區塊鏈:密碼學原語如何應用？解析密文同態性的妙用_區塊鏈存證是什么意思

作者：李昊軒

來源：微眾銀行區塊鏈

隱私數據在密文形式下是否依舊可以加減乘除？其背后的同態性原理具體指什么？半同態性和全同態性有什么區別？單密鑰和多密鑰同態加密有哪些奇妙的應用場景？

隱私保護方案設計，往往需要在密文狀態下，對隱私數據進行特定的業務操作，以此保障數據的機密性。

沿用上一論的電子支付例子，客戶目前擁有一張面額1000元的電子支票，電子支票以密文憑證形式存儲，流轉過程中不會輕易泄露金額。客戶使用這張支票時，消費額可能低于1000元，需要將支票進行拆分找零。假定消費額為200元，這一支票需要被拆分成兩份密文憑證，面額200元的給商戶，面額800元的留給客戶自己作為找零。

這個過程中，存在三個隱私保護相關的主要功能點：

客戶不希望其他人獲知找零的金額為800元，相當于在消費時能保護客戶自身財產總額相關信息不泄露。

商戶需要驗證密文支票在本次消費前的余額不小于200元，但無需知道具體的余額。

簽發密文支票的銀行需要驗證，客戶和商戶在交易后，沒有憑空造出更多的錢，即消費額與找零額相加等于拆分前的電子支票中的余額。

上海市數據隱私安全計算企業重點實驗室參與完成論文被密碼學頂級會議PKC收錄:近日，上海市數據隱私安全計算企業重點實驗室謝翔博士聯合香港大學學者共同合作的論文《Compact Zero-Knowledge Proofs for Threshold ECDSA with Trustless Setup》被公鑰密碼學領域國際頂級會議PKC 2021錄用，該會議將在北京時間2021年5月9日至13日于線上舉行。PKC是國際密碼學會（IACR）主辦的專注于公鑰密碼學方向的旗艦會議，每一年舉辦一次，今年是第24屆，該會議一直是學術界和工業界共同關注的焦點。

本次上海市數據隱私安全計算企業重點實驗室參與完成的論文亮點在于零知識證明（ZKP）方向的研究。在理論層面，我們提出的零知識證明包括HSM群中的離散對數關系和Castagnos-Laguillaumie（CL）密文的格式良好性。在實際應用層面，我們利用零知識證明改進了兩方ECDSA和門限ECDSA的性能。

上海市數據隱私安全計算企業重點實驗室以矩陣元科研中堅力量為基礎，匯集國內密碼學專家、學者組建而成。研究內容為針對數據融合與協同計算基礎設施建設過程中保護數據安全與隱私的基礎理論技術。[2021/4/7 19:55:55]

以上功能點涉及如何在不解密的限制下，對隱私數據的密文形式進行計算和驗證。而解決問題的關鍵，就在于密文同態性的使用。

金色相對論 | 肖臻：區塊鏈核心技術還是屬于分布式系統、密碼學等計算機傳統領域，跟機器學習也有很好的結合點:在今日的金色相對論中，針對“區塊鏈、分布式系統以及機器學習領域的研究具體應用有哪些”的問題，北京大學計算機系研究員、博士生導師，肖臻表示，雖然區塊鏈表面上是個新的領域，其實核心技術還是屬于分布式系統、密碼學等計算機傳統領域，跟機器學習也有很好的結合點，目前我們正在致力于利用該技術實現智能合約的高效、細粒度并發執行。已有的區塊鏈技術（比如以太坊中的智能合約）只支持單線程，就是因為在多核環境下并行程序的執行存在不確定性，影響區塊鏈中的節點達成共識。我的課題組開發的確定性重演技術有希望極大地提高智能合約的執行效率，成為區塊鏈3.0中的核心技術。我們的另一項成果是基于多智能體的智能決策系統，通過強化學習技術使得各智能體在去中心化的情況下獨立做出判斷，實現某個預先設定好的效益函數的最大化。[2019/9/12]

在數據業務中，密文同態性在需要隱私保護的相關場景方案中應用十分廣泛，可以實現隱私數據可信跨域協作、聯合數據發掘等高價值需求，在多方數據協作、機器學習、云計算等熱門領域皆有用武之地。密碼學同態究竟有何奇妙之處？且隨本文一探究竟。

