安全多方计算之八:Mix-Match

这篇具有很好参考价值的文章主要介绍了安全多方计算之八:Mix-Match。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

M.Jakobsson和A.Juels提出了基于Mix-Match的安全多方计算协议构造方法,该类协议包括Mix与Match两个阶段:

  • Mix阶段:通过构造混合网络,生成盲表(Blinded table)
  • Match阶段:通过执行PET协议进行查表,得到对应的输出

最后参与者共同解密输出,该类协议参与者之间所需传输的消息量较少,对于逻辑运算和Bit运算较为高效。

1. 混合网络

从直观上讲,混合网络是一个多方协议,协议的输入是一个密文表,该密文表中的密文与一组明文有着一一对应的关系。协议将这个密文表随机置换后得到另外一个密文表,输出的密文表和相同的一组明文也是一一对应的。即输出的密文表是输入密文表的随机置换

混合网络的安全性在于攻击者无法确定输出密文表中的某一条密文与输入密文表中的哪一条密文是对应的。

基于ElGamal加密方案的混合网络

假定参与混合网络的 n n n个参与者都共享一个具备身份认证的广播信道(或存在一个公告板),将一个ElGamal加密方案的公钥 y y y公布给每个参与者。由参与者集合 P P P的某一个子集充当混合服务器(Mix Server)的角色,与 y y y对应的私钥使用 ( t , n ) (t,n) (t,n)门限方案在混合服务器中分享。

混合网络的参与者将自己的输入广播或传送到公告板上,混合网络的输入是一个ElGamal的密文序列 ( α 1 , β 1 ) , ( α 2 , β 2 ) , ⋯   , ( α k , β k ) (\alpha_1,\beta_1),(\alpha_{2},\beta_{2}),\cdots,(\alpha_{k},\beta_{k}) (α1,β1),(α2,β2),,(αk,βk)混合服务器依次独立地将混合网络输入的密文序列进行再次加密,随机置换顺序,混合网络的输出也是一个ElGamal密文序列 ( α σ ( 1 ) ′ ′ , β σ ( 1 ) ′ ) , ( α σ ( 2 ) ′ ′ , β σ ( 2 ) ′ ) , ⋯   , ( α σ ( k ) ′ , β σ ( k ) ) (\alpha'_{\sigma(1)'},\beta'_{\sigma(1)}),(\alpha'_ {\sigma(2)'},\beta'_{\sigma(2)}), \cdots,(\alpha_{\sigma(k)'},\beta_{\sigma(k)}) (ασ(1),βσ(1)),(ασ(2),βσ(2)),,(ασ(k),βσ(k))其中 ( α i ′ ′ , β i ′ ) (\alpha'_{i'}, \beta'_ {i}) (αi,βi) 表示 ( α i , β i ) (\alpha_{i},\beta_{i}) (αi,βi) 的随机再次加密结果, σ \sigma σ 表示在 k k k个元素上的随机置换。

2. PET协议

假设 ( α , β ) (\alpha,\beta) (α,β) ( α ′ , β ′ ) (\alpha',\beta') (α,β)分别表示 m 1 , m 2 m_{1},m_{2} m1,m2 使用ElGamal加密方案加密后的密文,参与相同明文测试协议的参与者在不解密的情况下通过执行协议判断 ( α , β ) (\alpha,\beta) (α,β) ( α ′ , β ′ ) (\alpha',\beta') (α,β)所对应的明文是否相同。

考虑密文 ( ε , ζ ) = ( α / α ′ , β / β ′ ) (\varepsilon,\zeta) = (\alpha/\alpha',\beta/\beta') (ε,ζ)=(α/α,β/β),如果 ( α , β ) ≡ ( α ′ , β ′ ) (\alpha, \beta)\equiv(\alpha',\beta') (α,β)(α,β),则 ( ε , ζ ) ( \varepsilon, \zeta) (ε,ζ) 表示明文 1 1 1加密后的密文。

