数据安全：一文读懂隐私计算

让我们从一个生动的故事入手：想象两位百万富翁偶然在街头相遇，他们各自都想夸耀自己的财富，又不愿透露具体的财务状况。他们面临的挑战是，如何确定谁更富有而不泄露各自的具体数字。这其实是隐私计算技术面临的一种经典问题。

隐私计算是一组技术和方法，它们使我们能够在保护数据主体隐私的前提下，安全地存储、处理和分析数据。这些技术确保数据在加密或其他形式的保护下进行处理，从而在整个处理过程中保障数据内容的安全与隐私。

这些技术主要包括：安全多方计算、同态加密、联邦学习、机密计算、差分隐私以及零知识证明等。例如，通过安全多方计算，两位百万富翁可以在不直接透露各自资产的情况下，确认谁更为富有。

你可能已经意识到，这种能力——在不公开各自数据的前提下进行数据融合和安全计算——正是目前高效安全数据要素流通所追求的目标。

尽管隐私计算的相关概念颇为抽象，技术涉猎广泛，但我会尽量用简洁通俗的方式来解释每个概念。在介绍每种技术时，我不仅会阐述其定义，还会提供典型的应用场景和技术原理，让这些高深的技术变得更加贴近实际，易于理解。

• M0 = "Hello" （我们用ASCII码转换为数字，"Hello" 转换为 72, 101, 108, 108, 111）

• M1 = "World" （同样，"World" 转换为 87, 111, 114, 108, 100）

• 公钥 puk0 和私钥 prk0

• 公钥 puk1 和私钥 prk1

• Alice 将两个公钥 puk0 和 puk1 发送给 Bob。

• 假设 Bob 想要 M0，他生成一个随机数 r = 12345。

• Bob 使用公钥 puk0 对随机数进行加密，得到密文 c。

• Alice 使用私钥 prk0 和 prk1 尝试解密 c。

• 假设只有 prk0 能正确解密 c，得到 k0 = 12345，而 prk1 解密结果为无效（或随机数）k1。

• Alice计算 e0 = k0 XOR M0 和 e1 = k1 XOR M1，然后将 e0 和 e1 发送给 Bob。

• Bob 使用他的真实随机数 r = 12345 对 e0 进行异或操作，即 12345 XOR e0，得到原始消息 M0 = "Hello"。

• 对于 e1，由于 k1 是无效的，异或操作将产生无意义的输出。

• Alice的输入x：1

• Bob的输入y：0

Alice的密钥：

• Alicekeyfor_0：当 Alice 的输入x为 0 时使用的密钥

• Alicekeyfor_1：当 Alice 的输入x为 1 时使用的密钥

Bob的密钥：

• Bobkeyfor_0：当 Bob 的输入y为 0 时使用的密钥

• Bobkeyfor_1：当 Bob 的输入y为 1 时使用的密钥

• 当x = 0和y = 0时，输出z = 0：加密为："Encrypted_00"

• 当x = 0和y = 1时，输出z = 0：加密为："Encrypted_01"

• 当x = 1和y = 0时，输出z = 1：加密为："Encrypted_10"

• 当x = 1和y = 1时，输出z = 0：加密为："Encrypted_11"

• "Encrypted_11"

• "Encrypted_01"

• "Encrypted_10"

• "Encrypted_00"

• Alice 选择与她的输入相关的密钥（因为她的输入是1，她选择 Alicekeyfor_1）并发送给 Bob。

• Bob 选择与他的输入相关的密钥（因为他的输入是0，他选择 Bobkeyfor_0）。

• Bob 使用这两个密钥尝试解密每一条加密信息。在这个例子中，他只能成功解密 "Encrypted_10"，得到结果 '1'。

• 选择两个大的质数 p 和 q。

• 计算 n = p * q 和 λ = lcm(p-1, q-1)，其中 lcm 是最小公倍数。

• 选择一个随机的整数 g，其中 g 在模 n^2 的群中。

• 对于一个明文 m，选择一个随机数 r。

• 密文 c 计算为 c = g^m * r^n mod n^2。

• 使用密钥 λ 和函数 L(x) = (x-1)/n 计算明文 m：

• m = (L(c^λ mod n^2)) / (L(g^λ mod n^2)) mod n。

• 数据和代码在使用过程中是加密的,对系统管理员、云服务商等都是黑盒;

