（阅读笔记）BLAZE: Blazing Fast Privacy-Preserving Machine Learning

BLAZE: Blazing Fast Privacy-Preserving Machine Learning阅读笔记

简介

本文介绍BLAZE这篇文章，BLAZE是Arpita Patra等人发表于NDSS’20上的文章《BLAZE: Blazing Fast Privacy-preserving Machine Learning》, 论文链接如下：BLAZE: Blazing Fast Privacy-preserving Machine Learning
BLAZE在安全外包环境下，构建了一个三方服务器、可抵御一个恶意敌手的PPML框架，协议是在${\mathcal{Z}}_{2^l}$整数环上实现的。
BLAZE框架由三层架构实现，第一层是最底层的协议：乘法协议、比特提取协议和Bit2A转换协议；第二层由第一层搭建：点积运算、截断、ReLU和Sigmoid激活函数；第三层是应用：线性回归、逻辑回归和神经网络。

BLAZE的核心是秘密分享的构造和乘法的设计，其他运算都是建立在乘法的基础上，因此本文主要介绍分享重构过程和乘法协议。

秘密分享

Sharing语义

三种秘密分享 (秘密值为$v$)：

• $[\cdot ]-sharing$: $P_1,P_2$分别持有$[v{]}_1,[v{]}_2\in {\mathcal{Z}}_{2^l}$, 且$v=[v{]}_1+[v{]}_2$.
• $⟨\cdot ⟩-sharing$: $P_0$持有$([{\lambda }_v{]}_1,[{\lambda }_v{]}_2)$, $P_1$持有$([{\lambda }_v{]}_1,v+{\lambda }_v])$, $P_2$持有$([{\lambda }_v{]}_2,v+{\lambda }_v])$, 其中$[{\lambda }_v{]}_1,[{\lambda }_v{]}_2\in {\mathbb{Z}}_{2^l},{\lambda }_v=[{\lambda }_v{]}_1+[{\lambda }_v{]}_2$.
• $[[\cdot ]]-sharing$: 在$⟨\cdot ⟩-sharing$的基础上，新增加一个$\gamma \in {\mathbb{Z}}_{2^l}$, 其中$P_1,P_2$ 持有${\gamma }_v$, $P_0$ 持有 ${\beta }_v+{\gamma }_v$.
  

Sharing Protocol

Protocol ${\Pi }_{sh}(P_i,v)$ : server $P_i$ 生成秘密值 $v\in {\mathbb{Z}}_{2^l}$的 $[[\cdot ]]-sharing$ .

预处理阶段 i=0,1,2 时三方持有信息：

在线阶段 i=0,1,2 时三方操作：

Protocol ${\Pi }_{jsh}(P_i,P_j,v)$ ：servers $P_i,P_j$ 联合生成秘密值$v\in {\mathbb{Z}}_{2^l}$的$[[\cdot ]]-sharing$.

对于不同输入，${\Pi }_{jsh}(P_i,P_j,v)$的输出结果，其中最后一行的每一个三元组对应的值分别是$P_0:([{\alpha }_v{]}_1,[{\alpha }_v{]}_2,{\beta }_v+{\gamma }_v);P_1:([{\alpha }_v{]}_1,{\beta }_v=v+{\alpha }_v,{\gamma }_v);P_2:([{\alpha }_v{]}_2,{\beta }_v=v+{\alpha }_v,{\gamma }_v)$.

Protocol ${\Pi }_{rec}(\mathcal{P},[[v]])$ : $\mathcal{P}$ 重构秘密值 $v$.

Multiplication

Protocol ${\Pi }_{mult}(\mathcal{P},[[x]],[[y]])$ : 给定 $x$ 和 $y$的 $[[\cdot ]]-sharing$， $\mathcal{P}$ 计算 $z=xy$的$[[\cdot ]]-sharing$ .