PET(Plaintext Equivalence Test) 协议的基本思路是让协议的参与者 P i P_{i} Pi使用如下的方法隐藏 ( ε , ζ ) (\varepsilon, \zeta) (ε,ζ):

P i P_{i} Pi选择 z i ∈ Z q z_{i} \in Z_{q} ziZq ,然后计算 ( ε i , ζ i ) = ( ε z i , ζ z i ) (\varepsilon_ {i}, \zeta_ {i}) = (\varepsilon^{z_{i}},\zeta^{z_{i}}) (εi,ζi)=(εzi,ζzi)

  • 如果 ( α , β ) ≡ ( α ′ , β ′ ) (\alpha, \beta)\equiv(\alpha',\beta') (α,β)(α,β) ( ε , ζ ) (\varepsilon, \zeta) (ε,ζ)代表 1 1 1加密后的密文,则 ( ε i , ζ i ) (\varepsilon_ {i}, \zeta_ {i}) (εi,ζi)仍是 1 1 1加密后的密文
  • 如果 ( α , β ) ≠ ( α ′ , β ′ ) (\alpha, \beta)\neq (\alpha',\beta') (α,β)=(α,β) ( ε , ζ ) (\varepsilon, \zeta) (ε,ζ)代表 m 1 / m 2 m_{1}/m_{2} m1/m2 加密后的密文,由于 z i z_{i} zi 是一个随机数,所以 ( ε i , ζ i ) (\varepsilon_ {i}, \zeta_ {i}) (εi,ζi)是一个随机数加密后的密文。

执行过程如下:

  • (1)每个协议参与者 P i P_ {i} Pi选择 z i z_ {i} zi P i P_{i} Pi 对选择的 z i z_{i} zi公布一个Pedersen承诺, C i = g z i h r i C_{i}=g^{z_i}h^{r_i} Ci=gzihri,其中 r i ∈ Z q r_{i} \in Z_{q} riZq h h h Z q Z_{q} Zq的一个生产元, log ⁡ g h \log_{g}h loggh对所有的参与者都是未知的。
  • (2)每个 P i P_ {i} Pi计算 ( ε i , ζ i ) = ( ε z i , ζ z i ) (\varepsilon_ {i}, \zeta_ {i}) = (\varepsilon^{z_{i}},\zeta^{z_{i}}) (εi,ζi)=(εzi,ζzi),然后广播 ( ε i , ζ i ) (\varepsilon_ {i}, \zeta_ {i}) (εi,ζi)
  • (3)每个 P i P_ {i} Pi向其他参与者证明 ( ε i , ζ i ) (\varepsilon_ {i}, \zeta_{i}) (εi,ζi)是与 C i C_{i} Ci 相关的并且是正确计算的。需要使用零知识证明协议证明他知道一个二元组 ( z i , r i ) (z_ {i}, r_{i}) (zi,ri),使得 C i = g z i h r i C_{i}=g^{z_i}h^{r_i} Ci=gzihri ,并且 ε i = ε z i , ζ i = ζ z i \varepsilon_{i}=\varepsilon ^ {z_ {i}},\zeta_{i}=\zeta^{z_i} εi=εzi,ζi=ζzi
  • (4)协议的参与者共同计算 ( γ , δ ) = ( ∏ n i = 1 ε i , ∏ n i = 1 ζ i (\gamma,\delta)=(\prod^{i=1}_{n}\varepsilon_ {i}, \prod^{i=1}_{n}\zeta_{i} (γ,δ)=(ni=1εi,ni=1ζi,并解密 ( γ , δ ) (\gamma,\delta) (γ,δ)
  • (5)如果解密结果是 1 1 1,则 ( α , β ) ≡ ( α ′ , β ′ ) (\alpha, \beta)\equiv(\alpha',\beta') (α,β)(α,β);如果解密结果不为 1 1 1,则 ( α , β ) ≠ ( α ′ , β ′ ) (\alpha, \beta)\neq (\alpha',\beta') (α,β)=(α,β)

