研究 | 安全多方計算之混淆電路_ALI

導讀：混淆電路(GarbledCircuit),又稱姚氏電路(Yao’sGC)是由姚期智教授于1986年針對百萬富翁問題提出的解決方案。

它的核心技術是將兩方參與的安全計算函數編譯成布爾電路的形式，并將真值表加密打亂，從而實現電路的正常輸出而又不泄露參與計算的雙方私有信息。由于任何安全計算函數都可轉換成對應布爾電路的形式，相較其他的安全計算方法，具有較高的通用性，因此引起了業界較高的關注度。

混淆電路發展

姚氏電路是基于半誠實模型(semi-honest)的安全兩方計算(Two-Party-Security-Computation)。

簡單來說，可將整個計算過程分為兩個階段：

第一階段將安全計算函數轉換為電路，稱之為電路產生階段；

第二階段，利用OT、加密等密碼學原語等執行電路，稱之為執行階段。

每一階段由參與運算的一方來負責，直至電路執行完畢輸出運算后的結果。針對參與運算的雙方，從參與者的視角，又可以將參與安全運算的雙方分為電路的產生者(circuitgenerator)與電路的執行者(circuitevaluator)。

示意圖如下所示:

歐科云鏈研究院：基于區塊鏈的“價值互鏈網”將是元宇宙經濟系統的基本形態:11月16日，歐科云鏈“星途計劃”系列沙龍第三期活動順利舉行，歐科云鏈研究院高級研究員孫宇林以“元宇宙版《國富論》——經濟系統的構建與安全”為題作主題分享。

在分享中，孫宇林基于長期行業觀察，勾勒出元宇宙經濟系統的基本形態。他指出，對應于現實世界經濟系統的要素，諸如商品體系、金融體系和商業組織，在元宇宙世界，NFT可能是商品形態的數字化基礎的資產形態，而DeFi將與傳統金融模式共同為元宇宙內的各類資產提供充沛的流動性；對應于現實世界的商業組織，DAO將作為數字世界中一種新的組織模式而廣泛推廣開來。

孫宇林表示，區塊鏈技術的出現，為元宇宙經濟系統內價值的生成和流轉創造了條件，將釋放元宇宙的活力。作為中國區塊鏈大數據產業的先鋒企業，歐科云鏈將擁抱時代發展使命，緊跟元宇宙的全球發展步伐，加強科技創新與研發力量，堅持創新驅動發展，為元宇宙經濟系統打造“科技紅綠燈”，做好中國元宇宙產業發展高速路上的“安全清道夫”。[2021/11/16 21:55:04]

▲?步驟一：電路產生階段

火幣研究院馬天元：公鏈最終繁榮與否，無它，唯社區與生態:2020年12月9日下午3點，火幣尖峰對話《以太坊2.0信標鏈已啟，我們為何要先人一步？》主題線上活動在社群舉行。對話中，火幣研究院首席技術研究員馬天元表示，波卡和以太坊上的競爭，從本質上看是共識競爭，從結果上看是生態的競爭。波卡的共識是由主鏈來掌控全網所有平行鏈的安全性，目前節點數250+。而ETH2.0的共識是從信標鏈中數萬個節點隨機選出一批，來為每條分片配置108個驗證者，目前節點是20000+。從節點去中心化來看，顯然是ETH2.0是遠勝它的對手，但是性能上，因為節點更少，設備更專業，可能波卡會略勝一籌。共識的不同，會帶來開發者社區和生態社區的不同，就目前的社區而言，顯然去中心化更受社區偏愛。公鏈最終繁榮與否，無它，唯社區與生態。 所以從這個方向來看，相信ETH2.0還是會優勢更大。[2020/12/9 14:42:29]

參與運算的雙方先就需要安全計算的目的依靠專有編程語言(DSL)或相關編程語言擴展等進行編程，然后針對實現計算的程序進行編譯，生成布爾電路文件;

然后針對雙方輸入值以及中間輸出結果隨機產生映射label,再利用這些label做為key對每個對應的電路輸出真值表采用分組密碼方式進行加密，并對真值表值進行打亂操作，這一步就是混淆電路的概念。