聲音 | “現代密碼學之父”Whitfield Diffie：區塊鏈的前景取決于能否為用戶創造價值:據深圳僑報消息，近日，在第二屆智薈深圳·海外專才深圳行上，“現代密碼學之父”Whitfield Diffie表示，沒有網絡安全就沒有穩定的經濟、社會的正常運轉，就不能保障大眾的利益。而如今極為火熱的區塊鏈，其背后的核心支撐也正是公鑰加密技術。他還指出，區塊鏈在未來將會有更加龐大的用戶群，而區塊鏈的前景取決于能否為用戶創造價值。同時，區塊鏈的發展從一定程度上推動了加密技術的“復興”，使區塊鏈重新聚焦于產品的加密層面。[2019/4/18]

1.同態性

同態的概念起源于抽象代數，具體是指兩個代數結構之間保持結構不變的映射。

對應地，密碼學意義中的同態，多指一類代數結構能夠滿足在指定運算下結構不變的性質。例如，函數f(x)=3x對應的代數結構滿足加法同態性，函數f(x)=x^3對應的代數結構滿足乘法同態性。

同態性在密碼學中最常見的應用之一，就是用來構造

聲音 | 現代密碼學之父：區塊鏈在量子計算中并不十分脆弱:據新浪財經報道，“現代密碼學之父”惠特菲爾德·迪菲(Whitfield Diffie)表示，20世紀70年代建立起來的公鑰加密體系很容易受到量子計算的攻擊。但密碼學中有很多技術，例如大多數區塊鏈都使用了公鑰密碼，同時也使用了很多其他的東西，包括哈希編碼，區塊鏈在量子計算中并不十分脆弱。[2019/4/4]

同態加密算法。

同態加密允許在不解密的條件下，直接對密文形式下的隱私數據進行特定形式的代數運算，運算效果等同于將隱私數據明文直接計算后再加密所獲的效果。

這項技術試圖實現隱私數據協同計算中的數據密文可計算，但明文不可見的效果。

同態加密一直是密碼學研究領域的一個重要課題，經典的算法有RSA、ElGamal、Paillier加密算法。2009年9月，CraigGentry從理論上取得了重大突破，提出了全同態加密的構造方法，即可以在不解密的條件下，對隱私數據的密文形式進行任意形式的運算，并使得運算之后的結果密文滿足同態性。

除了同態加密外，其他密碼學原語，如上一論中提及的密碼學承諾，也可能具有同態性。

聲音 | 肖風：密碼學已在理論上有很多成果可供解決數據隱私保護問題:今日在“Web 3.0時代隱私計算構建新數據共享世界”峰會上，萬向區塊鏈董事長肖風表示，隨著人工智能的興起，隱私計算成為世界性話題。然而，并非所有數據都存在于互聯網平臺上，也不是所有數據都是法律法規允許共享的。因此隱私計算的概念才得以提出，而恰恰密碼學已在理論上有很多成果可供我們來探討解決數據隱私保護問題。[2018/12/1]

同態加密與具有同態性的密碼學承諾在功能上的區別在于：

同態加密重在計算，即對多方提供的隱私數據的密文形式進行一定計算后，對結果密文解密后得到的值，等同于對明文數據進行對應運算得到的結果。這個過程不會泄露隱私數據明文，但解密之前無法獲知結果。

具有同態性的密碼學承諾重在驗證，即通過密碼學承諾密文形式的同態性，對于已知的結果，構造相應的零知識證明，用以證明多個承諾滿足一定的約束條件。密碼學承諾難以支持計算結果未知、且需要從多方收集隱私數據的密文計算過程。

同態性在不同的密碼學原語中會有不同的功能和限制，本文以同態加密算法為例，對同態性的特性和應用進行分享，其他相關密碼學原語會在后續專題中展開。

2.半同態vs全同態

同態加密根據支持的運算類型的限制，可分為半同態加密和全同態加密。

對于一個半同態加密算法，其密文形式僅僅對部分運算方式滿足同態性，有代表性的密碼學算法體系如下：

加法運算同態性：UnpaddedRSA，ElGamal，Benaloh，Paillier

邏輯運算同態性：Goldwasser-Micali

半同態加密算法的優點在于構造相對簡單，工程實現效率高，目前已經可以達到商用的性能要求。

對于引言中密文支票電子支付的例子，使用一個具備加法運算同態性算法便可以構造出滿足相關的隱私保護需求的密碼學協議。除了支付之外，對于日常業務中的大多數場景，如投票、選舉、競拍等，半同態加密算法一般都可以滿足對應的隱私保護需求。