3. Mix-Match协议

使用 B i = { b i 1 , b i 2 , ⋯   , b i k } B_{i}=\{b_{i1},b_{i2},\cdots,b_ {ik}\} Bi={bi1,bi2,,bik}表示参与者 P i P_{i} Pi的输入,基于Mix-Match的安全多方计算协议目标就是正确计算
f ( B 1 , B 2 , ⋯   , B n ) f(B_{1}, B_ {2},\cdots,B_{n}) f(B1,B2,,Bn),同时保证 P i P_{i} Pi的输入 B i B_{i} Bi的保密性。

执行步骤如下:

(1)构建门电路

计算之前,所有协议的参与者将需计算的函数 f f f用一个由若干门电路组成的单向图 C f C_f Cf来表示。假设 C f C_{f} Cf N N N个门电路组成,记作 G 1 , G 2 , ⋯   , G N G_ {1},G_{2},\cdots, G_{N} G1,G2,,GN 。不失一般性,假设每个门电路 G i + 1 G_{i+1} Gi+1都比 G i G_{i} Gi深,也就是说每个门电路的计算应该按照顺序从 G 1 G_{1} G1 G N G_{N} GN G N G_{N} GN的输出就是整个电路 C f C_{f} Cf的输出。

(2)生成逻辑表

为描述简单起见,假定所有的门电路 G i G_{i} Gi都只有两个输入值,一个输出值,并且输入值和输出值都可以用一个位来表示。

使用逻辑表 T i T_{i} Ti 表示 C f C_{f} Cf中的门电路 G i G_{i} Gi,由于假定 G i G_{i} Gi都是二进制的门电路,则 T i T_{i} Ti是一个4行3列的表。例如, G i G_{i} Gi是一个AND门,则 T i T_{i} Ti如下表所示。

左输入 右输入 输出
0 0 0
0 1 0
1 0 0
1 1 1

可以看出, T i T_{i} Ti为一个标准的真值表,包含所有可能的输入与输出。 T i ( u , v ) T_{i}(u,v) Ti(u,v)表示逻辑表 T i T_{i} Ti u u u v v v列的值。

(3)输入阶段

所有协议参与者中使用秘密分享方案分享系统的私钥,系统的公钥是公开的。协议参与者 P i P_i Pi将自己的输入 B i B_i Bi使用公钥随机加密(如ElGamal加密方案),广播加密结果(或贴上公告牌)。

(4)混合阶段(Mix)

使用MN对 T i T_{i} Ti进行混合,隐秘,随机置换。经过MN作用后,输出盲表 T 1 ˉ , T 2 ˉ , ⋯   , T N ˉ \bar{T_{1}},\bar{T_{2}},\cdots,\bar{T_{N}} T1ˉ,T2ˉ,,TNˉ T i ˉ \bar{T_{i}} Tiˉ表示经过MN混合网络加密、隐秘、随机置换后的逻辑盲表(只有随机行置换,列的顺序不变)。

(5)匹配阶段(Match)

每个协议参与者使用PET协议将加密的输入与混合后的逻辑表进行比较,即查表。和普通的查表不一样的地方在于,Match比较的是密文,所以要使用PET协议,查完一个盲表即是计算了一个门电路,每个参与者依次计算所有的门电路即可得到函数的输出,这个输出也是加密的。

对于组成 C f C_{f} Cf的门电路 G 1 , G 2 , ⋯   , G N G_{1},G_ {2},\cdots,G_ {N} G1,G2,,GN,协议的每个参与者 P i P_{i} Pi独立的进行如下计算:假设 l i l_{i} li r i r_{i} ri分别表示 G i G_{i} Gi输入的密文, P i P_{i} Pi使用PET协议对二元组 ( l i , r i ) (l_{i},r_{i}) (li,ri) T i ˉ \bar{T_{i}} Tiˉ中的每一行的前两项进行比较。