動態 | 韓國金融監督院、金融服務委員會、韓國銀行紛紛解散其虛擬貨幣研究小組:據Money Today消息，隨著虛擬貨幣的熱潮冷卻，韓國金融當局的專門負責組織紛紛消失。韓國金融監督院（FSS）在2月8日的組織改編中，取消了Fintech中心設立的“區塊鏈研究組”，并將這項業務移交給了P2P金融市場的Fintech監督組。韓國銀行近日也解散了虛擬貨幣研究工作組，相關工作已移交給金融結算局內的“數字創新研究組”。金融服務委員會（FSC）于去年1月建立并運營了“虛擬貨幣研究組”，但同年7月重組后將其解散。[2019/2/14]

▲?步驟二：電路執行階段

電路執行者針對布爾電路文件進行執行，執行時電路生成者需要將自己的輸入所對應的label發給電路執行者；電路執行者依據自己所有信息通過OT方式選擇自己對應的label，這樣電路生成者與執行者均不到對方的輸入數據；電路執行者此時獲取雙方輸入對應的label,作為key的相關信息對真值表進行解密，即可獲取真值表的內容，循環往復，直至所有電路執行完畢，輸出執行結果。

姚氏電路是第一個安全兩方計算協議，后續大多數安全地計算布爾電路/算術電路的安全多方計算協議都是基于姚氏混淆電路進行擴展的。

比較常見有GMW/CCD/BGW/BMR等,這些協議將姚氏協議支持的兩方安全計算擴展到多方安全計算；將布爾電路擴展到算術電路；將安全模型由半誠實模型擴展到惡意模型，以抵抗一定數量惡意敵手攻擊。

政策 | 山東省今年將研究扶持區塊鏈等新技術:據大眾網報道，今年山東省將繼續深入實施軟件產業名城、名園、名企、名品“四名戰略”,研究扶持大數據、云計算、人工智能、區塊鏈等新技術、新業態,切實抓好軟件產業集聚、創新、融合、高端“四個發展”。[2019/2/5]

上期文章已經就兩方安全計算混淆電路進行介紹，我們在此基礎上介紹下支持多方安全計算協議GMW。

GMW協議介紹

GMW協議是由Goldreich等人提出，支持多方(2+)安全計算，它不但支持布爾電路還支持算術電路。但與姚氏電路協議略有不同，電路評估時不再使用混淆的真值表，而是在本地直接進行計算，這樣大大節省混淆真值表帶來的解密操作，節省比較多的計算量。

GMW協議采用秘密分享及OT等常見的加密原語，可將整個計算過程分為三個階段:

▲?秘密分享階段

參與運算的多方將自己的私有數據采用線性秘密分享方式對參與運算的多方進行秘密分享，保證每一個參與方都可以獲得自己秘密的分量。

▲?電路執行階段

將接收到的每個秘密分量輸入到電路中，本地逐門執行電路(AND門需要再執行OT協議)，重復此過程，直到所有門都執行完成，獲得結果的分量。

交通銀行金融研究中心何飛：警惕資本市場炒作區塊鏈概念:交通銀行金融研究中心高級研究員何飛在接受人民日報采訪時表示，“區塊鏈技術還不太成熟，可應用場景比較有限，更應警惕資本市場炒作概念。”何飛說，區塊鏈熱潮的背后免不了會有一些搞噱頭想投機的公司，他們并沒有真正開展業務，只是企圖到資本市場撈一筆就走，要謹防由此出現“劣幣驅逐良幣”，導致真正想開展業務的機構退出市場，影響區塊鏈技術的應用。[2018/2/26]

▲?結果廣播再計算

每一方將最后的執行結果廣播出來，各參與方獲得各個參與方結果分量后求取最終結果。

舉例分析

參與運算的雙方有Alice和Bob：

Alice擁有私密信息u，將秘密進行加法秘密分享(additivesecretsharing)后，使得⊕=u，可以看作u的秘密分量，Alice將發給Bob；

Bob擁有私密信息v，將秘密進行分拆后，使得⊕=v,可以看作v的秘密分量，Bob將秘密分量發給Alice。

這樣Alice與Bob都擁有彼此的秘密分量，如下表所示:

