背景
在過去幾個世紀(jì)���,石油被認(rèn)為是最具價(jià)值的有形資產(chǎn)之一���。而在數(shù)字時代, 數(shù)據(jù)這種新型商品正在崛起以取代石油的地位。數(shù)據(jù)有自己的獨(dú)特性。石油總量是固定的, 但數(shù)據(jù)總量的增長卻難以衡量����。
每個人、每臺智能終端都在不斷地產(chǎn)生數(shù)據(jù)���。但數(shù)據(jù)的真正價(jià)值不在于數(shù)據(jù)量的多少, 而是如何使數(shù)據(jù)充分發(fā)揮作用���。世界上的科技巨頭無法只靠在數(shù)據(jù)庫中存儲數(shù)據(jù)盈利,流動起來的數(shù)據(jù)才有價(jià)值���。
然而,由于數(shù)據(jù)隱私保護(hù)難題的存在��,數(shù)據(jù)的充分流動仍面臨重重阻礙��。人們不愿分享自己的個人信息給其他各方以供商業(yè)使用, 更不用說企業(yè)間核心數(shù)據(jù)的交換了�����。
那為什么傳統(tǒng)的加密手段不足以保護(hù)數(shù)據(jù)隱私呢���?
數(shù)據(jù)的流動涉及多源數(shù)據(jù)的“計(jì)算”, 多源數(shù)據(jù)“計(jì)算”才能使數(shù)據(jù)利用最大化, 進(jìn)而實(shí)現(xiàn)數(shù)據(jù)價(jià)值。但是傳統(tǒng)的加密只著重于數(shù)據(jù)“傳輸隱私”, 拿到加密數(shù)據(jù)后必須在某個地方解密才能進(jìn)行“計(jì)算”�����。盡管可信執(zhí)行環(huán)境 (TEE) 技術(shù), 可以提供一個保護(hù)解密后數(shù)據(jù)的”黑盒子” 來計(jì)算數(shù)據(jù),但實(shí)際上又帶來了另一個風(fēng)險(xiǎn): 如何保護(hù)“黑盒子”�����。
解決方案
在密碼學(xué)的觀點(diǎn)上, 要徹底解決上述問題�����,需要使用隱私保護(hù)計(jì)算領(lǐng)域中一系列算法和協(xié)議�。其中,兩個主要的解決方案是同態(tài)加密和安全多方計(jì)算(MPC)���,這也是這個系列文章的主題���。
安全多方計(jì)算 (MPC) 由姚期智在1982年提出�。它主要探討的是,n個參與方必須各自輸入信息去計(jì)算一個約定的函數(shù)���。除了計(jì)算的正確性���,他們還必須保障每個參與方輸入數(shù)據(jù)的隱私���。具體來說,現(xiàn)在有n個參與方,每個參與方i都知曉自己錄入的xi, 他們來共同計(jì)算一個預(yù)先商定的函數(shù) f (x1,…, xn) = y。如此一來�,所有的參與方都能獲得最終的y值,但無法獲知其他參與方輸入的具體數(shù)據(jù)���。
如上圖所示����,這是一個基于MPC協(xié)議的端到端隱私保護(hù)計(jì)算框架���。用戶可以發(fā)布和部署與應(yīng)用程序相關(guān)��、涉及到多源數(shù)據(jù)輸入的元智能合約���。元智能合約由兩個主要部分組成。一部分是應(yīng)用程序本身, 另一部分則提供了輔助信息, 如MPC協(xié)議參數(shù)��、數(shù)據(jù)源發(fā)現(xiàn)參數(shù)等����。MPC協(xié)議是在鏈下運(yùn)行的, 這樣可以減少那些計(jì)算資源有限節(jié)點(diǎn)的負(fù)擔(dān), 提高了鏈上進(jìn)行共識的總體性能。
