研究 | 安全多方計算之混淆電路_LIC

導讀：混淆電路(GarbledCircuit),又稱姚氏電路(Yao’sGC)是由姚期智教授于1986年針對百萬富翁問題提出的解決方案。

它的核心技術是將兩方參與的安全計算函數編譯成布爾電路的形式，并將真值表加密打亂，從而實現電路的正常輸出而又不泄露參與計算的雙方私有信息。由于任何安全計算函數都可轉換成對應布爾電路的形式，相較其他的安全計算方法，具有較高的通用性，因此引起了業界較高的關注度。

混淆電路發展

姚氏電路是基于半誠實模型(semi-honest)的安全兩方計算(Two-Party-Security-Computation)。

簡單來說，可將整個計算過程分為兩個階段：

第一階段將安全計算函數轉換為電路，稱之為電路產生階段；

第二階段，利用OT、加密等密碼學原語等執行電路，稱之為執行階段。

每一階段由參與運算的一方來負責，直至電路執行完畢輸出運算后的結果。針對參與運算的雙方，從參與者的視角，又可以將參與安全運算的雙方分為電路的產生者(circuitgenerator)與電路的執行者(circuitevaluator)。

示意圖如下所示:

研究：俄羅斯加密騙局在2020年上半年增長三倍:網絡安全公司Kaspersky Labs研究發現，2020年上半年，俄羅斯與加密相關的詐騙呈指數級增長。研究人員確認了23000個涉及加密詐騙的網站，這些網站以新的受害者為目標，這一問題是去年同期的三倍。[2020/7/30]

▲?步驟一：電路產生階段

參與運算的雙方先就需要安全計算的目的依靠專有編程語言(DSL)或相關編程語言擴展等進行編程，然后針對實現計算的程序進行編譯，生成布爾電路文件;

然后針對雙方輸入值以及中間輸出結果隨機產生映射label,再利用這些label做為key對每個對應的電路輸出真值表采用分組密碼方式進行加密，并對真值表值進行打亂操作，這一步就是混淆電路的概念。

▲?步驟二：電路執行階段

電路執行者針對布爾電路文件進行執行，執行時電路生成者需要將自己的輸入所對應的label發給電路執行者；電路執行者依據自己所有信息通過OT方式選擇自己對應的label，這樣電路生成者與執行者均不到對方的輸入數據；電路執行者此時獲取雙方輸入對應的label,作為key的相關信息對真值表進行解密，即可獲取真值表的內容，循環往復，直至所有電路執行完畢，輸出執行結果。

Gate.io研究院發布《風險對沖——期權交易的保護傘》研究報告:據官方公告，今日Gate.io研究院發布最新報告《風險對沖——期權交易的保護傘》，報告從期權的風險來源出發，詳細闡述了目前金融市場的主流風險對沖策略。由于期權收益與波動率變化高度相關，為了較好的預測未來波動率的變化，報告選擇了目前熱門的LSTM（神經網絡）模型對比特幣價格波動率進行建模，并發現該模型對波動率預測具有一定效果。詳情點擊原文鏈接。[2020/7/26]

姚氏電路是第一個安全兩方計算協議，后續大多數安全地計算布爾電路/算術電路的安全多方計算協議都是基于姚氏混淆電路進行擴展的。

比較常見有GMW/CCD/BGW/BMR等,這些協議將姚氏協議支持的兩方安全計算擴展到多方安全計算；將布爾電路擴展到算術電路；將安全模型由半誠實模型擴展到惡意模型，以抵抗一定數量惡意敵手攻擊。

上期文章已經就兩方安全計算混淆電路進行介紹，我們在此基礎上介紹下支持多方安全計算協議GMW。

GMW協議介紹

GMW協議是由Goldreich等人提出，支持多方(2+)安全計算，它不但支持布爾電路還支持算術電路。但與姚氏電路協議略有不同，電路評估時不再使用混淆的真值表，而是在本地直接進行計算，這樣大大節省混淆真值表帶來的解密操作，節省比較多的計算量。

中國電子信息產業發展研究院王哲：加快區塊鏈應用探索:中國電子信息產業發展研究院世界工業研究所人工智能研究室主任王哲建議，要深化大數據技術融合應用，加快推動工業互聯網大數據資源合作共享，共建共用安全可信的工業數據空間；推動邊緣智能和云平臺協同發展，著力打造“國家中心+分中心”的工業云平臺建設布局，推動建立國家工業互聯網大數據中心。同時加快區塊鏈應用探索，促進分布式合約的應用，建設跨行業、跨領域平臺聯盟鏈，推動平臺間互聯互通。（經濟日報）[2020/7/9]

GMW協議采用秘密分享及OT等常見的加密原語，可將整個計算過程分為三個階段:

▲?秘密分享階段

參與運算的多方將自己的私有數據采用線性秘密分享方式對參與運算的多方進行秘密分享，保證每一個參與方都可以獲得自己秘密的分量。

▲?電路執行階段

將接收到的每個秘密分量輸入到電路中，本地逐門執行電路(AND門需要再執行OT協議)，重復此過程，直到所有門都執行完成，獲得結果的分量。

▲?結果廣播再計算

每一方將最后的執行結果廣播出來，各參與方獲得各個參與方結果分量后求取最終結果。

舉例分析

參與運算的雙方有Alice和Bob：

火幣研究院發布“區塊鏈+數字身份”報告 探索數字經濟發展:2020年5月9日，火幣研究院與中國數字經濟百人會可信數字城市專項工作組、太一云（430070）聯合發布主題為《區塊鏈數字身份：數字經濟時代基礎設施》的研究報告（下稱“報告“）。