PartyAlice_shareBob_sharecommentsAliceAliceholdssharesBobBobholdsshares

uv

(1)布爾電路之XOR(相當于加法)

Alice與Bob安全計算和(異或門)，表示成電路形式如下所示:

Alice和Bob進行秘密分享后，Alice與Bob獲取的秘密分量及計算電路如下所示:

Alice與Bob分別在本地執行此電路:

Alice：u1⊕v1?=w1

Bob：u2⊕v2?=w2

Alice與Bob分別將執行電路后的結果分量廣播出去，本地計算后獲取最終結果:

w1⊕w2?=(u1⊕v1)⊕(u2⊕v2)

=(u1⊕u2)⊕(v1⊕v2)?(異或滿足交換律)

=u⊕v

(2)布爾電路之AND(相當于乘法)

Alice與Bob安全計算乘積(and門)，其表示成電路的形式如下所示:

Alice和Bob進行秘密分享后，Alice與Bob獲取的秘密分量及計算電路如下所示:

Alice本地計算AND門時，求得u1v1

Bob本地計算AND門時，求得u2v2

可以發現還缺少其他分量u1v2⊕?v1u2，此時GMW協議構造1-4OT進行計算，Alice作為sender,擁有變量u1,v1，Bob擁有選擇bit變量u2和v2，作為receiver。

記T=(u1v2)⊕(v1u2)，Alice在構造1-4OT時，對真值表加了干擾σ⊕T，這樣做的目的主要是防止Bob根據T的結果推測出Alice的秘密分量u1。

經過1-4OT后，雙方值情況如下:

Alice計算得到的值為:u1v1⊕σ

Bob計算得到的值為:u2v2⊕σ⊕T

Alice與Bob分別將本方的結果分量廣播出去，本地計算后獲取最終結果:

w=u1v1⊕σ⊕u2v2⊕σ⊕T

=u1v1⊕u2v2⊕T

=u1v1⊕u2v2⊕(u1v2⊕v1u2)

=(u1+u2)⊕(v1+v2)

三方或者更多方擴展

(1)異或門(XOR)

各參與方獲得各個分量后本地執行電路，與兩方計算類似，然后廣播自己本地計算結果，當收集全各個參與方自己計算結果時再計算最終結果。

(2)與門(AND)

c=a∧b，a1...an,b1..bn代表a,b分量

每個參與方本地計算ai⊕bi，然后每兩個參與方相互組合計算ai⊕bj

最后各參與方廣播自己最終本地計算結果(a∧b分量)，求得最終安全計算結果a∧b

總結

混淆電路的優化可以分為兩個方面：

一方面：電路優化(circuitoptimization)，主要是減少編譯后電路的size，常用技術有free-xor/Garbledrowreduction/Circuitsimplification等；

另一方面：執行階段優化，常用的技術有fasttablelookup(減少解密混淆真值表次數)和pipelinedcircuitexecution(將原來電路的產生與執行兩階段轉換成一個階段，一邊產生一邊執行電路，這樣可以提高安全計算的效率)。?

基于姚氏混淆電路進行擴展的協議與方法，大多已不再使用混淆真值表的做法，只保留電路的形式，且為了擴展至多方(2+)安全計算,普遍采用秘密分享/不經意傳輸等技術。

相較其他安全計算方案，混淆電路是一種比較通用的解決方案，安全性相對高，但其性能一般，尤其是當參與運算多方數目超過3+且數據量較大時，安全計算的過程中通信量會比較大(兩方各1000個數據情況下求PSI通信量可達到GB數量級)，特別不適合帶寬受限或WAN網絡環境下使用。

所以業內給混淆電路的評價是“efficientbutexpensive”，有效但計算代價比較高。

作者簡介

滕海明

來自趣鏈科技數據網格實驗室BitXMesh算法研究團隊

研究方向：數據安全

Tags：ICEALICEALILICSLICE幣alice幣創始人Alien Wars GoldPOLICEDOGE

火必APP