• 执行环境与系统其他部分隔离,避免数据被恶意窃取或篡改;

• 远程证明(Remote Attestation)机制可以向数据所有者证实TEE的真实性。

• 查询定义：计算特定年龄组内被诊断为糖尿病的患者人数。

• 灵敏度确定：此查询的灵敏度为1，因为添加或删除一个数据记录最多改变查询结果1（一个人的存在或缺失）。

• 确定ε值：较低的ε值（如0.1）表示较强的隐私保护，但噪声更大，结果的准确性较低。

• 选择噪声分布：使用拉普拉斯分布，因为它适用于保证ε-差分隐私。

• 计算噪声规模：噪声的规模β设置为 Δf/ε = 1/0.1 = 10。

• 执行查询：假设查询没有加噪声时的结果是300人。

• 添加噪声：从均值为0，规模为10的拉普拉斯分布中生成一个随机数，假设这个随机数为-7。

• 噪声结果：查询结果加上噪声后是300 - 7 = 293。

• 结果处理：发布的结果是293，这个数值包含了随机噪声，从而保护了单个病例的隐私。

• 结果解释：研究人员和政策制定者使用这个结果时需要考虑到其包含噪声的事实，即实际数值有一定的不确定性。

• 在注册过程中，用户创建一个密码，并根据这个密码生成一个加密的证明（例如，使用哈希函数的结果）。然后，用户将这个加密证明发送给服务提供商，服务提供商将其存储为用户的身份验证凭据。

• 当用户试图访问服务时，他们不需要发送实际的密码。相反，服务端发起一个基于存储的加密证明的挑战。

• 用户根据密码和收到的挑战，本地生成一个响应（或证明）。这个响应是根据一个特定算法生成的，这个算法可以使用密码和挑战的信息，但结果不会泄露密码本身。

• 提交证明：用户将证明提交给服务提供商。

• 服务提供商验证：服务提供商验证提交的证明是否与先前存储的加密凭据匹配。

• 访问授权：如果证明是正确的，服务提供商允许用户访问服务。否则，访问将被拒绝。

• 增强安全性：用户的密码或其他敏感信息从未在网络上传输，降低了被截获或泄露的风险。

• 隐私保护：即使是服务提供商也无法看到用户的密码，从而保护了用户的隐私。

• 抗钓鱼攻击：由于密码本身从未被发送，因此钓鱼网站无法通过传统的监听或欺骗手段获取密码。

• 用户生成两个密钥：一个私钥s（一个随机选择的数）和一个公钥p。公钥通过选定的一个大质数q和生成元g计算得出，即p = g^s \mod q。

• 注册公钥：用户将其公钥p发送给服务提供商，服务提供商保存这个公钥作为用户的身份验证依据。

• 选择随机数：为了开始一个登录尝试，用户首先选择一个随机数r并计算v = g^r \mod q。

• 发送承诺：用户将v作为承诺发送给服务提供商，而不是发送其私钥或任何直接信息。

• 发送挑战：服务提供商生成一个随机数c，作为挑战发送给用户。

• 生成响应：用户计算响应t = r + c \cdot s \mod q，其中s是用户的私钥。

• 发送响应：用户将t发送回服务提供商。

• 验证响应：服务提供商接收t，并验证g^t \equiv v \cdot p^c \mod q是否成立。

• 授权访问：如果上述等式成立，表明用户确实拥有对应于公钥p的私钥s，从而验证了用户的身份。

数据治理与数据资产管理平台方案 １９７６

一文详解数据治理框架图 ｜ ＤＧＩ数据治理（二） １６２６

国家统计局刚刚公布：数据造假纳入纪律处分．．．．．．２４８２

读透数据治理：ＤＧＩ框架全解（第一章） １９８４

数据治理核心工作内容 ２９７５

数据管理关键技术顶层设计 ２０５０

上海市数据局揭牌成立 ４２３３

查看全部文章