解决「百万富翁问题」—隐私比较高效算法解读-ODAILY

隐私比较是指在不暴露双方具体数值的前提下，获取双方数值的大小关系。最早起源于姚期智的百万富翁问题：有两个百万富翁想要比较下谁更富有，但是又不想透露自己有多少钱，如何在没有可信第三方的情况下进行比较？这个问题是由中国第一个也是目前为止唯一一个图灵奖获得者姚期智在1980年代提出的，他是中国计算机学术和教育的第一人，为现代密码学打开了一道新的大门。

在之前的文章《优雅的求职——隐私比较算法实例》中已经通过求职案例介绍了隐私比较的应用场景以及如何实现，本文则主要介绍一种在当前效率比较高的隐私比较协议。

该协议是CrypTFlow2:Practical2-PartySecureInference中提出的一个子协议，并基于此协议实现DRelu激活函数应用于神经网络中。

--相关技术--

该协议主要使用了布尔秘密分享和不经意传输两种技术进行构建：

▲不经意传输

不经意传输(OT，ObliviousTransfer)是指数据发送方有n个数据，数据接收方接收其中的一个数据，且数据接收方不能获取其他的数据，数据发送方也不知道接收方选择接收的数据具体是哪一个。在之前的文章《基于安全多方计算(MPC)的隐私计算技术(一)》中已介绍过一种实现方案，故本文不再赘述。

太壹科技CTO：彻底解决交易所的安全问题需要打造良好的交易所安全生态:交易所的安全问题不是单一的问题，随着问题的不断演变，还会涉及到一些非法资金流入、平台安全风险等问题。如放任这些问题而没有有效的解决方案，会对交易所平台的长久发展造成极大的限制！

针对交易所面临的安全困境，太壹科技CTO章亚亮提出其解决思路：“彻底解决交易所的安全问题需要打造良好的交易所安全生态！”

7月29日，太壹科技&优盾钱包系列课程第4期特邀章亚亮，为交易所从业者分享搭建打造良好的“交易所安全生态”案例。

优盾钱包，是一款领先的企业级交易所钱包管理系统，以安全完善的技术重新定义数字资产钱包，为比特币、以太坊等100多种币种提供API接入；顶级私钥BOSS自主掌握，子私钥动态计算不触网，硬件加持，纯冷操作；多级财务审核策略，资产动向、操作日志一目了然；海量地址统一管理，余额一键自动归集。[2020/7/29]

▲布尔秘密分享

在安全多方计算中会使用秘密分享将数据进行拆分后分享出去，每一方拿到每个数据的相应碎片，对于原始数据的计算逻辑都会转为对碎片的计算，在整个计算逻辑完成后，再将碎片的计算结果进行汇聚还原以获取原始数据的计算结果。

布尔秘密分享是指将一个布尔值b拆分成两个碎片b0、b1，将两个碎片汇聚到一起即可还原出原始数据b。

镜像网络Howard Feng：打造区块链存储市场?解决社会信任问题:金色财经现场报道，7月6日，由杭州市余杭区政府指导，杭州未来科技城管委会、巴比特主办的2020杭州区块链国际周在杭州举办。镜像网络MW联合发起人Howard Feng做了主题为《用区块链构建未来互联网存储基础设施》的演讲。Howard表示，区块链核心解决了社会信任的问题，简单说代码就是法律。我们也在用公有链的技术解决从0到1的过程，即用了大量公有链设备及闲置的资源，集中托管做分布式数据中心DDC，几乎在硬件投入上零成本。我们只需要做两个事情，第一个事情是B端的产品，我们针对B端只做冷数据存储方向，吸引很多开发者在公有链上进行开发。培养用户端，以及去做市场份额、合规化，解决社会信任的问题。?[2020/7/6]

碎片生成：随机生成一个布尔值b0，并和b执行异或计算出b1=b0⊕b

碎片还原：对两个碎片执行异或操作

b=b0⊕b1

异或运算：布尔秘密分享在异或操作上是满足同态性质的，在本地通过对碎片进行异或操作再还原就等价于对原始数据的异或操作

a=a0⊕a1，b=b0⊕b1

a⊕b=(a0⊕b0)⊕(a1⊕b1)

