浙大暑期密码学课程｜两方安全计算

浙大暑期密码学课程-笔记｜两方安全计算

视频地址：浙大暑期Crypto课程-MPC I（上）、浙大暑期Crypto课程-MPC I（下）

参考：笔记分享|浙大暑期密码学课程：两方安全计算

摘要#

多方安全计算（MPC）有着广泛的应用，本次课程将由来自浙江大学的张秉晟老师带来，主要讲解两方安全协议。

安全多方计算的定义千奇百怪，主要可分为通俗定义，狭义定义和广义定义：

• 狭义上来说安全多方计算使用混淆电路或秘密分享的方式来实现
• 广义上来说可以使用全同态加密等手段来进行

安全多方计算可以分为通用安全多方计算和专用安全多方计算：

• 通用安全多方计算一般是将计算任务转换为布尔电路或代数电路，使用交互式协议来完成运算
• 专用安全多方计算的效率更高，一般可以不依赖于电路的方式来解决，目前常用的协议主要有隐私求交集PSI协议

以下是衡量安全多方计算的三个维度，主要包括安全假设，安全保障和性能，其中安全假设一般注重同步网络中的半诚实敌手，下图介绍了三个维度中主要考量的要点。

• 敌手模型：隐匿作恶（）
• 敌手门限大于1/2无意义！
• 设置假设：RO（）、CRS（）

两方安全计算的设计策略#

接下来我们以计算一个与门电路为例子，引入两方安全计算，下图是本协议的示意图，主要问题是如何来定义该框架的安全性。

• 问题：安全计算$F(a,b)=ab$
• 方法：将$a$编码（加密）后执行计算，此处应利用「同态」

一般的设计思路可以分为自顶向下和自底向上，如下图所示，三个层次主要包括协议层，原语层和假设层。

• 协议是密码学中最高层次的，如MPC协议，PSI协议等
• 原语是第二层次的，主要包括加密，数字签名等算法
• 假设是最低层次的，任何的协议和原语的安全性都依赖于一些假设，比如求解离散对数问题是困难的，求解大整数分解问题是困难的

一般设计协议是自顶向下（框架-》细节），教学采用自底向上，教学采用该方法可以易于让学生接受。

Elgamal加密#

我们在上次课中提到了基于判定性DH的密钥交换协议和一次一密，我们知道一次一密是目前最安全的加密方案，判定性DH假设在密码学中广泛使用，下面三张图是前一次课程的概要。

• DH协议

• 一次一密：敌手无法在多项式时间内区分随机值和密文

下图是Elgamal加密的示意图，Elgamal是一种公钥加密方案，主要由初始化，密钥生成，加密和解密四个算法构成。

• 下图$t$应该为$r$！

根据上次课程所讲，我们需要确定一个算法在什么假设下能够达到什么样的安全性，那么同理，我们需要考虑Elgamal在何种假设下可以达到什么样的安全性。

接下来下图定义了公钥加密中IND-CPA的安全性博弈定义。

Elgamal是IND-CPA安全的：

• 安全规约

Lifted Elgamal#

在安全计算中，我们希望能够在不知道私钥的情况下，对密文进行运算，运算的结果解密后和明文的运算结果保持一致，我们记为数据的延展性【同态？】。

同态加密解决了上述的问题，接下来我们简要讲解一下「Lifted Elgamal加密算法」。

Lifted Elgamal加密是满足加法同态性，并且只要消息空间范围不大，我们可以直接通过计算离散对数，得到最后的明文消息。

• 计算离散对数$DLog$，一般通过查表获得
• $Dec(C_1\ast C_2)=Dec(g^{r_1+r_2},g^{m_1+m_2}.h^{r_1+r_2})=m_1+m_2$

同态加密及在两方安全计算的应用示例#

假设下面是一个两方计算模型，P1和P2分别输入a和b，P1得到最后的结果$f(a,b)$，如下图所示。

我们可以采用单边模拟（one-side simulation）的方式来证明该协议的安全性。

• P1的安全证明：假设敌手控制P2，P1的计算结果在敌手看来是随机的，不可区分的
• P2的安全证明：假设敌手控制P1，P2的计算结果在敌手看来是随机的，不可区分的

计算a AND b#

我们仍然采用之前的例子来讲解安全多方计算，即两个参与方，分别计算a和b的乘积，即a AND b，具体如下图所示。

下图是本协议的交互方式，主要是基于Lift Elgamal进行构造。

本方案的正确性显然能够满足，该方案的正确性主要基于Lift Elgamal的正确性，如下图所示。

• $d=c^b=Enc(a,r{)}^b$
• $M=Dec(d)=a+...+a=ab$

下图主要描述了P1的隐私，即P2只能看到随机的密文，而得不到其他任何信息。

下图描述了P2的隐私，当然P2可能有部分信息泄漏（中间信息)，P1可以从P2交互的信息中得到额外隐私信息，所以我们需要对其进行修复。

• P1获得的是$c^b$，是个固定值，可以通过多次解密试出b。

下图是修复后的协议，在该协议中，通过选取一个随机值$r^{\prime }$，可以实现P2的隐私保护，即P1得不到P2的输入相关信息。

• P1获得的是$c^b.Enc(0,r^{\prime })$，这样每次获取的结果都是不一样的，可抗重放攻击，且根据「加法同态性」，解密后相当于（ab+0）
• 问题：加密时用的随机数不同，是否可以进行同态计算？
  • 答案：是
  • 以ElGamal为例：
    • $c1=Enc(m1,r1)=(g^{r1},m1.h^{r1}),c2=Enc(m2,r2)=(g^{r2},m2.h^{r2})$
    • $c1.c2=(g^{r1+r2},m1.m2.h^{r1+r2}),Dec(c1.c2)=m1.m2$

下图所示是仅有两条消息【逐比特发送】构成的两方计算协议。

计算<a,b>#

接下来的例子，将一个比特扩展到多个比特，实现了标量的乘法操作，如以下两张图所示。

• $d=(\prod c_i^{b_i}.Enc(0,r^{\prime })),Dec(d)=a_1.b_1+...+a_n.b_n=<a,b>$

下图是上述两方计算协议中，P1和P2的隐私性解释如下：

• P1只能看到最终输出的随机加密密文
• P2只能看到P1输入的随机加密密文

计算汉明重量#

下面同时给出了第一个两方协议的扩展和在汉明重量计算中的应用：

• 汉明重量：非零符号的个数
• 汉明距离：表示两个（相同长度）字符串对应位置的不同字符的数量，我们以$d(x,y)$表示两个字$x,y$之间的汉明距离，具体说，对两个字符串进行异或（XOR）运算，并统计结果为1的个数，那么这个数就是汉明距离。

下图是计算汉明重量的方法，协议和安全性，协议的安全性和之前所提的标量乘法的安全性相类似。

• 字符a和b的汉明重量：$\delta (a,b)=\mathrm{\Sigma }(b_i+(1-2b_i)a_i)=\mathrm{\Sigma }(1-2b_i)a_i+\mathrm{\Sigma }{b}_i$