解決“百萬富翁問題”—隱私比較高效算法解讀_加密貨幣

隱私比較是指在不暴露雙方具體數值的前提下，獲取雙方數值的大小關系。最早起源于姚期智的百萬富翁問題：有兩個百萬富翁想要比較下誰更富有，但是又不想透露自己有多少錢，如何在沒有可信第三方的情況下進行比較？這個問題是由中國第一個也是目前為止唯一一個圖靈獎獲得者姚期智在1980年代提出的，他是中國計算機學術和教育的第一人，為現代密碼學打開了一道新的大門。

在之前的文章《優雅的求職——隱私比較算法實例》中已經通過求職案例介紹了隱私比較的應用場景以及如何實現，本文則主要介紹一種在當前效率比較高的隱私比較協議。

該協議是CrypTFlow2:Practical2-PartySecureInference中提出的一個子協議，并基于此協議實現DRelu激活函數應用于神經網絡中。

--相關技術--

該協議主要使用了布爾秘密分享和不經意傳輸兩種技術進行構建：

▲?不經意傳輸

不經意傳輸(OT，ObliviousTransfer)是指數據發送方有n個數據，數據接收方接收其中的一個數據，且數據接收方不能獲取其他的數據，數據發送方也不知道接收方選擇接收的數據具體是哪一個。在之前的文章《基于安全多方計算(MPC)的隱私計算技術(一)》中已介紹過一種實現方案，故本文不再贅述。

IMF：加密貨幣與亞洲股市相關性顯著上升，監管機構需解決“數據差距”:金色財經報道，8月21日，國際貨幣基金組織（IMF）發布文章稱，亞洲地區加密貨幣交易量與股票市場的連動性現已大幅增長，由此凸顯出監管的必要性。IMF表示，世界上很少有地方像亞洲那樣接受加密貨幣資產，亞洲的頂級用戶包括印度、越南和泰國等國的個人和機構投資者，這就引出了一個重要的問題，即加密貨幣融入亞洲金融體系的程度。

隨著亞洲投資者扎堆進入加密貨幣，該地區股市表現與比特幣和以太坊等加密貨幣資產之間的相關性有所提高。雖然在疫情之前，比特幣和亞洲股票市場間的回報和波動相關性較低，但自2020年以來，此相關性已顯著上升。

如，比特幣與印度股市的回報相關性在新冠疫情期間增加了10倍，這表明加密貨幣的風險分散收益有限，而波動性相關性增加了3倍，表明加密貨幣和股票市場的風險情緒可能會溢出。

IMF認為，亞洲加密貨幣和股票市場互聯性增強的關鍵驅動因素可能包括股市和場外交易市場對加密貨幣相關平臺和投資工具的接受程度不斷提高，或者更普遍地說，亞洲散戶和機構投資者對加密貨幣的接受程度不斷提高，其中許多人在股票和加密貨幣市場均有頭寸。[2022/8/22 12:40:57]

▲?布爾秘密分享

美國交通部考慮引入加密貨幣激勵模式解決“停車難”問題:金色財經報道，1月10日，美國交通部（DOT）最近宣布正在研究一種加密貨幣激勵模型，以解決停車位短缺的問題。美國交通部正在通過其“SBIR”（小型企業創新研究）計劃審查代幣激勵模式的可能性。據悉，在 COVID-19 危機之后，消費者、工人和其他司機停車位不足的問題迅速出現，區塊鏈技術可用于為使用公共交通工具的通勤者提供加密貨幣激勵，獎勵代幣通過用于預留停車位共享停車概念的程序進行，并為用戶提供實時獎勵并將能夠提供透明的信息和可靠的數據。（theblockcrypto）[2022/1/10 8:38:06]

在安全多方計算中會使用秘密分享將數據進行拆分后分享出去，每一方拿到每個數據的相應碎片，對于原始數據的計算邏輯都會轉為對碎片的計算，在整個計算邏輯完成后，再將碎片的計算結果進行匯聚還原以獲取原始數據的計算結果。

