ALI:研究 | 安全多方计算之混淆电路

导读：混淆电路(GarbledCircuit),又称姚氏电路(Yao’sGC)是由姚期智教授于1986年针对百万富翁问题提出的解决方案。

它的核心技术是将两方参与的安全计算函数编译成布尔电路的形式，并将真值表加密打乱，从而实现电路的正常输出而又不泄露参与计算的双方私有信息。由于任何安全计算函数都可转换成对应布尔电路的形式，相较其他的安全计算方法，具有较高的通用性，因此引起了业界较高的关注度。

混淆电路发展

姚氏电路是基于半诚实模型(semi-honest)的安全两方计算(Two-Party-Security-Computation)。

简单来说，可将整个计算过程分为两个阶段：

第一阶段将安全计算函数转换为电路，称之为电路产生阶段；

第二阶段，利用OT、加密等密码学原语等执行电路，称之为执行阶段。

每一阶段由参与运算的一方来负责，直至电路执行完毕输出运算后的结果。针对参与运算的双方，从参与者的视角，又可以将参与安全运算的双方分为电路的产生者(circuitgenerator)与电路的执行者(circuitevaluator)。

示意图如下所示:

中国（上海）自贸区研究院刘斌：目前数字人民币并未完全使用区块链技术:上海浦东改革与发展研究院金融研究室主任刘斌在接受跨境问题的采访时表示：“目前数字人民币并未完全使用区块链技术，而国外多数央行推广数字货币均基于区块链技术，若要实现跨境应用，如何与国外数字货币标准体系兼容是一个问题。此外，跨境应用还需在国外搭建数字人民币清结算体系，推广数字人民币钱包。”[2021/2/7 19:06:58]

▲?步骤一：电路产生阶段

参与运算的双方先就需要安全计算的目的依靠专有编程语言(DSL)或相关编程语言扩展等进行编程，然后针对实现计算的程序进行编译，生成布尔电路文件;

然后针对双方输入值以及中间输出结果随机产生映射label,再利用这些label做为key对每个对应的电路输出真值表采用分组密码方式进行加密，并对真值表值进行打乱操作，这一步就是混淆电路的概念。

▲?步骤二：电路执行阶段

电路执行者针对布尔电路文件进行执行，执行时电路生成者需要将自己的输入所对应的label发给电路执行者；电路执行者依据自己所有信息通过OT方式选择自己对应的label，这样电路生成者与执行者均不到对方的输入数据；电路执行者此时获取双方输入对应的label,作为key的相关信息对真值表进行解密，即可获取真值表的内容，循环往复，直至所有电路执行完毕，输出执行结果。

声音 | 社科院国际金融研究室主任：Libra的初衷肯定不是为了维护和增强美元霸权:据中国新闻周刊报道，社科院国际金融研究室主任刘东民向《中国新闻周刊》分析表示，Libra对现行国际货币体系影响比较大，无论是发达国家还是欠发达国家都会对其有严格的监管和要求。未来几年，Facebook需要跟各国政府和国际金融机构进行深入沟通和妥协，可能会改变策略。因此，Libra的落地不会太快，也不会太顺利。由于目前Libra锚定的一篮子货币比例还不清楚，尚不能判断是否会对美元全球霸权产生影响，不过Libra的初衷肯定不是为了维护和增强美元霸权。中国在研究数字货币上有着充足的时间窗口。Libra要想落地并不简单，需要相当长时间与各国政府和国际金融机构进行斡旋。因此，中国有着充足时间去研发自己的数字稳定币。此前，央行在数字货币做了很多工作，大量民营企业在区块链、第三方支付技术、数字货币研发上有着重组技术积累和实际应用。因此，中国只需要适当的政策调整，在数字稳定币研发上应该很快能够走到世界前列。[2019/7/19]

