LIC:研究 | 安全多方計算之混淆電路_ICE

導讀：混淆電路(GarbledCircuit),又稱姚氏電路(Yao’sGC)是由姚期智教授于1986年針對百萬富翁問題提出的解決方案。

它的核心技術是將兩方參與的安全計算函數編譯成布爾電路的形式，并將真值表加密打亂，從而實現電路的正常輸出而又不泄露參與計算的雙方私有信息。由于任何安全計算函數都可轉換成對應布爾電路的形式，相較其他的安全計算方法，具有較高的通用性，因此引起了業界較高的關注度。

混淆電路發展

姚氏電路是基于半誠實模型(semi-honest)的安全兩方計算(Two-Party-Security-Computation)。

簡單來說，可將整個計算過程分為兩個階段：

第一階段將安全計算函數轉換為電路，稱之為電路產生階段；

第二階段，利用OT、加密等密碼學原語等執行電路，稱之為執行階段。

每一階段由參與運算的一方來負責，直至電路執行完畢輸出運算后的結果。針對參與運算的雙方，從參與者的視角，又可以將參與安全運算的雙方分為電路的產生者(circuitgenerator)與電路的執行者(circuitevaluator)。

示意圖如下所示:

支付寶與敦煌美術研究所共同推出兩款基于螞蟻鏈發行的付款碼皮膚 NFT:支付寶與敦煌美術研究所共同推出基于兩款螞蟻鏈發行的付款碼皮膚NFT，每款NFT限量8000份，售價為10支付寶積分+9.9元，目前兩款NFT均被搶光。據支付寶使用規則顯示，該NFT發行方為杭州鮮活萬物品牌管理有限公司，NFT版權由發行方或原作者所有，除另取得版權所有者書面同意外，不得將NFT用于任何商業用途。[2021/6/23 23:58:42]

▲?步驟一：電路產生階段

參與運算的雙方先就需要安全計算的目的依靠專有編程語言(DSL)或相關編程語言擴展等進行編程，然后針對實現計算的程序進行編譯，生成布爾電路文件;

然后針對雙方輸入值以及中間輸出結果隨機產生映射label,再利用這些label做為key對每個對應的電路輸出真值表采用分組密碼方式進行加密，并對真值表值進行打亂操作，這一步就是混淆電路的概念。

▲?步驟二：電路執行階段

電路執行者針對布爾電路文件進行執行，執行時電路生成者需要將自己的輸入所對應的label發給電路執行者；電路執行者依據自己所有信息通過OT方式選擇自己對應的label，這樣電路生成者與執行者均不到對方的輸入數據；電路執行者此時獲取雙方輸入對應的label,作為key的相關信息對真值表進行解密，即可獲取真值表的內容，循環往復，直至所有電路執行完畢，輸出執行結果。

聲音 | 經濟參考報：針對區塊鏈等的17項金融行業標準已經立項，正在加緊研究制定:11月27日，經濟參考報刊發題為“金融監管發力補短板 多項政策細則將出”的文章。文章表示，該報獲悉，多部門正密集謀劃一攬子舉措，加碼重點領域金融風險防范，全面清理整頓金融秩序。新政涉及中小銀行、互聯網金融、數字金融等領域。將制定高風險金融機構風險處置的相關文件，對高風險機構實行“名單制”管理。此外，針對新興的數字金融熱點領域，人工智能、區塊鏈、大數據、云計算等17項金融行業標準已經立項，正在加緊研究制定。央行副行長范一飛近日表示，金融標準建設迫切需要在重點領域補齊短板，順應大數據、區塊鏈等在金融業應用的發展態勢，注重數據安全。[2019/11/27]

姚氏電路是第一個安全兩方計算協議，后續大多數安全地計算布爾電路/算術電路的安全多方計算協議都是基于姚氏混淆電路進行擴展的。

比較常見有GMW/CCD/BGW/BMR等,這些協議將姚氏協議支持的兩方安全計算擴展到多方安全計算；將布爾電路擴展到算術電路；將安全模型由半誠實模型擴展到惡意模型，以抵抗一定數量惡意敵手攻擊。