布爾秘密分享是指將一個布爾值b拆分成兩個碎片b0、b1，將兩個碎片匯聚到一起即可還原出原始數據b。

碎片生成：隨機生成一個布爾值b0，并和b執行異或計算出b1=b0⊕b

碎片還原：對兩個碎片執行異或操作

V神發布旨在解決“大區塊鏈”中心化和信任問題的路線圖:12月6日，以太坊創始人V神（Vitalik Buterin）發布文章《Endgame（最后階段）》。考慮到一般的“大區塊鏈”，即非常高的區塊頻率、非常大的區塊規模、每秒數千筆交易，但也高度中心化的區塊鏈，V神稱，至少按照其標準，如何才能使這樣的鏈可接受的無需信任和抗審查？文章提出了一個合理的路線圖：1.添加第二層質押，以進行分布式區塊驗證；2.引入欺詐證明或ZK-SNARK，讓用戶直接（且低成本地）檢查區塊有效性；3.引入數據可用性采樣，讓用戶檢查區塊可用性；4.添加二級交易渠道以防止審查。對于以太坊Rollup的未來，V神表示，沒有任何一個Rollup能成功地與大多數以太坊活動保持一致。相反，它們都以每秒幾百筆交易的速度達到極限。我們得到一個以太坊的多Rollup的未來，即Cosmos的多鏈愿景，但是在一個提供數據可用性和共享安全性的基礎層之上，用戶可以依靠跨Rollup橋接在不同Rollup之間切換，而不需要支付主鏈上的高額費用。這一切可能需要數年時間才能實現。人們需要數年的改進和審計才能完全放心地將其資產存儲在運行完整EVM的ZK-Rollup中，跨域MEV研究也仍處于起步階段。但是，可擴展區塊鏈的現實而光明的未來可能會出現，這一點看起來越來越清晰。[2021/12/7 12:55:20]

b=b0⊕b1

中國網財經：區塊鏈技術可解決“蘿卜章”問題:7月1日，中國網財經刊文稱，區塊鏈技術具有解決“蘿卜章”問題的先天性基因：不可篡改，可追溯，永不丟失的特性就是各種契約的剛需。如果建立一個大型的契約系統，把電子公章和電子簽名的數據上鏈，并且在系統中通報，那么所有的造假印章將無所遁形。而要達到這個效果，需要區塊鏈技術覆蓋到實體經濟的方方面面，形成大規模應用和區塊鏈產業整體的發展。到那個時候，騰訊自己就能識別出“蘿卜章”了，未來值得期待。[2020/7/2]

異或運算：布爾秘密分享在異或操作上是滿足同態性質的，在本地通過對碎片進行異或操作再還原就等價于對原始數據的異或操作

a=a0⊕a1，b=b0⊕b1

a⊕b=(a0⊕b0)⊕(a1⊕b1)

與運算：布爾秘密分享對于與操作不滿足同態性質，使用不經意傳輸技術以實現安全的與操作：

Alice持有碎片a0和b0，Bob持有碎片a1和b1，通過與運算使得Alice獲取c0，Bob獲取c1，c0⊕c1=(a0⊕a1)∧(b0⊕b1)，并保證雙方碎片的安全；

Alice作為不經意傳輸的發送方，隨機生成一個布爾值r作為c0，并按下圖生成不經意傳輸的輸入：

聲音 | 專家建議用大數據+區塊鏈解決“黑油”泛濫等問題:據人民網消息，對于非法成品油銷售的安全、環保、稅收流失等問題，中石油銷售部門負責人以及、環保系統干部建議，用“區塊鏈”思維構建煉油企業的“供應鏈”，將產、銷、供、用黑油的企業、個人納入征信體系，形成“黑名單”，最大限度形成威懾力。銀保監會柳州監管分局局長吳劍認為，地煉企業、運輸企業、倉儲、零售終端及用油企業相互之間存在著很強的“網絡結構”，通過區塊鏈技術嵌入的方式，能夠最大限度地覆蓋產業鏈中的每一個環節，也就最大限度避免煉油企業偷逃稅款的可能性。[2018/10/22]

Bob作為不經意傳輸的接收方將自己的碎片a1，b1拼接成a1||b1作為不經意傳輸的選擇項獲取數據r⊕((a0⊕a1)∧(b0⊕b1))作為c1；

可驗證c0⊕c1=r⊕r⊕((a0⊕a1)∧(b0⊕b1))=(a0⊕a1)∧(b0⊕b1)；

本質是將與運算的所有可能性羅列出來，加入隨機項后由另一方根據自己的數據選擇混淆后的計算結果。

--實現思路--?

▲明文比較

首先不考慮比較運算的隱私性，平常情況下兩個數是如何比較大小的：

將兩個數對齊為相同長度的數字數組，長度不夠的則在前面補0a=123，b=5879，a=>，b=>

對兩個數組里面的數字進行順序比較，如果對應位的數字相等，則繼續比較下一位，直到有一位不相等，最早不相等那位的比較結果即為兩個數據的比較結果，若所有位的數字都相等，則兩個數據相等。整個過程可歸納為以下公式：X，Y都是長度為n的數據，1{X，滿足大括號內條件時為1否則為0

X=x0||x1||x2||...||x(n-1)，Y=y0||y1||y2||...||y(n-1)，xi，yi表示拆分后的第i位數據

Xi=xi||...||x(n-1)，Yi=yi||...||y(n-1)，用于表示去除前i-1位后的數據

1{X(1{x0=y0}∧1{X1<Y1})

1{X1

...