如果 P E T ( l i , T i ˉ [ u , 1 ] ) = 1 PET(l_{i},\bar{T_{i}}[u,1])=1 PET(li,Tiˉ[u,1])=1 P E T ( r i , T i ˉ [ u , 2 ] ) = 1 PET(r_{i},\bar{T_{i}}[u,2])=1 PET(ri,Tiˉ[u,2])=1,则 G i G_{i} Gi的输出应该是 T i ˉ [ u , 3 ] \bar{T_{i}}[u,3] Tiˉ[u,3] P i P_{i} Pi分别对 u = 1 , 2 , 3 , ⋯ u=1,2,3,\cdots u=1,2,3,进行比较,直到发现匹配的一行为止。

(6)输出阶段

计算完 G N G_{N} GN后, P i P_{i} Pi得到了 O N O_{N} ON,即 G N G_{N} GN的输出,这个输出结果也是 f f f的输出结果。所有协议的参与者 P i P_{i} Pi共同解密 O N O_{N} ON,即可得到正确的计算结果。

如果参与者 P i P_{i} Pi提供了错误的输入,即该参与者所提供的输入密文不对应任何一个有效的位,则匹配一个 T i ˉ \bar{T_{i}} Tiˉ就会找不到匹配的行,由此可发现 P i P_{i} Pi提供了错误的输入。其他参与者发现 P i P_{i} Pi有欺诈行为后,可将 P i P_{i} Pi驱逐出协议的执行,有正确性行协议的参与者一起重新执行协议。Mix-Match 协议的安全性在很大程度上依赖于混合网络的安全性。

Mix-Match协议可以比较容易地扩展到非二进制门电路的形式,如果 G i G_{i} Gi j j j个输入,则 G i G_{i} Gi对应的逻辑表的输人部分也有 j j j列,相应的, T i T_{i} Ti应该有 2 j 2^{j} 2j行。如果 G i G_{i} Gi需要不止一个输出,则扩展 G i G_{i} Gi对应的逻辑表 T i T_{i} Ti,使 T i T_{i} Ti的输出部分具有多个值即可。如果 C f C_{f} Cf需要多个值的输出,则只需简单地将最后的若干门电路 G N − k ′ , G N − k + 1 ′ , … , G N G_{N-k^{\prime}},G_{N-k+1'}, \ldots, G_{N} GNk,GNk+1,,GN的输出作为 C f C_{f} Cf的输出,在输出阶段进行多次共同解密即可。

使用Mix-Match的协议所需要传输的信息量较少,广播传输的信息量是 O ( n N ) Ο(nN) O(nN),其中 n n n是协议参与者的数量, N N N是需要计算的函数被表示为门电路之后电路中门的数量。

4. 百万富翁问题的Mix-Match解决方案

问题描述

Alice拥有财富为A,Bob拥有财富为B,其中 A = a 1 a 2 , B = b 1 b 2 A=a_1a_2,B=b_1b_2 A=a1a2,B=b1b2,Alice与Bob需要在不泄露 A , B A,B A,B的前提下,计算 F ( A , B ) F(A,B) F(A,B) F ( A , B ) = { 0        i f    A = B 1        i f    A > B 2        i f    A < B F(A,B)= \begin{cases} 0 \;\;\; if \; A=B \\ \\1 \;\;\; if \; A>B \\ \\2 \;\;\; if \; A<B \end{cases} F(A,B)= 0ifA=B1ifA>B2ifA<B

(1)构建门电路

F ( A , B ) F(A,B) F(A,B)可以通过包含3个门 G 1 , G 2 , G 3 G_1,G_2,G_3 G1,G2,G3的两层门电路来构造。其中 G 1 , G 2 G_1,G_2 G1,G2构成第一层, G 1 G_1 G1的输入为 a 1 , b 1 a_1,b_1 a1,b1,输出为 o 1 o_1 o1 G 2 G_2 G2的输入为 a 2 , b 2 a_2,b_2 a2,b2,输出为 o 2 o_2 o2 G 3 G_3 G3构成第二层,输入为 o 1 , o 2 o_1,o_2 o1,o2,输出为 F ( A , B ) F(A,B) F(A,B)