鏈上與鏈下計(jì)算之間的“橋梁”被稱作為計(jì)算通道���。計(jì)算通道提供了一個激勵機(jī)制,讓擁有合格數(shù)據(jù)的各個數(shù)據(jù)源參與計(jì)算���,并將計(jì)算結(jié)果安全地上傳到鏈上�。
安全多方計(jì)算協(xié)議是一種分布式協(xié)議�����,允許各參與方在不泄露自身隱私信息的前提下�����,通過既定邏輯共同計(jì)算出一個結(jié)果�����。基于此提出了一個端到端的MPC框架��,以實(shí)現(xiàn)隱私保護(hù)計(jì)算�。在本文中,我們將詳細(xì)介紹其工作原理���。
在介紹技術(shù)細(xì)節(jié)之前,我們應(yīng)該先定義安全目標(biāo)���,即密碼學(xué)中的安全模型��。文中主要介紹兩種安全挑戰(zhàn)敵手模型:半誠實(shí)敵手模型和惡意敵手模型��。
在半誠實(shí)敵手模型中���,參與方嚴(yán)格按照協(xié)議執(zhí)行�����,但對過程中的其他隱私數(shù)據(jù)仍有些好奇��。這適用于一些企業(yè)間的業(yè)務(wù)場景���,在這些場景中,企業(yè)必須嚴(yán)格遵循協(xié)議程序���,并且讓代碼在各參與方都無法接觸到的安全環(huán)境中運(yùn)行�����。
惡意模型則更貼近現(xiàn)實(shí)���,即參與者會竭盡所能獲取其他參與方的隱私信息�。安全多方計(jì)算協(xié)議意味著在兩種模型中���,所有參與方都無法獲得輸出結(jié)果以外任何的附加信息���。注意,這里的“額外信息”并不是指輸入的“任何信息”���,而是指除去可以直接從輸出結(jié)果直接推斷出的之外的信息�。
文中提出了許多具體的技術(shù)來構(gòu)造針對半誠實(shí)敵手模型或惡意敵手模型的MPC協(xié)議�����,如加密電路����,秘密共享,不經(jīng)意傳輸���,同態(tài)加密及其組合等�����。在本文中����,我們將會著重介紹由姚期智教授發(fā)明的針對兩方場景的加密電路�,這是目前最有效的技術(shù)之一。
例如:Alice和Bob都分別擁有各自私有輸入信息x和y�,他們想通過共同協(xié)定的函數(shù)f來獲得輸出結(jié)果z= f(x,?y),且除了輸入結(jié)果外不會揭露任何其他額外內(nèi)容���。
首先應(yīng)該使用電路編譯器將函數(shù)f轉(zhuǎn)換為由AND和XOR門組成的布爾電路(如圖1所示)�,因?yàn)榇蠖鄶?shù)用高級語言編寫的程序都包含復(fù)雜的數(shù)據(jù)結(jié)構(gòu)�,這在實(shí)際的具體應(yīng)用中其實(shí)是一個很復(fù)雜的工程任務(wù)。
圖1
為了便于理解描述����,我們假設(shè)x,y都是2比特字符串�。如上圖,x作為左邊最開始兩根線的輸入�,y作為最后兩根線的輸入。
Alice將電路作為輸入��,并寫下每個門的所有真值表���。然后它為每個門選擇兩個均勻分布的隨機(jī)字符串����,稱為標(biāo)簽,分別用來代表0或1表示�,如圖2所示。注意�,雖然Alice不知道C,D線的輸入�����,但她仍然在每根線上選擇標(biāo)簽來表示0和1��。
圖2
選擇標(biāo)簽后�,Alice根據(jù)電路的拓?fù)浣Y(jié)構(gòu)用標(biāo)簽替換真值表。以左上門為例����。它有A和B線作為輸入,E線作為輸出���。然后Alice將第一個真值表替換為:
在替換所有真值表后��,Alice獲得了一個“標(biāo)簽表”�,如圖3所示。
圖3