声音 | 北京市政协委员张凌云：通过区块链技术解决文化产业中维权难等问题:在目前召开的北京市政协第十三届委员会第三次会议上，北京市政协委员张凌云此次带来了两份提案。如何利用区块链技术推动北京市文化产业发展成为此次张凌云关注的重点话题之一。张凌云提出，可以通过区块链技术解决文化产业中维权难、取证成本高等问题。具体来看，张凌云提出三点建议。第一，将区块链技术深度融合进互联网文化产业；第二，利用区块链技术实现文化产业交易的去中心化，为优秀内容构造安全、高效的版权流通体系；第三，利用区块链技术实现对文化产业内容从确权、监控到取证、存证、在线争议解决的一站式文化产业知识产权保护体系。（证券日报）[2020/1/14]

与运算：布尔秘密分享对于与操作不满足同态性质，使用不经意传输技术以实现安全的与操作：

Alice持有碎片a0和b0，Bob持有碎片a1和b1，通过与运算使得Alice获取c0，Bob获取c1，c0⊕c1=(a0⊕a1)∧(b0⊕b1)，并保证双方碎片的安全；

*Alice作为不经意传输的发送方，随机生成一个布尔值r作为c0，并按下图生成不经意传输的输入：

*Bob作为不经意传输的接收方将自己的碎片a1，b1拼接成a1||b1作为不经意传输的选择项获取数据r⊕((a0⊕a1)∧(b0⊕b1))作为c1；

精选 | 国家金融与发展实验室：法定数字货币解决传统货币体系问题是成功标准:据国家金融与发展实验室称，法定数字货币可以借鉴，但应考虑分布式记账技术的交易性能以及不同共识算法产生的资源成本。不同的法定数字货币实现模式主要对两个问题产生不同影响：一是商业银行地位，二是信用创造机制。在争夺数字经济时代的货币主导权的同时，法定数字货币能否提供一些有别于以往的基础设施、运行体制或者货币发行规则，以更好地解决传统货币体系自身的问题，这是检验其是否成功运行的根本标准。[2018/10/22]

可验证c0⊕c1=r⊕r⊕((a0⊕a1)∧(b0⊕b1))=(a0⊕a1)∧(b0⊕b1)；

本质是将与运算的所有可能性罗列出来，加入随机项后由另一方根据自己的数据选择混淆后的计算结果。

--实现思路--

▲明文比较

首先不考虑比较运算的隐私性，平常情况下两个数是如何比较大小的：

*将两个数对齐为相同长度的数字数组，长度不够的则在前面补0

a=123，b=5879，a=>，b=>

*对两个数组里面的数字进行顺序比较，如果对应位的数字相等，则继续比较下一位，直到有一位不相等，最早不相等那位的比较结果即为两个数据的比较结果，若所有位的数字都相等，则两个数据相等。整个过程可归纳为以下公式：

区块链将发力雄安房屋租赁 有望解决租房场景最核心问题:据证券时报消息，蚂蚁雄安数字技术有限公司与中国银行雄安分行将基于在区块链技术打造的雄安住房租赁相关领域开展深度合作，以此助力新区在住房租赁领域快速发展。分析称，早在去年9月，雄安新区管委会曾发布雄安新区购房政策的相关信息，明确提出要将房产等相关信息存储在区块链平台中。[2018/4/24]

X，Y都是长度为n的数据，1{X<Y}，1{X=Y}是求值表达式，满足大括号内条件时为1否则为0

X=x0||x1||x2||...||x(n-1)，Y=y0||y1||y2||...||y(n-1)，xi，yi表示拆分后的第i位数据

Xi=xi||...||x(n-1)，Yi=yi||...||y(n-1)，用于表示去除前i-1位后的数据

1{X<Y}=1{x0<x0}⊕(1{x0=y0}∧1{X1<Y1})

1{X1<Y1}=1{x1<x1}⊕(1{x1=y1}∧1{X2<Y2})

...