報告闡述了傳統數字身份面臨的主要問題，從區塊鏈與互聯網的技術特征、應用難點等方面進行了具體分析，并對現有區塊鏈技術在數字身份的應用eID數字身份鏈等案例進行了梳理，最后對區塊鏈數字身份的應用方向提出了思考。

火幣中國CEO兼火幣研究院院長袁煜明表示，區塊鏈可以提供分布式的信任環境，能夠協助安全身份認證和身份隱私保護，是數字經濟時代基礎設施。報告詳情請見原文鏈接。[2020/5/9]

Alice擁有私密信息u，將秘密進行加法秘密分享(additivesecretsharing)后，使得⊕=u，可以看作u的秘密分量，Alice將發給Bob；

Bob擁有私密信息v，將秘密進行分拆后，使得⊕=v,可以看作v的秘密分量，Bob將秘密分量發給Alice。

這樣Alice與Bob都擁有彼此的秘密分量，如下表所示:

PartyAlice_shareBob_sharecommentsAliceAliceholdssharesBobBobholdsshares

中國宏觀經濟問題與政策研究著名學者王福重：比特幣已經是世界主要貨幣 政府也會買一部分:中國宏觀經濟問題與政策研究著名學者王福重在回答關于比特幣的問題時表示：現在比特幣已經是世界主要貨幣了，按交易量排在第二十位，以后會更高。兩類人，一類挖礦成功的人，一類買入的。政府也會買一部分。[2017/12/22]

uv

(1)布爾電路之XOR(相當于加法)

Alice與Bob安全計算和(異或門)，表示成電路形式如下所示:

Alice和Bob進行秘密分享后，Alice與Bob獲取的秘密分量及計算電路如下所示:

Alice與Bob分別在本地執行此電路:

Alice：u1⊕v1?=w1

Bob：u2⊕v2?=w2

Alice與Bob分別將執行電路后的結果分量廣播出去，本地計算后獲取最終結果:

w1⊕w2?=(u1⊕v1)⊕(u2⊕v2)

=(u1⊕u2)⊕(v1⊕v2)?(異或滿足交換律)

=u⊕v

(2)布爾電路之AND(相當于乘法)

Alice與Bob安全計算乘積(and門)，其表示成電路的形式如下所示:

Alice和Bob進行秘密分享后，Alice與Bob獲取的秘密分量及計算電路如下所示:

Alice本地計算AND門時，求得u1v1

Bob本地計算AND門時，求得u2v2

可以發現還缺少其他分量u1v2⊕?v1u2，此時GMW協議構造1-4OT進行計算，Alice作為sender,擁有變量u1,v1，Bob擁有選擇bit變量u2和v2，作為receiver。

記T=(u1v2)⊕(v1u2)，Alice在構造1-4OT時，對真值表加了干擾σ⊕T，這樣做的目的主要是防止Bob根據T的結果推測出Alice的秘密分量u1。

經過1-4OT后，雙方值情況如下:

Alice計算得到的值為:u1v1⊕σ

Bob計算得到的值為:u2v2⊕σ⊕T

Alice與Bob分別將本方的結果分量廣播出去，本地計算后獲取最終結果:

w=u1v1⊕σ⊕u2v2⊕σ⊕T

=u1v1⊕u2v2⊕T

=u1v1⊕u2v2⊕(u1v2⊕v1u2)

=(u1+u2)⊕(v1+v2)

三方或者更多方擴展

(1)異或門(XOR)

各參與方獲得各個分量后本地執行電路，與兩方計算類似，然后廣播自己本地計算結果，當收集全各個參與方自己計算結果時再計算最終結果。

(2)與門(AND)

c=a∧b，a1...an,b1..bn代表a,b分量

每個參與方本地計算ai⊕bi，然后每兩個參與方相互組合計算ai⊕bj

最后各參與方廣播自己最終本地計算結果(a∧b分量)，求得最終安全計算結果a∧b

總結

混淆電路的優化可以分為兩個方面：

一方面：電路優化(circuitoptimization)，主要是減少編譯后電路的size，常用技術有free-xor/Garbledrowreduction/Circuitsimplification等；

另一方面：執行階段優化，常用的技術有fasttablelookup(減少解密混淆真值表次數)和pipelinedcircuitexecution(將原來電路的產生與執行兩階段轉換成一個階段，一邊產生一邊執行電路，這樣可以提高安全計算的效率)。?

基于姚氏混淆電路進行擴展的協議與方法，大多已不再使用混淆真值表的做法，只保留電路的形式，且為了擴展至多方(2+)安全計算,普遍采用秘密分享/不經意傳輸等技術。

相較其他安全計算方案，混淆電路是一種比較通用的解決方案，安全性相對高，但其性能一般，尤其是當參與運算多方數目超過3+且數據量較大時，安全計算的過程中通信量會比較大(兩方各1000個數據情況下求PSI通信量可達到GB數量級)，特別不適合帶寬受限或WAN網絡環境下使用。

所以業內給混淆電路的評價是“efficientbutexpensive”，有效但計算代價比較高。

作者簡介

滕海明

來自趣鏈科技數據網格實驗室BitXMesh算法研究團隊

研究方向：數據安全

Tags：ALICEALIICELICalice幣發行量ICEBTpubliccurrency

BNB價格