對于一個全同態加密算法，其密文形式在理論上對任意運算方式都滿足同態性。對于數據密文計算相關同態加密算法設計，這一要求通常體現為密文對應的代數結構對加法和乘法同時滿足同態性。

對于任意的隱私數據x，y，全同態加密算法提供了一對加密算法E和解密算法D，滿足如下關系：

相比半同態加密算法，全同態加密算法功能更強大、設計更復雜，整體性能遠不及半同態加密算法。例如可能面臨密文數據膨脹困擾。相關研究報告顯示，在一次使用全同態加密開源庫為敏感醫療數據構建密文線性回顧模型的嘗試中，需要將隱私數據進行編碼轉換，映射到密文的向量空間中。

此過程，1M的明文數據編碼后可能膨脹至約10G密文數據；同時，針對值域范圍為512位的明文數據，單次密文乘法運算，在普通個人計算機實測耗時約5秒左右，通常一個需要全同態計算的場景涉及的密文乘法次數很多，總體耗時較高。

由此可見，全同態加密算法的愿景雖美，但目前還處于理論探索層面，離工程實用化、支持高頻次和大數據量的業務需求尚有一定距離。

3.單密鑰vs多密鑰

同態加密根據數據控制方的數量，可分為單密鑰同態加密和多密鑰同態加密。

早期的同態加密算法都是單密鑰算法，主要應用于外包計算場景。數據控制方對自身的數據進行加密，然后發送到云計算服務平臺，在密文的形式下完成一系列運算，最后下載結果密文，本地解密之后獲得最后的計算結果。

上一節提到的ElGamal、Paillier等加密算法都是單密鑰同態加密，即對于隱私數據只能使用同一對的密鑰進行加解密。

單密鑰同態加密優點在于構造相對簡單、性能高，可用于有一定信任基礎或強監管環境下的聯合計算場景。

由于涉及到可信初始化和密鑰選用的問題，單密鑰同態加密在多方參與的協作場景中，會遇到不少挑戰，例如：

如何決定使用哪一方提供的密鑰？數據由誰來解密？

如何平衡單密鑰所代表的單一數據控制權？如何確保數據提供方的敏感數據輸入不被解密？如何防范數據控制方惡意提前終止協議？

如何讓所有參與方都能驗證最終結果正確性？

實際業務流程中，隱私數據可以由多方提供，在可信初始化之后使用同一個公鑰加密數據，并匯總密文數據進行計算，計算結束之后，需要委托可信方或者使用分布式解密協議，對最終結果進行解密。

相比單密鑰同態加密算法，多密鑰同態加密較好地解決了信任相關的問題。

一個多密鑰同態加密算法，允許不同參與方使用各自不同的密鑰對加密，加密后的密文可以通過各個參與方的公鑰進行密文擴展，擴展后的密文對于指定的運算方式依舊滿足同態性。解密過程可以通過分布式解密協議，在不泄露各自數據私鑰的前提下，對約定的結果密文進行解密。

典型的多密鑰同態加密算法可以參考ClearandMcGoldrick(CRYPTO2015)、MukherjeeandWichs(EUROCRYPT2016)相關的論文。

目前多密鑰同態加密方案，隨著參與方個數的增加，系統性能會急劇降低。對于一些需求比較明確的多方協作場景，相較于多密鑰同態加密方案，定制構造的安全多方計算協議或許更有效。

總體而言，密文同態性可以為業務場景中，常見的隱私數據的計算和驗證需求，提供有效解決方案，根據具體的業務需求，基本技術選型可以參考下圖：

正是：隱私數據密文亦無妨，計算驗證同態兩相宜！

具有同態性的密碼學原語提供了一系列直觀、便捷的密鑰學協議構造利器，在保障隱私數據機密性的同時，允許多個協作方對隱私數據的密文形式進行直接運算和驗證操作，以此適配多樣化的隱私保護需求。

除計算和驗證需求外，多方授權也是常見的業務需求之一，如對多方共有的業務數據進行授權使用，此時需要用到門限密碼學相關技術，欲知詳情，敬請關注下文分解。

Tags：區塊鏈ELGGAMDSA區塊鏈存證是什么意思ELG價格GameStop tokenized stock FTXmaidsafecoin

波場