对于多方安全计算,你是否也有这样的疑惑?
问题
2
回答
对于安全多方计算协议来说,我们需要针对问题定义一个对应的ideal functionality,然后设计协议来模拟这个ideal functionality。
通俗来说,我们首先假设存在一个可信第三方(可能需要经过专门定制)的方案来解决对应的问题,然后我们要设计协议来取代这个可信第三方(或模拟可信第三方的存在),获得一个移除了可信第三方的协议。协议的安全性证明(不正式地描述)是,任何针对协议的攻击都可以转换成针对存在可信第三方的方案的攻击,因为存在可信第三方的方案非常简单,一眼就知道是安全的,那些攻击都是无力的,那么协议就是安全的。
针对题目中的场景, 拥有, 拥有,需要计算。那么对应的存在可信第三方的方案就是,把 发给可信第三方,把 发送给可信第三方,然后可信第三方计算得到,并把结果发送给指定的接收方(如 或 的其中一方或者同时两方)。
那么,我们设计的想要移除可信第三方的协议,就没法保证做到比存在可信第三方时还要好。而在这个可信第三方存在的方案中,,则就算可信第三方存在,一方得到结果,肯定可以从另一方的输入中推算到另一方的输入,这不影响协议的安全性,因为协议我们只能要求它能够取代可信第三方的存在。换句话说,收到结果的一方通过协议(或者可信第三方存在的方案),只能得到结果以及自己输入所能推导出的信息。因为这里可以推导出另一方的输入,那这也是允许的。如果参与方是3人,计算 , 输入为 并且得到结果 ,那么很自然他能推导出 ,这里得到 也不能说协议的安全性受损。
需要注意到,存在可信第三方的方案非常简单,一眼就知道是安全的,同时也需要注意到,这里 和 的输入是他们自己控制的,在有些场景下,我们是阻止不了他们通过刻意的输入,获得对方的输入内容。比如 , 这里 和 都是0或1,计算的函数是”与“运算。如果 输入是0,那么得到 也没法帮助他获得 。如果输入是1,那么他必然可以反推得到 的值。这里从存在可信第三方的方案可以知道,我们没法阻止 故意输入1来得到 。
再稍微补充一下,为什么上面提到说可信第三方是需要经过定制的。我们还是考虑上面的两方场景(上面讨论的是半诚实模型下的场景,即参与两方都会认真遵从协议,这里我们将讨论恶意模型,即参与方可能会偏离协议),并且我们的场景希望最后两方都得到结果 。理论上已经证明,对于两方协议,如果一方作恶偏离协议,那么协议没法达到这个完全公平的目标。从直觉上我们也可以知道,如果一方在拿到结果后直接跑路,另一方就没法得到结果。那么这里我们如果我们就要假设存在一个可信第三方存在的理想方案,我们不能让可信第三方直接把结果发给二人(因为这样没有协议能做到模拟这种场景)。我们这里就需要定制这个可信第三方,让可信第三方把结果发给恶意的参与者,然后询问恶意参与者,是否要把结果发给另一个诚实参与者,如果恶意参与者同意则发,不同意则不发。基于这个定制,我们才能够设计的协议来模拟这个存在可信第三方的方案。
作者知乎:刘逸
如果小伙伴们对于上面的问题有自己的见解,欢迎在下方进行留言,也许对这个问题一头雾水的你和大家一起讨论后就变得清晰通透~
往期推荐
密码学中常见加密算法的python模块整理
并行联邦学习:一种具有理论保证的联邦学习加速方案
Graph-Fraudster:面向图垂直联邦学习的对抗攻击