できないという制約がある。

暗号化バイラテラル制御という応用

マスタ・スレーブ間の遠隔操作で使うバイラテラル制御（双方向の力・位置フィードバック制御）を、制御則そのものを暗号化したまま実行したい、という秘密計算の応用がある (2025-05 のメモ)。

• 制御則の本質は係数行列とのベクトル積（線型演算）。
• 素の ElGamal は乗法準同型しか持たないため、暗号文のままでは行列積を計算できないはず。
• これに対し「修正された乗法準同型暗号方式」を使うと暗号化された行列積が計算できる、とされる（cf. JACC 65 (2021) 152）。詳細な仕組みは要精読 (TODO)。

位置づけ

• 完全準同型暗号 fully-homomorphic-encryption は加法・乗法の両方を任意回数扱えるが重い。ElGamal のような部分準同型 (partially homomorphic) は演算が限定される代わりに軽量で、線型制御則のような限定的な計算に向く。
• 入力を秘匿したまま計算する技術の全体像は secure-multiparty-computation / privacy-preserving-machine-learning を参照。
• 制御理論側の背景は control-theory-laplace。

関連ノート

• _moc-crypto