隐私比较是指在不暴露双方具体数值的前提下,获取双方数值的大小关系。最早起源于姚期智的百万富翁问题:有两个百万富翁想要比较下谁更富有,但是又不想透露自己有多少钱,如何在没有可信第三方的情况下进行比较?这个问题是由中国第一个也是目前为止唯一一个图灵奖获得者姚期智在1980年代提出的,他是中国计算机学术和教育的第一人,为现代密码学打开了一道新的大门。
在之前的文章《优雅的求职——隐私比较算法实例》中已经通过求职案例介绍了隐私比较的应用场景以及如何实现,本文则主要介绍一种在当前效率比较高的隐私比较协议。
该协议是CrypTFlow2:Practical2-PartySecureInference中提出的一个子协议,并基于此协议实现DRelu激活函数应用于神经网络中。
--相关技术--
该协议主要使用了布尔秘密分享和不经意传输两种技术进行构建:
▲?不经意传输
不经意传输(OT,ObliviousTransfer)是指数据发送方有n个数据,数据接收方接收其中的一个数据,且数据接收方不能获取其他的数据,数据发送方也不知道接收方选择接收的数据具体是哪一个。在之前的文章《基于安全多方计算(MPC)的隐私计算技术(一)》中已介绍过一种实现方案,故本文不再赘述。
IMF:加密货币与亚洲股市相关性显著上升,监管机构需解决“数据差距”:金色财经报道,8月21日,国际货币基金组织(IMF)发布文章称,亚洲地区加密货币交易量与股票市场的连动性现已大幅增长,由此凸显出监管的必要性。IMF表示,世界上很少有地方像亚洲那样接受加密货币资产,亚洲的顶级用户包括印度、越南和泰国等国的个人和机构投资者,这就引出了一个重要的问题,即加密货币融入亚洲金融体系的程度。
随着亚洲投资者扎堆进入加密货币,该地区股市表现与比特币和以太坊等加密货币资产之间的相关性有所提高。虽然在疫情之前,比特币和亚洲股票市场间的回报和波动相关性较低,但自2020年以来,此相关性已显著上升。
如,比特币与印度股市的回报相关性在新冠疫情期间增加了10倍,这表明加密货币的风险分散收益有限,而波动性相关性增加了3倍,表明加密货币和股票市场的风险情绪可能会溢出。
IMF认为,亚洲加密货币和股票市场互联性增强的关键驱动因素可能包括股市和场外交易市场对加密货币相关平台和投资工具的接受程度不断提高,或者更普遍地说,亚洲散户和机构投资者对加密货币的接受程度不断提高,其中许多人在股票和加密货币市场均有头寸。[2022/8/22 12:40:57]
▲?布尔秘密分享
Shib:CMC同意与Shib团队一起解决“虫洞”地址相关问题:1月19日消息,Shiba Inu官方推特账号提供了最近CoinMarketCap事件的更新,Shiba官方表示,CMC已经联系了Shiba Inu的开发团队,以解决最近与“虫洞”地址相关的问题。此前消息,1月14日,Shib官方发推表示,CMC上架三款虚假SHIB合约地址,并拒绝沟通,后CMC迅速发表声明,澄清这些实际上是用于跨链交易的虫洞桥梁,带有代币的包装版本。因此,有问题的地址不是恶意的,它们实际上是为了改善用户体验。(U.today)[2022/1/19 8:59:08]
在安全多方计算中会使用秘密分享将数据进行拆分后分享出去,每一方拿到每个数据的相应碎片,对于原始数据的计算逻辑都会转为对碎片的计算,在整个计算逻辑完成后,再将碎片的计算结果进行汇聚还原以获取原始数据的计算结果。
布尔秘密分享是指将一个布尔值b拆分成两个碎片b0、b1,将两个碎片汇聚到一起即可还原出原始数据b。
碎片生成:随机生成一个布尔值b0,并和b执行异或计算出b1=b0⊕b
碎片还原:对两个碎片执行异或操作
b=b0⊕b1
异或运算:布尔秘密分享在异或操作上是满足同态性质的,在本地通过对碎片进行异或操作再还原就等价于对原始数据的异或操作