對于每個門�����,Alice使用標(biāo)簽對門進(jìn)行加密����。即�,對于標(biāo)簽表的每一行,Alice使用輸入標(biāo)簽作為雙重加密的密鑰對輸出標(biāo)簽進(jìn)行加密����。更具體地說,對于第一個標(biāo)簽表中的第一行��,Alice使用A0和B0作為AES的密鑰�,并將E0加密為AESA0(AESB0(E0)),所有其他行和門都以類似的方式進(jìn)行��。然后Alice得到一個加密電路����,如圖4所示。
圖4
假設(shè)Alice輸入了x=10�����,Bob輸入了y=01。然后Alice根據(jù)她的輸入比特串和輸出標(biāo)簽的含義(即關(guān)系I0->0; I1->1)將加密電路(所有加密門)與A1和B0一起發(fā)送給Bob����。請注意,Bob無法從A1和B0獲取Alice的任何輸入信息�,因?yàn)樗鼈冎皇请S機(jī)字符串,并且電路輸出標(biāo)簽的表述關(guān)系不會泄漏任何輸出值的附加信息����。
在Bob解密加密電路之前,他必須根據(jù)他的輸入信息獲得輸入標(biāo)簽���。由于標(biāo)簽是由Alice選擇的�,因此他必須與Alice一起運(yùn)行一個“傳輸協(xié)議”以獲取標(biāo)簽而不直接告訴她輸入的信息�。這種“傳輸協(xié)議”在密碼學(xué)中稱為不經(jīng)意傳輸,因?yàn)樗且粋€非?;A(chǔ)的密碼學(xué)原語,我們不會詳細(xì)介紹技術(shù)細(xì)節(jié)����,而是在下面列出它的性質(zhì)。
1.Alice將標(biāo)簽X0, X1作為輸入����,Bob將b=0/1作為輸入�。在協(xié)議結(jié)束時���,Bob將獲得Xb����。
2.Alice不知道Bob選擇了哪個標(biāo)簽�。
3.Bob不知道另一個標(biāo)簽X1-b�����。
在與Alice運(yùn)行不經(jīng)意傳輸協(xié)議之后���,Bob根據(jù)他的輸入獲得標(biāo)簽C0, D1���,然后他可以開始解密加密電路。對于每個加密門�,Bob用輸入標(biāo)簽作為AES密鑰解密四個密文,注意他只能獲得一個有意義的標(biāo)簽�,然后迭代地進(jìn)行解密以獲得輸出標(biāo)簽I0。由于Bob知道I0的含義����,他將獲得輸出0��,并將其發(fā)送給Alice�����。整個求解過程如圖5所示��。
圖5
至此�����,我們解釋了姚期智教授發(fā)明的加密電路的基本原理����。近40年來�,人們也提出了許多優(yōu)化技術(shù)來改進(jìn)這一基礎(chǔ)協(xié)議。Free-XOR(不加密異或門)���,row reduction和half gate(減少每個AND門的數(shù)量為2個密文)等技術(shù)和硬件加速(使用AES-NI)顯著地提高了加密電路的效率��。
?
關(guān)于安全多方計(jì)算
? ? 安全多方計(jì)算由圖靈獎獲得者��、中國科學(xué)院院士姚期智先生首次于1982年提出���。姚先生以著名的百萬富翁問題來說明安全多方計(jì)算���。百萬富翁問題的指的是,在沒有可信第三方的前提下���,兩個百萬富翁如何不泄露自己的真實(shí)財(cái)產(chǎn)狀況來比較誰更有錢���。這個問題看上去不太可能,安全多方計(jì)算為多個參與方不泄露輸入數(shù)據(jù)隱私的前提下進(jìn)行協(xié)同計(jì)算提供了完整的解決方案�����。MPC技術(shù)在金融領(lǐng)域的跨行業(yè)用戶征信��、風(fēng)控�����、用戶識別�、密鑰管理等場景中有巨大的應(yīng)用價(jià)值����。
來源:http://www./content-4-162801.html
|