上期文章已經就兩方安全計算混淆電路進行介紹，我們在此基礎上介紹下支持多方安全計算協議GMW。

GMW協議介紹

聲音 | 全國政協常委：中俄網絡媒體、互聯網企業應加強在區塊鏈等在網絡傳播領域的研究應用:金色財經報道，11月15日，“新時代·新起點——第三屆中俄網絡媒體論壇暨中俄建交70周年新媒體交流活動”在江蘇省無錫市開幕，全國政協常委、中國日報社總編輯周樹春致辭表示，中俄網絡媒體、互聯網企業應當緊盯前沿技術發展，完善雙方合作機制，加強在人工智能、物聯網、區塊鏈、5G、大數據等新一代信息技術在網絡傳播領域的研究應用，及時把握新趨勢，研發新產品，引領傳播潮流，占領傳播高地。[2019/11/17]

GMW協議是由Goldreich等人提出，支持多方(2+)安全計算，它不但支持布爾電路還支持算術電路。但與姚氏電路協議略有不同，電路評估時不再使用混淆的真值表，而是在本地直接進行計算，這樣大大節省混淆真值表帶來的解密操作，節省比較多的計算量。

GMW協議采用秘密分享及OT等常見的加密原語，可將整個計算過程分為三個階段:

▲?秘密分享階段

參與運算的多方將自己的私有數據采用線性秘密分享方式對參與運算的多方進行秘密分享，保證每一個參與方都可以獲得自己秘密的分量。

▲?電路執行階段

將接收到的每個秘密分量輸入到電路中，本地逐門執行電路(AND門需要再執行OT協議)，重復此過程，直到所有門都執行完成，獲得結果的分量。

聲音 | 廣東省原副省長：應推進區塊鏈研究等系統重要性項目金融監管協調:據證券日報報道，廣東省原副省長陳云賢日前接受中國證券報記者專訪時表示，目前金融監管架構的最佳作用還尚未完全發揮出來，還需從五個方面強化金融監管協調，方能有效防范金融風險，實質推進金融發展。其中第五：應推進系統重要性項目金融監管協調。比如，人工智能、區塊鏈研究，“一帶一路”項目推動，粵港澳大灣區金融發展，系統性金融風險防范化解等。[2018/12/21]

▲?結果廣播再計算

每一方將最后的執行結果廣播出來，各參與方獲得各個參與方結果分量后求取最終結果。

舉例分析

參與運算的雙方有Alice和Bob：

Alice擁有私密信息u，將秘密進行加法秘密分享(additivesecretsharing)后，使得⊕=u，可以看作u的秘密分量，Alice將發給Bob；

Bob擁有私密信息v，將秘密進行分拆后，使得⊕=v,可以看作v的秘密分量，Bob將秘密分量發給Alice。

這樣Alice與Bob都擁有彼此的秘密分量，如下表所示:

PartyAlice_shareBob_sharecommentsAliceAliceholdssharesBobBobholdsshares

愛爾蘭大學研究人員呼吁政府推動區塊鏈發展:據cointelegraph消息，《愛爾蘭時報》近日報道，稱愛爾蘭國立高威大學（NUI Galway）研究區塊鏈的學者呼吁政府在愛爾蘭更加廣泛地推廣區塊鏈技術。

該大學研究人員通過研究提出了增加區塊鏈認知度和采用度的建議，認為這可以對經濟增長產生積極影響，并為政府和愛爾蘭組織開展業務奠定基礎。

研究名為《在愛爾蘭采用區塊鏈：審查組織因素的影響》，由NUI Galway與愛爾蘭區塊鏈協會合作進行，研究調查了影響愛爾蘭公司采用區塊鏈決策的因素。

研究結果顯示，愛爾蘭只有40％的企業采用了區塊鏈技術，利用率相對較低。[2018/5/15]

uv

(1)布爾電路之XOR(相當于加法)