1{X(n-1)

▲不安全的隱私比較

如果要將上述比較方案轉為隱私比較，最容易想到的方案是將兩個最小比較單位的數的比較隱私化，在之前的文章《優雅的求職——隱私比較算法實例》中已經介紹過：對于兩個最小比較單位的比較可通過不經意傳輸協議來完成。這樣確實是保證了單個最小比較單位的安全性，但是對于某些情況，會暴露出數據的一些情況：

a=1230?b=1231，對于這兩個數字的比較，如果b作為ot的接受方也就是最小比較單元數據比較結果的獲取方，按照上述方案進行比較，會有兩點額外信息被泄露：

1）在前幾位相同的情況下：b會知道a的前三位是123；

2）兩個最小單元的數據是最小單元范圍的兩端數據：b會知道a的最后一位是0；

而根據以上兩個信息b甚至可以直接反推出a的數據，在這種情況隱私比較也就不隱私了。

▲?消除不安全

本論文中的隱私比較協議，整個比較思路和上面不安全的隱私比較是一致的，但是該協議引入了秘密分享技術，在通過不經意傳輸協議獲取比較結果時發送方對每個數據都混淆上一個隨機項，這樣雙方都不會獲取到最小比較單元數據的比較結果，而是比較結果的碎片，并使用碎片按照明文比較的流程遞歸的進行比較，所有最小比較單元都比較完成后，再將比較結果的碎片進行還原以獲取整個數據的比較結果。

由于最小單元的比較結果都是碎片，到比較結束才會還原遞歸計算的結果，就避免了獲取最小比較單元比較結果導致的信息泄露。

--協議流程--

Alice擁有數據x，Bob擁有數據y，數據的二進制長度為l，最小比較單元的二進制長度為m，劃分的最小比較單元個數為q=l/m，最小比較單元的十進制最大值為M=2^m-1

1）雙方分別劃分數據：x=x0||...||x(q-1)，y=y0||...||y(q-1)

2）對于所有的最小比較單元xi(0<=i通過不經意傳輸獲取每個最小比較單元比較結果的碎片

Alice作為不經意傳輸的發送方準備數據：隨機生成布爾值_0，_0，分別作為xi是否小于和等于yi的布爾分享碎片，對于0<=j<=M，分別設置兩個不經意傳輸實例的輸入為：sij=_0⊕1{xi

tij=_0⊕1{xi=j}

Bob將yi作為輸入分別執行兩個不經意傳輸實例，獲取兩個比較結果的碎片：例如當m取2時，Alice的第一個最小比較單元x0=2，Bob的第一個最小比較單元y0=1，Alice隨機生成_0，_0，并按下表生成兩個不經意傳輸的輸入：

Bob使用y0作為兩個不經意傳輸的選擇項，獲取：

_1=0⊕_0，_1=0⊕_0

3）所有最小比較單元比較完成后，雙方都獲取了對應的最小比較單元間是否小于和是否等于的布爾分享碎片，即可按照明文比較流程，使用碎片遞推計算出最終比較結果的碎片。

對于碎片的異或操作，只需要進行本地對碎片進行異或就行。對于碎片的與操作，則需要按照上面介紹的方案通過不經意傳輸計算出結果的碎片。

在遞推過程中主要有兩個地方需要執行與操作：

當前面所有比較單元相等，需要比較下一個時：1{x0||x1=y0||y1}∧1{x2<y2}

計算前面所有比較單元是否都相等時：1{x0||x1=y0||y1}=1{x0=y0}∧1{x1=y1}

--總結--

該協議整體思路和明文的比較流程一致，并使用不經意傳輸和秘密分享技術保證數據的隱私性，也是當前效率比較高的協議。

對于單個元素的比較，與運算的OT實例，無法通過OT擴展進行優化，因為需要進行遞歸的計算，前后有依賴關系。對于批量元素的比較則可在縱向對于相同位置與運算的OT實例通過OT擴展來優化效率。

作者簡介

劉敬趣鏈科技數據網格實驗室BitXMesh團隊

參考文獻

原論文：RatheeD,RatheeM,KumarN,etal.CrypTFlow2:Practical2-partysecureinference//Proceedingsofthe2020ACMSIGSACConferenceonComputerandCommunicationsSecurity.2020:325-342.

Tags：加密貨幣區塊鏈ALIICE加密貨幣市場行情分析女生報區塊鏈專業怎么樣啊Dragon Evolution Augmented Realityice幣是真的嗎

火幣交易所