1-1 可证明安全的隐私计算.pdf

1、可证明安全的隐私计算洪澄 阿里安全双子座实验室|01隐私计算的安隐私计算的安全性与效率全性与效率020304总结总结目录目录 CONTENT|其他可证明其他可证明安全方法安全方法密码学中的可密码学中的可证明安全简介证明安全简介隐私计算：Privacy-preserving computation视隐私保护程度的不同，计算的效率也有所不同例：广域网下，多方合作训练一个LR模型，1024行64列，迭代1次SecureMLSP17需要100秒ABY3CCS18需要0.3秒BlazeNDSS20需要2秒HelenSP20需要15分钟Q Q：“请问现在隐私计算能做到比明文慢多少倍？”A A：|只有同时给

2、出安全性和效率两方面的数据，才是有意义的数据业界现状：计算的效率是容易衡量的，各家PR都擅长此道安全指标则甚少有厂商主动提及客户有如盲人摸象“比明文仅慢X倍”，X已经从3个量级来到2个量级，甚至3-5倍都有之看不见看不见摸不着摸不着看得见看得见摸得着摸得着安全性：安全性：效率：效率：|最高级安全性的代价太高不需要最高级安全性的场合，可以适当降低安全性以提升效率但是一定要厘清安全性在哪里进行了取舍，有什么样的风险如何讲清楚一个方案的安全性？明确定义安全假设：能防什么样的攻击者，不能防什么样的攻击者明确定义防护效果：有没有中间信息泄露若有，应清晰的描述泄露内容“我的方案是安全的”“我的方案是安全的

3、”“我的方案在双方都是半诚实“我的方案在双方都是半诚实的假设下，除了数据行数、列的假设下，除了数据行数、列数、最终建模结果之外，没有数、最终建模结果之外，没有其他信息泄露”其他信息泄露”|反例：Dragon in my garage 安全性需要正向定义：需要描述“龙”到底能在什么环境下做到什么，才有办法证明它的存在我的仓库里有一条喷火龙我的仓库里有一条喷火龙Q Q：你的龙为什么看不见？：你的龙为什么看不见？A A：因为它是透明的：因为它是透明的Q Q：你的龙为什么没有脚印？：你的龙为什么没有脚印？A A：因为它是飞着的：因为它是飞着的Q Q：你的龙为什么摸不着？：你的龙为什么摸不着？A A：因

4、为它是等离子态的：因为它是等离子态的我有一个隐私计算解决方案我有一个隐私计算解决方案Q Q：你的方案可能会泄露：你的方案可能会泄露XXXX统计信息？统计信息？A A：我们认为：我们认为XXXX统计信息不影响方案的安全统计信息不影响方案的安全性性Q Q：你的方案需要额外的第三方？：你的方案需要额外的第三方？A A：我们认为只要严格审计是可以接受第三：我们认为只要严格审计是可以接受第三方的方的Q Q：你们的自研算法有严格的安全证明吗？：你们的自研算法有严格的安全证明吗？A A：有专利，论文还在投稿中：有专利，论文还在投稿中|01隐私计算的安隐私计算的安全性与效率全性与效率020304总结总结目录目

5、录 CONTENT其他可证明其他可证明安全方法安全方法密码学中的可密码学中的可证明安全简介证明安全简介|可证明安全：密码学领域评估安全性的黄金准则两种安全证明方式基于游戏的证明方式基于模拟的证明方式我从bob给我的信息中无法区分他用的是哪个原始数据data1data2Bob给的这些信息和模拟器给的是不可区分的data|基于游戏的证明方式举例：PaillierAlice选择 m0,m1Bob选择 c Enc(m0),Enc(m1)Alice猜测c的明文，猜对则赢得游戏密钥生成：生成两个大质数p,q,n=p*q,=lcm(p-1,q-1),g=n+1g,n是公钥，是私钥加密m选择随机数r,计算c=

6、gm*rnmod n2m0m1c=gc=gmm*r rn nmod nmod n2 2这个c加密的到底是m0还是m1？|反证法：假设Alice能以不可忽略的优势(50%的概率)赢得游戏设Alice能成功判断出c是m0的密文，因为d=c*g-m0=rnmod n2，所以她也能判断出d是一个n次幂而判别一个数是不是mod n2 上的n次幂，这个问题称为DCR问题（decisional composite residuosity problem），目前认为是困难的，与大数分解接近矛盾，证毕你如果能赢得游戏，就能去破解XX数学难题了|公开g基于模拟的证明方式举例：OT随机选择a,s随机选择r0,r1c