V神发布旨在解决“大区块链”中心化和信任问题的路线图:12月6日,以太坊创始人V神(Vitalik Buterin)发布文章《Endgame(最后阶段)》。考虑到一般的“大区块链”,即非常高的区块频率、非常大的区块规模、每秒数千笔交易,但也高度中心化的区块链,V神称,至少按照其标准,如何才能使这样的链可接受的无需信任和抗审查?文章提出了一个合理的路线图:1.添加第二层质押,以进行分布式区块验证;2.引入欺诈证明或ZK-SNARK,让用户直接(且低成本地)检查区块有效性;3.引入数据可用性采样,让用户检查区块可用性;4.添加二级交易渠道以防止审查。对于以太坊Rollup的未来,V神表示,没有任何一个Rollup能成功地与大多数以太坊活动保持一致。相反,它们都以每秒几百笔交易的速度达到极限。我们得到一个以太坊的多Rollup的未来,即Cosmos的多链愿景,但是在一个提供数据可用性和共享安全性的基础层之上,用户可以依靠跨Rollup桥接在不同Rollup之间切换,而不需要支付主链上的高额费用。这一切可能需要数年时间才能实现。人们需要数年的改进和审计才能完全放心地将其资产存储在运行完整EVM的ZK-Rollup中,跨域MEV研究也仍处于起步阶段。但是,可扩展区块链的现实而光明的未来可能会出现,这一点看起来越来越清晰。[2021/12/7 12:55:20]
a=a0⊕a1,b=b0⊕b1
动态 | Fetch.AI尝试全新方式解决“区块链三难困境”达成共识:今日,Fetch.AI透露了他们在“区块链不可能三角”挑战上的技术突破,以一种全新的方式达成共识。与现有平台相比,该协议采用一种股权证明(PoS)方案,实现了严格按照交易顺序以及更快速的确认时间和更高的安全性。
Fetch.AI研发主管Jonathan Ward表示:“区块链技术人员长期以来都明白,要在安全性、去中心化、可扩展性之间实现正确的平衡,面临着‘三难困境’。我们达成共识的新方法使用了离散的随机信标,这反过来又允许我们首次利用了真正分散的DAG和确定地交易排序。这意味着我们可以在不显著影响安全性、去中心化妥协的情况下,扩展目前的现有系统,实现在单个分片上每秒处理3万笔交易。”[2019/3/15]
a⊕b=(a0⊕b0)⊕(a1⊕b1)
与运算:布尔秘密分享对于与操作不满足同态性质,使用不经意传输技术以实现安全的与操作:
Alice持有碎片a0和b0,Bob持有碎片a1和b1,通过与运算使得Alice获取c0,Bob获取c1,c0⊕c1=(a0⊕a1)∧(b0⊕b1),并保证双方碎片的安全;
Alice作为不经意传输的发送方,随机生成一个布尔值r作为c0,并按下图生成不经意传输的输入:
华夏时报总编辑:区块链可解决“阴阳合同”“图片剽窃”等问题:在第二届中国(上海)区块链新金融高峰论坛上,华夏时报总编辑水皮称如果区块链的应用真的能得到很好的应用,各个行业都自觉采用这种底层加密技术,那么像“阴阳合同”“图片剽窃”等问题就能被杜绝。以版权为例,目前稿件被剽窃是很正常的事,文字进行随意组合后很难进行追踪。但对于图片盗版的问题,区块链技术可以有效将其解决。[2018/6/9]
Bob作为不经意传输的接收方将自己的碎片a1,b1拼接成a1||b1作为不经意传输的选择项获取数据r⊕((a0⊕a1)∧(b0⊕b1))作为c1;
可验证c0⊕c1=r⊕r⊕((a0⊕a1)∧(b0⊕b1))=(a0⊕a1)∧(b0⊕b1);
本质是将与运算的所有可能性罗列出来,加入随机项后由另一方根据自己的数据选择混淆后的计算结果。
--实现思路--?
▲明文比较
首先不考虑比较运算的隐私性,平常情况下两个数是如何比较大小的:
将两个数对齐为相同长度的数字数组,长度不够的则在前面补0a=123,b=5879,a=>,b=>
对两个数组里面的数字进行顺序比较,如果对应位的数字相等,则继续比较下一位,直到有一位不相等,最早不相等那位的比较结果即为两个数据的比较结果,若所有位的数字都相等,则两个数据相等。整个过程可归纳为以下公式:X,Y都是长度为n的数据,1{X,满足大括号内条件时为1否则为0
X=x0||x1||x2||...||x(n-1),Y=y0||y1||y2||...||y(n-1),xi,yi表示拆分后的第i位数据
Xi=xi||...||x(n-1),Yi=yi||...||y(n-1),用于表示去除前i-1位后的数据
1{X(1{x0=y0}∧1{X1<Y1})
1{X1
...