安全多方计算之八:Mix-Match
(2)生成逻辑表

G 1 , G 2 , G 3 G_1,G_2,G_3 G1,G2,G3生成逻辑表 T 1 , T 2 , T 3 T_1,T_2,T_3 T1,T2,T3(包含所有输入及对应输出),其中 o 1 , o 2 o_1,o_2 o1,o2的输出逻辑与 F ( A , B ) F(A,B) F(A,B)一致。 o i ( i = 1 , 2 ) = { 0        i f    a i = b i 1        i f    a i > b i 2        i f    a i < b i o_i(i=1,2) = \begin{cases} 0 \;\;\; if \; a_i=b_i \\ \\1 \;\;\; if \; a_i>b_i \\ \\2 \;\;\; if \; a_i<b_i \end{cases} oi(i=1,2)= 0ifai=bi1ifai>bi2ifai<bi针对逻辑表 T 1 , T 2 , T 3 T_1,T_2,T_3 T1,T2,T3,需要对其进行编码,确保每组输入都是被唯一定义的。编码规则如下:

L i L_i Li L i ′ {L_i}' Li R i R_i Ri R i ′ {R_i}' Ri F ( A , B ) F(A,B) F(A,B) e ( F ( A , B ) ) e(F(A,B)) e(F(A,B))
0 1 0 4 0 7
1 2 1 5 1 8
2 3 2 6 2 9

如,针对 G 1 G_1 G1的输入 a 1 = 0 , b 1 = 0 a_1=0,b_1=0 a1=0,b1=0,对应表中的 L i = 0 , R i = 0 L_i=0,R_i=0 Li=0,Ri=0将会被分别编码为 L i ′ = 1 , R i ′ = 4 {L_i}'=1,{R_i}'=4 Li=1,Ri=4。因此针对 a 1 = 0 , b 1 = 0 a_1=0,b_1=0 a1=0,b1=0,将其转换为对应编码的乘积 1 × 4 = 4 1\times 4 =4 1×4=4

安全多方计算之八:Mix-Match
(3)输入阶段

Alice与Bob使用秘密分享方案分享系统的私钥,系统的公钥是公开的。并将自己的输入 A = a 1 a b , B = b 1 b 2 A=a_1a_b,B=b_1b_2 A=a1ab,B=b1b2使用公钥随机加密,广播加密结果(或贴上公告牌)。

(4)混合阶段(Mix)

使用MN对 T 1 , T 2 , T 3 T_{1},T_{2},T_{3} T1,T2,T3进行混合,隐秘,随机置换,输出盲表 T 1 ˉ , T 2 ˉ , T N ˉ \bar{T_{1}},\bar{T_{2}},\bar{T_{N}} T1ˉ,T2ˉ,TNˉ

(5)匹配阶段(Match)

Alice与Bob使用PET协议将加密的输入与混合后的逻辑表进行比较,依次计算所有的门电路,即得到对应的输出。

(6)输出阶段

Alice与Bob然后共同解密得到结果。文章来源地址https://www.toymoban.com/news/detail-414272.html

到了这里,关于安全多方计算之八:Mix-Match的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 第162篇 笔记-安全多方计算

    一、主要概念 安全多方计算 (Secure Multi-Party Computation):指多个参与者在不泄露各自隐私数据情况下,利用隐私数据参与保密计算,共同完成某项计算任务。 该技术能够满足人们利用隐私数据进行保密计算的需求,有效解决数据的“保密性”和“共享性”之间的矛盾。多方