1{X(n-1)<Y(n-1。=1{x(n-1)<y(n-1。

▲不安全的隐私比较

如果要将上述比较方案转为隐私比较，最容易想到的方案是将两个最小比较单位的数的比较隐私化，在之前的文章《优雅的求职——隐私比较算法实例》中已经介绍过：对于两个最小比较单位的比较可通过不经意传输协议来完成。这样确实是保证了单个最小比较单位的安全性，但是对于某些情况，会暴露出数据的一些情况：

a=1230b=1231，对于这两个数字的比较，如果b作为ot的接受方也就是最小比较单元数据比较结果的获取方，按照上述方案进行比较，会有两点额外信息被泄露：

1）在前几位相同的情况下：b会知道a的前三位是123；

2）两个最小单元的数据是最小单元范围的两端数据：b会知道a的最后一位是0；

而根据以上两个信息b甚至可以直接反推出a的数据，在这种情况隐私比较也就不隐私了。

▲消除不安全

本论文中的隐私比较协议，整个比较思路和上面不安全的隐私比较是一致的，但是该协议引入了秘密分享技术，在通过不经意传输协议获取比较结果时发送方对每个数据都混淆上一个随机项，这样双方都不会获取到最小比较单元数据的比较结果，而是比较结果的碎片，并使用碎片按照明文比较的流程递归的进行比较，所有最小比较单元都比较完成后，再将比较结果的碎片进行还原以获取整个数据的比较结果。

由于最小单元的比较结果都是碎片，到比较结束才会还原递归计算的结果，就避免了获取最小比较单元比较结果导致的信息泄露。

--协议流程--

Alice拥有数据x，Bob拥有数据y，数据的二进制长度为l，最小比较单元的二进制长度为m，划分的最小比较单元个数为q=l/m，最小比较单元的十进制最大值为M=2^m-1

1）双方分别划分数据：x=x0||...||x(q-1)，y=y0||...||y(q-1)

2）对于所有的最小比较单元xi(0<=i<q)，通过不经意传输获取每个最小比较单元比较结果的碎片

*Alice作为不经意传输的发送方准备数据：随机生成布尔值<lt_i>_0，<eq_i>_0，分别作为xi是否小于和等于yi的布尔分享碎片，对于0<=j<=M，分别设置两个不经意传输实例的输入为：

sij=<lt_i>_0⊕1{xi<j}

tij=<eq_i>_0⊕1{xi=j}

*Bob将yi作为输入分别执行两个不经意传输实例，获取两个比较结果的碎片：

<lt-i>1和<eq-i>1

例如当m取2时，Alice的第一个最小比较单元x0=2，Bob的第一个最小比较单元y0=1，Alice随机生成<lt_0>_0，<eq_0>_0，并按下表生成两个不经意传输的输入：

Bob使用y0作为两个不经意传输的选择项，获取：

<lt_0>_1=0⊕<lt_0>_0，<eq_0>_1=0⊕<eq_0>_0

3）所有最小比较单元比较完成后，双方都获取了对应的最小比较单元间是否小于和是否等于的布尔分享碎片，即可按照明文比较流程，使用碎片递推计算出最终比较结果的碎片。

对于碎片的异或操作，只需要进行本地对碎片进行异或就行。对于碎片的与操作，则需要按照上面介绍的方案通过不经意传输计算出结果的碎片。

在递推过程中主要有两个地方需要执行与操作：

当前面所有比较单元相等，需要比较下一个时：

1{x0||x1=y0||y1}∧1{x2<y2}

计算前面所有比较单元是否都相等时：

1{x0||x1=y0||y1}=1{x0=y0}∧1{x1=y1}

--总结--

该协议整体思路和明文的比较流程一致，并使用不经意传输和秘密分享技术保证数据的隐私性，也是当前效率比较高的协议。

对于单个元素的比较，与运算的OT实例，无法通过OT扩展进行优化，因为需要进行递归的计算，前后有依赖关系。对于批量元素的比较则可在纵向对于相同位置与运算的OT实例通过OT扩展来优化效率。

作者简介

刘敬

趣链科技数据网格实验室BitXMesh团队

参考文献

原论文：RatheeD,RatheeM,KumarN,etal.CrypTFlow2:Practical2-partysecureinference//Proceedingsofthe2020ACMSIGSACConferenceonComputerandCommunicationsSecurity.2020:325-342.

标签：区块链LICALICEALI如何使用区块链技术Hyperbolic Protocolalice币最新消息galilel

ADA热门资讯