1{X(n-1)
▲不安全的隐私比较
如果要将上述比较方案转为隐私比较,最容易想到的方案是将两个最小比较单位的数的比较隐私化,在之前的文章《优雅的求职——隐私比较算法实例》中已经介绍过:对于两个最小比较单位的比较可通过不经意传输协议来完成。这样确实是保证了单个最小比较单位的安全性,但是对于某些情况,会暴露出数据的一些情况:
a=1230?b=1231,对于这两个数字的比较,如果b作为ot的接受方也就是最小比较单元数据比较结果的获取方,按照上述方案进行比较,会有两点额外信息被泄露:
1)在前几位相同的情况下:b会知道a的前三位是123;
2)两个最小单元的数据是最小单元范围的两端数据:b会知道a的最后一位是0;
而根据以上两个信息b甚至可以直接反推出a的数据,在这种情况隐私比较也就不隐私了。
▲?消除不安全
本论文中的隐私比较协议,整个比较思路和上面不安全的隐私比较是一致的,但是该协议引入了秘密分享技术,在通过不经意传输协议获取比较结果时发送方对每个数据都混淆上一个随机项,这样双方都不会获取到最小比较单元数据的比较结果,而是比较结果的碎片,并使用碎片按照明文比较的流程递归的进行比较,所有最小比较单元都比较完成后,再将比较结果的碎片进行还原以获取整个数据的比较结果。
由于最小单元的比较结果都是碎片,到比较结束才会还原递归计算的结果,就避免了获取最小比较单元比较结果导致的信息泄露。
--协议流程--
Alice拥有数据x,Bob拥有数据y,数据的二进制长度为l,最小比较单元的二进制长度为m,划分的最小比较单元个数为q=l/m,最小比较单元的十进制最大值为M=2^m-1
1)双方分别划分数据:x=x0||...||x(q-1),y=y0||...||y(q-1)
2)对于所有的最小比较单元xi(0<=i通过不经意传输获取每个最小比较单元比较结果的碎片
Alice作为不经意传输的发送方准备数据:随机生成布尔值_0,_0,分别作为xi是否小于和等于yi的布尔分享碎片,对于0<=j<=M,分别设置两个不经意传输实例的输入为:sij=_0⊕1{xi
tij=_0⊕1{xi=j}
Bob将yi作为输入分别执行两个不经意传输实例,获取两个比较结果的碎片:例如当m取2时,Alice的第一个最小比较单元x0=2,Bob的第一个最小比较单元y0=1,Alice随机生成_0,_0,并按下表生成两个不经意传输的输入:
Bob使用y0作为两个不经意传输的选择项,获取:
_1=0⊕_0,_1=0⊕_0
3)所有最小比较单元比较完成后,双方都获取了对应的最小比较单元间是否小于和是否等于的布尔分享碎片,即可按照明文比较流程,使用碎片递推计算出最终比较结果的碎片。
对于碎片的异或操作,只需要进行本地对碎片进行异或就行。对于碎片的与操作,则需要按照上面介绍的方案通过不经意传输计算出结果的碎片。
在递推过程中主要有两个地方需要执行与操作:
当前面所有比较单元相等,需要比较下一个时:1{x0||x1=y0||y1}∧1{x2<y2}
计算前面所有比较单元是否都相等时:1{x0||x1=y0||y1}=1{x0=y0}∧1{x1=y1}
--总结--
该协议整体思路和明文的比较流程一致,并使用不经意传输和秘密分享技术保证数据的隐私性,也是当前效率比较高的协议。
对于单个元素的比较,与运算的OT实例,无法通过OT扩展进行优化,因为需要进行递归的计算,前后有依赖关系。对于批量元素的比较则可在纵向对于相同位置与运算的OT实例通过OT扩展来优化效率。
作者简介
刘敬趣链科技数据网格实验室BitXMesh团队
参考文献
原论文:RatheeD,RatheeM,KumarN,etal.CrypTFlow2:Practical2-partysecureinference//Proceedingsofthe2020ACMSIGSACConferenceonComputerandCommunicationsSecurity.2020:325-342.
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。