姚氏电路是第一个安全两方计算协议，后续大多数安全地计算布尔电路/算术电路的安全多方计算协议都是基于姚氏混淆电路进行扩展的。

比较常见有GMW/CCD/BGW/BMR等,这些协议将姚氏协议支持的两方安全计算扩展到多方安全计算；将布尔电路扩展到算术电路；将安全模型由半诚实模型扩展到恶意模型，以抵抗一定数量恶意敌手攻击。

声音 | 人民银行办公厅主任：央行在研究天秤币会对金融体系带来的影响:据中国人民银行官网，7月12日，人民银行举行2019年上半年金融统计数据新闻发布会，人民银行办公厅主任兼新闻发言人周学东回答记者提问表示，因为最近脸书发了天秤币以后，国际金融界讨论得也非常热烈，大家都非常关注，看美国政府是什么态度，美联储是如何表态的。当然中国的中央银行对这件事情也很关注，也在关注市场的一些讨论，也在研究脸书发行天秤币以后会对金融体系带来的一些影响。总之我们也非常关注，也有一些研究。[2019/7/13]

上期文章已经就两方安全计算混淆电路进行介绍，我们在此基础上介绍下支持多方安全计算协议GMW。

GMW协议介绍

GMW协议是由Goldreich等人提出，支持多方(2+)安全计算，它不但支持布尔电路还支持算术电路。但与姚氏电路协议略有不同，电路评估时不再使用混淆的真值表，而是在本地直接进行计算，这样大大节省混淆真值表带来的解密操作，节省比较多的计算量。

GMW协议采用秘密分享及OT等常见的加密原语，可将整个计算过程分为三个阶段:

▲?秘密分享阶段

参与运算的多方将自己的私有数据采用线性秘密分享方式对参与运算的多方进行秘密分享，保证每一个参与方都可以获得自己秘密的分量。

▲?电路执行阶段

声音 | 中钞区块链研究院院长张一锋：目前区块链正处于技术驱动向产品驱动转换的关键时期:12月28日，在2018上海区块链大会暨区块链结合实体经济创新峰会上，中钞区块链研究院院长张一锋表示，每一样新技术的发展，在初期都是技术驱动，而一旦要进入成熟期，必然是产品驱动。目前，区块链正处于这样一种阶段，即正由原先的技术驱动开始走向由产品驱动的新的阶段，而今天正处于这个转换的关键时期。[2018/12/28]

将接收到的每个秘密分量输入到电路中，本地逐门执行电路(AND门需要再执行OT协议)，重复此过程，直到所有门都执行完成，获得结果的分量。

▲?结果广播再计算

每一方将最后的执行结果广播出来，各参与方获得各个参与方结果分量后求取最终结果。

举例分析

参与运算的双方有Alice和Bob：

Alice拥有私密信息u，将秘密进行加法秘密分享(additivesecretsharing)后，使得⊕=u，可以看作u的秘密分量，Alice将发给Bob；

Bob拥有私密信息v，将秘密进行分拆后，使得⊕=v,可以看作v的秘密分量，Bob将秘密分量发给Alice。

这样Alice与Bob都拥有彼此的秘密分量，如下表所示:

PartyAlice_shareBob_sharecommentsAliceAliceholdssharesBobBobholdsshares

研究表明：70％的加密货币交易所允许用户创建密码较弱的账号:据Bitcoin News，数字安全公司Dashlane提供的年度加密货币交易所密码能力排名显示，超过70％的领先加密货币交易所允许用户创建密码较弱的账户。作者表示，由于不安全的密码，使用户暴露于资产失窃之中。目前该公司已经测试了35家交易所，每个交易所都经过了五项重要密码和账户安全标准的测试。只有10个平台符合全部五个标准，他们是Bitcoin.de，BitMEX，BTCC，Cobinhood，Coinbase，Cryptopia，Gemini，Huobi，itBit和Paxful。研究表明， 43％的平台可以让用户创建少于8个字符的密码。34％的平台根本不需要字母和数字组合的密码。测试人员可以使用简单的数字组合（如“12345”）和甚至像“密码”这样的单词来设置密码帐户。[2018/3/24]

uv

(1)布尔电路之XOR(相当于加法)

