精彩回顾 | 阿里巴巴刘巍然作为嘉宾出席“2022数据要素安全流通论坛—多方安全计算专场（二）”并发表主题演讲

6月10日，由《数据要素安全流通白皮书》编委会主办的《2022数据要素安全流通论坛—多方安全计算专场（二）》在线上举行，众多数据安全厂商大力支持，与大家共同探讨多方安全计算在政策、法律、应用、技术层面等相关方面问题和知识，以促进数字经济的持续发展和多方安全计算的高质量发展。

本次论坛受邀出席嘉宾有华东江苏大数据交易中心总经理汤寒林、国家工业信息安全发展研究中心贵州分中心主任邱凯达、阿里巴巴集团高级安全专家DataTrust隐私增强计算产品安全技术负责人刘巍然、国家金融科技测评中心信息安全业务部高级主管郑峥、神州融安数字科技（北京）有限公司创始人&CTO刘伟。

精彩回顾

阿里巴巴集团高级安全专家DataTrust隐私增强计算产品安全技术负责人刘巍然作为嘉宾出席此次论坛，并围绕“EC-DH隐私集合求交：原理与实现”主题进行分享。

01

隐私集合求交概述

刘巍然首先介绍隐私集合求交定义。隐私集合求交定义包含两个参与方，分别为服务端和客户端，服务端提供一个集合，该集合是X1~Xn，有N个元素，客户端也提供一个集合，该集合是Y1~Yn，也有N个元素。实际实现过程中，服务端和客户端的元素可以不同，协议执行完毕后，服务端不会得到任何输出，客户端会得到交集。

刘巍然还介绍隐私集合求交应用。从更广义的范围展开，隐私集合求交最大的应用是在移动端实现隐私保护联系人发现功能，简单来说，就是当用户注册手机端Apple时，系统经常为用户出现提示：哪些已有的好友已经是Apple应用用户，您可以与这些好友进行联系。不可避免地，服务端要读取客户端手机通讯录，并且与服务端已经注册的用户通讯录进行匹配，并把匹配结果返回到客户端，客户端用户就可以知道哪些联系人也是Apple用户。这里面就会涉及到一个安全问题：如果不使用多方计算、隐私集合求交协议，服务端可以读到客户端所有的通讯录信息，所以可以通过使用隐私集合求加协议来实现安全保护。

第二个很重要的应用是在数据要素流通过程中，如果两方对不管是商品还是客户进行ID方面的匹配后，可以在匹配结果上做进一步相应的计算，这样的功能叫做隐私保护匹配计算。

此外，说到求交，如果不涉及多方安全计算，很容易提出一个看似安全的协议，称为朴素哈希协议，它要解决的问题是两方不想把原始的ID或者手机号等匹配的ID明文分享给对方，否则对方可以拿到不属于自己的手机号或ID等信息，那简单的处理方式是：

哈希函数的安全具有不可逆性，如果只达到手机号或ID原始信息的哈希结果的话，很难反推出原始的手机号或ID信息，看起来协议是安全的，但实际上并不安全，将会面临安全问题：如果秘密输入的信息熵比较低，则此协议无法保护P1秘密输入的隐私性。

为了解决上述问题，需要Diffie-Hellman隐私集合求交协议，此协议1）最初由[Meadows-1986]提出，后续[Huberman-Franklin-Hogg-1999]又独立地提出了这一协议；2）可以看成是Diffe-Hellman密钥协商协议的变种协议；3）与Dire-Hellman密钥协商协议类似，此协议也可以使用椭圆曲线实现，即将G换为椭圆曲线群。具体流程为：

02

椭圆曲线的定义与性质

上述提到用椭圆曲线来实现，那何为椭圆曲线呢？为此，刘巍然还介绍了椭圆曲线的定义和性质。

椭圆曲线是由方程描述的曲线，其中。一般称此方程是椭圆曲线的魏尔斯特拉斯形式。根据椭圆曲线坐标类型的不同，可以将椭圆曲线分为实数域椭圆曲线和有限域椭圆曲线。简单来说，实数域椭圆曲线是指方程的坐标均可以为实数。典型的实数域椭圆曲线形状如下图所示：

实际上主要使用有限域椭圆曲线。有限域上的椭圆曲线也由包含变量的等式所定义：，其中均为中的元素。考虑椭圆曲线：

在椭圆曲线下，可以定义加、乘等运算，此处给出了加运算：

加运算：当时，相当于在图像上连接两点，交椭圆曲线到第三个点，并取相对于横轴的对称点得到，如下图所示：

逆运算：既然定义了加法运算，也就需要定义减法运算。两个椭圆曲线点的减法运算可以看成一个椭圆曲线点加上一个椭圆曲线点的逆元，即。给定椭圆曲线点，则定义为相对于横轴的对称点，即，如下图所示：

乘运算：当时，相当于计算在椭圆曲线上的切线，交椭圆曲线到另一个点，并取相对于横轴的对称点得到，如下图所示：

03

Curve25519与Ed25519

刘巍然还介绍了Curve25519和Ed25519椭圆曲线，其中蒙哥马利形式的椭圆曲线方程定义为：

扭曲爱德华形式的椭圆曲线方程定义为：

维尔斯特拉斯曲线、蒙哥马利曲线、扭曲爱德华曲线这三类椭圆曲线之间可以相互转换。

此外，刘巍然还介绍了哈希到椭圆曲线（HashToPoint）的操作：

1)不安全的方案

2）可能的方案：哈希到x

关于椭圆曲线运算：从理论到实践和Ed25519与Curve25519：概念与相互转换的详细知识点，可以访问

https://zhuanlan.zhihu.com/p/523081167、https://zhuanlan.zhihu.com/p/524180490。