查看原文
其他

论文分享|TinyOLE: Efficient Secure Two-Party Computation from OLE

论文名称:TinyOLE: Efficient Secure Two-Party Computation from OLE
论文出处:CCS 2017
论文链接:https://eprint.iacr.org/2017/790.pdf
1

前言

本次分享的文章发表在ccs17, 文章提出了基于OLE的两方安全计算方案。TinyOLE是一种实现无条件安全双方计算的有前景的方法。建立在OLE原语之上,该协议高效且可应用于广泛的应用场景。虽然该协议存在一些限制,但它代表了安全计算领域的重要进展。

文章引入了一种基于不经意线性函数计算(OLE)的主动安全两方安全计算(2PC)的新方法,这是不经意传输(OT)的拓展。该协议在概念上简单,提供无条件的UC-安全性,并将OLE原始操作作为黑盒使用。

1-out-of-2 OT中,发送者输入两个消息x_0x_1,接收者输入一个选择位b并只获取x_bOLE在有限域F上工作,其中发送者输入两个域元素ab,接收者输入一个域元素x并只获取f(x) = ax+b。注意,如果我们设置b= x_0 a = x_1 x_0 ,那么f(0) = x_0 f(1) = x_1 。因此,对于有两个元素的字段,OLE等同于比特的1-out-of-2 OT。因此,OLE可以被视为OT的拓展,适用于较大字段的情况。在多种假设下,可以有效地实现OLE,既有独立的安全性,也有UC-安全性。

文章所提出的协议可以评估一个有限域F上的算术电路,前提是拥有OLE的黑盒访问机制。这种方法每个乘法门只消耗22OLE。从概念上讲,文章所提出的方案采用了Nielsen等人在tinyot中的技术,将基于OT的布尔电路的实际积极安全的2PC提升到算术设置。在此过程中,文章开发了几种新的方案,用于生成各种风格的OLE并组合它们。

2

OLE的扩展


发送者有k对随机输入(a_i, b_i),而接收者有一个随机输入x。协议的主要思想是使用一个额外的OLE来检查接收者是否按照协议中规定的在所有OLE中使用相同的输入。发送者选择一个额外的输入a_{k+1} = a_1+…+a_k,而接收者均匀随机地选择r。双方执行k+1个F_q -OLE,接收者输入(x, r_i ),发送者输入a_i 。发送者获得 t_i = a_i*x + r_i。如果双方都按照协议行事,那么整个协议的正确性得到保证。


发送者首先对他的值进行承诺(commit),然后接收者将他的值发送给发送者,发送者检查两个值是否相等并提供解承诺(decommitment)。如果解承诺是正确的,发送者将 t_i + b_i 发送给接收者,接收者移除他的遮蔽值 r_i 来得到 a_i*x + b_i。这种承诺可以再次通过一个OLE来实现,因此F_q^k -OLE的总开销是2个F_q -OLE实例。


3

生成秘密分享和乘法三元组

文章采用了以下协议来计算三元组 (a_A ,b_A ,c_A )  (a_B ,b_B ,c_B )

(1) AB在本地随机选择 (a_A ,b_A ,r_A )  (a_B ,b_B ,r_B )


(2) AB计算值 c_A^i ← F_q -OLE(a_B ,r_B ;b_A )  c_B^i← F_q -OLE(a_A ,r_A ;b_B )


(3) A设定 c_A = c_A^l r_A + c_A^i B设定 c_B = c_B^l  rB + c_B^i 该协议的半诚实隐私性是基于c_A^i  c_B^i  b_B  b_A 无关,因此不会泄露关于这些值的任何信息(其余的计算是本地的


同时文章提出了一个增强型的(仍然是半诚实安全的)协议。协议中AB接收到另一方的三元组的MACsA方选择一个全局的MAC密钥_B 以及特定的密钥 K_{aB} , K_{bB} K_{rB} 。同样地,B方选择一个全局的MAC密钥_A 以及特定的密钥 K_{aA} , K_{bA} K_{rA} 

4

安全两方计算协议

文章提出了基于算术电路的两方计算协议并在F_Deal-混合模型中证明了其UC安全性。该协议构建使用基本技术将随机算术操作转换为确定性算术操作。由于我们使用已认证的值作为输入,我们必须确保算术操作返回一个已认证的结果。


解随机化输入所需的所有操作都是加法。假设A方想要加两个已认证的值(x, M_x )和(y, M_y ),对应的由B持有的密钥分别为K_x和K_y。那么A计算 z = x + y, M_z = M_x + M_y = ∆_A (x + y) + K_x + K_y ,而B计算 K_z = K_x + K_y 。那么,值z被M_z正确地认证,并且B持有相应的密钥K_z 。


5

实验结果

文章估计了三个协议每次生成乘法三元组的通信开销,并在表1中与现有解决方案进行了比较。可以得出即使与运行在较小的有限域或具有较弱的安全保证的方案相比,文章的的方法也优于先前的解决方案。


来源: COMPASS Lab


作者:jiazhuo


分享仅供学习参考,若有不当,请联系我们处理。


END

1.密码学中的承诺原语(Commitment Scheme)与经典方案(上)

2.笔记分享|组队学习MPC第一期:安全多方计算从0到1

3.论文合集 | 联邦学习 x ICCV'2023

4. 零知识证明系统的比较:Plonk 与 Groth16


个人观点,仅供参考
继续滑动看下一个
隐私计算研习社
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存