    2024年02月03日
    浏览(39)
  • 隐私计算论文合集「多方安全计算系列」第一期

    当前,隐私计算领域正处于快速发展的阶段,涌现出了许多前沿的 SOTA算法 和备受关注的 顶会论文 。为了方便社区小伙伴学习最新算法、了解隐私计算行业最新进展和应用,隐语开源社区在GitHub创建了Paper推荐项目awesome-PETs(PETs即Privacy-Enhancing Technologies , 隐私增强技术 )

    2024年02月09日
    浏览(44)
  • 华为安全专家带你入门安全多方计算

    6月8日(本周四) 19:00—21:00 ,华为安全专家带你入门安全多方计算,欢迎参加! 考虑以下应用场景: Alice认为她可能患有某种遗传病,Bob有一个包含DNA模式与各类疾病的数据库。Alice可将她的DNA序列交给Bob得到诊断结果。然而,Alice不想泄露自己的DNA序列,也不想Bob及其他人

    2024年02月08日
    浏览(50)
  • 【安全多方计算】百万富翁问题

    ​ 百万富翁问题是姚期智先生在1982年提出的第一个安全双方计算问题,两个百万富翁街头邂逅,他们都想炫一下富,比比谁更有钱,但是出于隐私,都不想让对方知道自己到底拥有多少财富,所以要在不借助第三方的情况下,知道他们之间谁更有钱。 ①这里假设Alice和Bob就是

    2024年02月05日
    浏览(43)
  • 百万富翁问题--安全多方计算

    百万富翁问题—安全多方计算 是由图灵奖获得者姚期智提出的。 有A、B两个富翁,A资产i亿元,B资产j亿元,i、j均在0-10范围内,在互不让对方知道自己资产的情况下,比较A和B的资产谁多谁少。 那么如何去比较呢? 这里放十个箱子: 如果A有i亿元,那么A将第i个箱子之前的

    2024年02月04日
    浏览(36)
  • 多方安全计算破解企业数据互信难题

    所谓 多方安全计算 ,最初是为解决一组互不信任的参与方之间在保护隐私信息以及没有可信第三方的前提下协同计算问题而提出的理论框架。 当企业之间进行数据相关的合作时,随之而来就涉及到数据泄露的问题。因此,如何兼顾“数据价值共享”和“隐私保护”,成为当

    2023年04月16日
    浏览(39)
  • 安全多方计算之七:门限密码系统

    门限密码系统由分布式密钥生成算法、加密算法、门限解密算法三部分构成,定义如下: (1)分布式密钥生成 :这是一个由参与者共同生成公钥 y y y 的协议,协议运行结束后,每个参与者将获得一个关于私钥 x x x 的碎片、对应于该碎片的公钥密钥 y i y_i y i ​ ,以及与私钥

    2024年01月19日
    浏览(48)
  • 联邦学习中的安全多方计算

    Secure Multi-party Computation in Federated Learning 安全多方计算就是许多参与方需要共同工作完成一个计算任务或者执行一个数学函数,每个参与方针对这个执行构建自己的数据或份额,但不想泄露自己的数据给其他参与方。 在安全多方计算中的定义包括以下几个方面: 一组有私有输

    2024年02月11日
    浏览(43)
  • 安全多方计算之九:不经意传输

    考虑这样的场景:A意欲出售许多个问题的答案,B打算购买其中一个问题的答案,但又不想让A知道他买的哪个问题的答案。即B不愿意泄露给A他究竟掌握哪个问题的秘密,此类场景可通过不经意传输协议实现。 不经意传输(OT,Oblivious Transfer)又称健忘传输或茫然传输,由Rabin于

    2023年04月16日
    浏览(36)
  • 【多方安全计算】差分隐私(Differential Privacy)解读

    差分隐私(Differential privacy)最早于2008年由Dwork 提出,通过严格的数学证明,使用随机应答(Randomized Response)方法确保数据集在输出信息时受单条记录的影响始终低于某个阈值,从而使第三方无法根据输出的变化判断单条记录的更改或增删,被认为是目前基于扰动的隐私保护

    2024年02月06日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包