Alice与Bob安全计算和(异或门)，表示成电路形式如下所示:

Alice和Bob进行秘密分享后，Alice与Bob获取的秘密分量及计算电路如下所示:

Alice与Bob分别在本地执行此电路:

Alice：u1⊕v1?=w1

Bob：u2⊕v2?=w2

Alice与Bob分别将执行电路后的结果分量广播出去，本地计算后获取最终结果:

w1⊕w2?=(u1⊕v1)⊕(u2⊕v2)

=(u1⊕u2)⊕(v1⊕v2)?(异或满足交换律)

=u⊕v

(2)布尔电路之AND(相当于乘法)

Alice与Bob安全计算乘积(and门)，其表示成电路的形式如下所示:

Alice和Bob进行秘密分享后，Alice与Bob获取的秘密分量及计算电路如下所示:

Alice本地计算AND门时，求得u1v1

Bob本地计算AND门时，求得u2v2

可以发现还缺少其他分量u1v2⊕?v1u2，此时GMW协议构造1-4OT进行计算，Alice作为sender,拥有变量u1,v1，Bob拥有选择bit变量u2和v2，作为receiver。

记T=(u1v2)⊕(v1u2)，Alice在构造1-4OT时，对真值表加了干扰σ⊕T，这样做的目的主要是防止Bob根据T的结果推测出Alice的秘密分量u1。

经过1-4OT后，双方值情况如下:

Alice计算得到的值为:u1v1⊕σ

Bob计算得到的值为:u2v2⊕σ⊕T

Alice与Bob分别将本方的结果分量广播出去，本地计算后获取最终结果:

w=u1v1⊕σ⊕u2v2⊕σ⊕T

=u1v1⊕u2v2⊕T

=u1v1⊕u2v2⊕(u1v2⊕v1u2)

=(u1+u2)⊕(v1+v2)

三方或者更多方扩展

(1)异或门(XOR)

各参与方获得各个分量后本地执行电路，与两方计算类似，然后广播自己本地计算结果，当收集全各个参与方自己计算结果时再计算最终结果。

(2)与门(AND)

c=a∧b，a1...an,b1..bn代表a,b分量

每个参与方本地计算ai⊕bi，然后每两个参与方相互组合计算ai⊕bj

最后各参与方广播自己最终本地计算结果(a∧b分量)，求得最终安全计算结果a∧b

总结

混淆电路的优化可以分为两个方面：

一方面：电路优化(circuitoptimization)，主要是减少编译后电路的size，常用技术有free-xor/Garbledrowreduction/Circuitsimplification等；

另一方面：执行阶段优化，常用的技术有fasttablelookup(减少解密混淆真值表次数)和pipelinedcircuitexecution(将原来电路的产生与执行两阶段转换成一个阶段，一边产生一边执行电路，这样可以提高安全计算的效率)。?

基于姚氏混淆电路进行扩展的协议与方法，大多已不再使用混淆真值表的做法，只保留电路的形式，且为了扩展至多方(2+)安全计算,普遍采用秘密分享/不经意传输等技术。

相较其他安全计算方案，混淆电路是一种比较通用的解决方案，安全性相对高，但其性能一般，尤其是当参与运算多方数目超过3+且数据量较大时，安全计算的过程中通信量会比较大(两方各1000个数据情况下求PSI通信量可达到GB数量级)，特别不适合带宽受限或WAN网络环境下使用。

所以业内给混淆电路的评价是“efficientbutexpensive”，有效但计算代价比较高。

作者简介

滕海明

来自趣链科技数据网格实验室BitXMesh算法研究团队

研究方向：数据安全

标签：ICELICALICEALIJUICE价格Gamblicaalice币最新消息Alien Wars Gold

火币网下载官方app热门资讯