Alice與Bob安全計算和(異或門)，表示成電路形式如下所示:

Alice和Bob進行秘密分享后，Alice與Bob獲取的秘密分量及計算電路如下所示:

Alice與Bob分別在本地執行此電路:

Alice：u1⊕v1?=w1

Bob：u2⊕v2?=w2

Alice與Bob分別將執行電路后的結果分量廣播出去，本地計算后獲取最終結果:

w1⊕w2?=(u1⊕v1)⊕(u2⊕v2)

=(u1⊕u2)⊕(v1⊕v2)?(異或滿足交換律)

=u⊕v

(2)布爾電路之AND(相當于乘法)

Alice與Bob安全計算乘積(and門)，其表示成電路的形式如下所示:

Alice和Bob進行秘密分享后，Alice與Bob獲取的秘密分量及計算電路如下所示:

Alice本地計算AND門時，求得u1v1

Bob本地計算AND門時，求得u2v2

可以發現還缺少其他分量u1v2⊕?v1u2，此時GMW協議構造1-4OT進行計算，Alice作為sender,擁有變量u1,v1，Bob擁有選擇bit變量u2和v2，作為receiver。

記T=(u1v2)⊕(v1u2)，Alice在構造1-4OT時，對真值表加了干擾σ⊕T，這樣做的目的主要是防止Bob根據T的結果推測出Alice的秘密分量u1。

經過1-4OT后，雙方值情況如下:

Alice計算得到的值為:u1v1⊕σ

Bob計算得到的值為:u2v2⊕σ⊕T

Alice與Bob分別將本方的結果分量廣播出去，本地計算后獲取最終結果:

w=u1v1⊕σ⊕u2v2⊕σ⊕T

=u1v1⊕u2v2⊕T

=u1v1⊕u2v2⊕(u1v2⊕v1u2)

=(u1+u2)⊕(v1+v2)

三方或者更多方擴展

(1)異或門(XOR)

各參與方獲得各個分量后本地執行電路，與兩方計算類似，然后廣播自己本地計算結果，當收集全各個參與方自己計算結果時再計算最終結果。

(2)與門(AND)

c=a∧b，a1...an,b1..bn代表a,b分量

每個參與方本地計算ai⊕bi，然后每兩個參與方相互組合計算ai⊕bj

最后各參與方廣播自己最終本地計算結果(a∧b分量)，求得最終安全計算結果a∧b

總結

混淆電路的優化可以分為兩個方面：

一方面：電路優化(circuitoptimization)，主要是減少編譯后電路的size，常用技術有free-xor/Garbledrowreduction/Circuitsimplification等；

另一方面：執行階段優化，常用的技術有fasttablelookup(減少解密混淆真值表次數)和pipelinedcircuitexecution(將原來電路的產生與執行兩階段轉換成一個階段，一邊產生一邊執行電路，這樣可以提高安全計算的效率)。?

基于姚氏混淆電路進行擴展的協議與方法，大多已不再使用混淆真值表的做法，只保留電路的形式，且為了擴展至多方(2+)安全計算,普遍采用秘密分享/不經意傳輸等技術。

相較其他安全計算方案，混淆電路是一種比較通用的解決方案，安全性相對高，但其性能一般，尤其是當參與運算多方數目超過3+且數據量較大時，安全計算的過程中通信量會比較大(兩方各1000個數據情況下求PSI通信量可達到GB數量級)，特別不適合帶寬受限或WAN網絡環境下使用。

所以業內給混淆電路的評價是“efficientbutexpensive”，有效但計算代價比較高。

作者簡介

滕海明

來自趣鏈科技數據網格實驗室BitXMesh算法研究團隊

研究方向：數據安全

Tags：LICALIALICEICEalice幣價格ALIENSQUID價格alice幣創始人ICEBRK

BNB