多方安全計算

多方安全計算概述

多方安全計算（Secure Multi-Party Computation， MPC）是密碼學的一個分支，在無可信第三方的情況下，仍可安全地按照公開的計算邏輯，進行數據協同計算，並輸出結果。

即使參與各方輸入的數據只有自己知道，仍可以通過加密算法，各自得到自己想要的計算結果，但無法推斷出原始加密數據，從而保障了隱私安全。

MPC起源於姚期智院士在1982年提出的百萬富翁問題。自MPC理論創立以來，已經衍生出多個技術分支，包括混淆電路、秘密分享、同態加密，不經意傳輸，隱私集合交集和差分隱私等。

混淆電路

混淆電路（secret sharing，SS）又稱姚氏加密電路。它在1986年由姚期智教授提出，所以又稱姚氏電路。

其核心是將安全計算函數編譯成布爾電路的形式，對電路本身進行加密。對於混淆電路存在兩種操作：

一種是生成混淆電路，先生成一個特定功能的布爾電路，再以此為基礎，將其中的邏輯門（真值）轉換為混淆門（假值），即可生成一個混淆電路；

另一種操作稱為求值操作，先生成混淆電路，再使用混淆電路計算得到輸出。

混淆電路也可以理解為一種密碼學協議，它基於混淆電路形成安全計算協議，由最初的兩方安全協議，推演出多方安全協議。

秘密分享

秘密分享（secret sharing，SS）由Shamir和Blakley於1979年提出，秘密分享算法是將極為復雜的電路設計，簡化為簡約高效的數學思路。

其基本形式是將每個數字拆散成多個數，並將這些數分發到多個參與方，而每個參與方只能拿到原始數據的一部分。

結果是，要想還原真實數據，只有大家把各自所分得的數據放在一起才能實現，缺一不可。

由於秘密拆分方式不同，秘密分享分為基於多項式插值的秘密分享和加性秘密分享。

加性算術秘密分享能夠計算線性運算、加性布爾秘密分享能夠計算比較大小等非線性運算。

加性秘密分享只需要進行簡單的運算，計算開銷小，在MPC中得到了廣泛的應用。秘密分享的缺點是交互輪數和電路深度有關。

不經意傳輸

不經意傳輸（oblivious transfer，0T）由Rabin於1981年提出，消息發送方擁有多個消息，接收方只能獲得其中某個值，而發送方也不知道接收方的選擇信息。

其衍生技術相關不經意傳輸（correlated oblivioustransfer，COT）可以生成具有關系的隨機數。

OT，COT是重要的密碼學組件，能夠為GC傳輸導線標簽、為SS生成相關隨機數，只使用OT技術也能實現MPC協議。

在OT的性能優化歷程中，OT擴展（OT Extension）技術引入對稱加密來降低計算開銷，靜默OT擴展（silent OT Extension）技術在本地擴展隨機數種子來降低通信開銷。

同態加密

同態加密（homomorphic encryption，HE）的概念由Rivest等人於1978年提出，可以在無需解密的情況下直接對加密數據執行計算。

在發展過程中先后有部分同態加密方案與淺同態加密方案提出，直到2009年Gentry構造出首個全同態加密方案。

同態加密的優點是能以最小的通信成本設計輪數較優的MPC協議，缺點是乘法同態運算會帶來較大的計算和存儲開銷，目前加法同態在實際中應用較多。

差分隱私

差分隱私（Differential Privacy，DP）技術是Dwork在2006年針對數據庫的隱私泄露問題提出的一種新型密碼學手段。

該機制是在源數據或計算結果上添加特定分布的噪音，確保各參與方無法通過得到的數據分析出數據集中是否包含某一特定實體。

差分隱私包括本地差分隱私和計算結果差分隱私。

本地差分隱私指在匯聚和計算前對數據加入噪聲，用於數據收集方不可信的場景；

計算結果差分隱私是指最終計算結果發布前對其加噪聲。

隱私集合交集

隱私集合求交（Private Set Intersection，PSI）是多方安全計算領域中的經典問題，它要求參與方在互相不公開本地集合的前提下，共同計算得出多個參與方的集合的交集，且不能向任何參與方泄露交集以外的信息。

PSI 是隱私計算關鍵技術之一，也是縱向聯邦學習的關鍵支撐技術。

在縱向聯邦學習場景中，PSI 也被稱為樣本對齊（Sample Alignment）或者數據庫撞庫，即各參與方需要首先求出各自的訓練樣本ID集合之間的交集。

基於計算得到的訓練樣本ID 交集進行后續的縱向聯邦模型訓練。

零知識證明

零知識證明（zero-knowledge proof）是指證明者能夠在不向驗證者提供任何有用的信息的情況下，使驗證者相信某個論斷是正確的計算技術。

零知識證明的原理在於構建一個多方協議，即參與的多方需要完成一項任務所需采取的一系列步驟，通過完成這些步驟。

證明者向驗證者證明並使其相信自己知道或擁有某一消息，但證明過程不能向驗證者泄漏任何關於被證明消息的信息。

小結

目前MPC技術最典型的應用場景是隱私保護機器學習（privacy-preserving machine learning，PPML）。

從算法應用來說，多方安全計算根據其可在各方不泄露輸入數據的前提下完成多方協同分析、處理和發布結果這一技術特點，廣泛應 用於聯合統計、聯合查詢、聯合建模、聯合預測等場景，也可以支持用戶自定義計算邏輯的通用計算需求。

本文是對多方安全計算的概述，后續會分別介紹各個技術特點，以及如何利用MPC技術來實現PPML方案。

參考文獻

1. 郭娟娟，王瓊霄等. 安全多方計算機器在機器學習中的應用. 計算機研究與發展. 2021.06
2. 隱私計算聯盟. 隱私計算白皮書（2021）. 2021.07