半诚实敌手模式

• ${\beta }_z=z+{\alpha }_z=xy+{\alpha }_z=({\beta }_x-{\alpha }_x)({\beta }_y-{\alpha }_y)+{\alpha }_z={\beta }_x{\beta }_y-{\beta }_x{\alpha }_y-{\beta }_y{\alpha }_x+{\alpha }_x{\alpha }_y+{\alpha }_z$

• 预处理阶段： P 0 , P j ， j ∈ { 1 , 2 } P_0, P_j， j \in\{1,2\} P0​,Pj​，j∈{1,2} 随机采样 $[{\alpha }_z{]}_j\in {\mathbb{Z}}_{2^l}$, $P_1,P_2$ 随机采样${\gamma }_z\in {\mathbb{Z}}_{2^l}$. $P_0$ 本地计算${\Gamma }_{xy}={\alpha }_x{\alpha }_y$ 并生成相应的 $[\cdot ]-sharing$. Servers $P_1,P_2$ 本地计算 $[{\beta }_z{]}_j=(j-1){\beta }_x{\beta }_y-{\beta }_x[{\alpha }_y{]}_j-{\beta }_y[{\alpha }_x{]}_j+[{\Gamma }_{xy}{]}_j+[{\alpha }_z{]}_j$.
  

• 在线阶段：$P_1,P_2$ 交换它们的秘密值并重构 ${\beta }_z$. $P_1$ 计算并发送 ${\beta }_z+{\gamma }_z$ 给 $P_0$.

恶意敌手模式

原有的乘法协议存在三个问题：

• 问题一：当$P_0$被腐败，那么$P_0$在预处理阶段产生的${\Gamma }_{xy}$的秘密分享值可能是错误的，即${\Gamma }_{xy}\ne {\alpha }_x{\alpha }_y$.
• 问题二：当$P_1$(或$P_2$)被腐败， 那么在线阶段交给诚实的另一方的$[{\beta }_z{]}_j$可能是错误的，从而导致重构出错误的${\beta }_z$.
• 问题三：当$P_1$被腐败，那么在线阶段交给$P_0$的${\beta }_z+{\gamma }_z$可能是错误的。

解决方案：

• 问题一：前面的乘法协议中，我们其实并没有充分利用三方拥有的所有信息，事实上，三方拥有的所有信息是这样的：

因此，我们构造一个$\chi ={\gamma }_x{\alpha }_y+{\gamma }_y{\alpha }_x-{\Gamma }_{xy}+\psi$, 其中，$\psi \in {\mathbb{Z}}_{2^l}$是由 $P_1,P_2$随机采样生成的随机数.
服务器 P j ， j ∈ { 1 , 2 } P_j，j\in\{1,2\} Pj​，j∈{1,2} 在本地计算 $[\chi {]}_j={\gamma }_x[{\alpha }_y{]}_j+{\gamma }_y[{\alpha }_x{]}_j-[{\Gamma }_{xy}{]}_j+[\psi {]}_j$ 并将其发送给$P_0$, $P_0$计算得到$\chi =[\chi {]}_1+[\chi {]}_2$.
令$d={\gamma }_x-{\alpha }_x,e={\gamma }_y-{\alpha }_y，f=({\gamma }_x{\gamma }_y+\psi )-\chi$, 当且仅当$\chi$ 计算正确时，满足$f=de$.
假如$P_0$产生错误的${\Gamma }_{xy}$, 可以记作${\Gamma }_{xy}+\Delta$, 那么$de=f+\Delta \ne f$.

为了保证$\chi$ 的正确性，需要确保$(d,e,f)$是一个有效的三元组，因此文章构造了一个新的协议${\Pi }_{mulZK}(\mathcal{P},d,e)$来产生三元组。

通过该协议，构造的$d,e,f$对应的分享值如下：

令$[\chi {]}_1=[{\lambda }_f{]}_1,[\chi {]}_2=[{\lambda }_f{]}_2\to [\chi ]=[{\lambda }_f{]}_1+[{\lambda }_f{]}_2$
令${\gamma }_x{\gamma }_y+\psi =f+{\lambda }_f\to \psi =f+{\lambda }_f-{\gamma }_x{\gamma }_y$
令 [ Γ x y ] j = γ x [ α y ] j + γ y [ α x ] j + [ ψ ] j − [ χ ] j j ∈ { 1 , 2 } [\Gamma_{xy}]_j=\gamma_x[\alpha_y]_j+\gamma_y[\alpha_x]_j+[\psi]_j-[\chi]_j \quad j\in\{1,2\} [Γxy​]j​=γx​[αy​]j​+γy​[αx​]j​+[ψ]j​−[χ]j​j∈{1,2} ，其中 $[\psi {]}_1=r,[\psi {]}_2=\psi -r$ ，$r\in {\mathbb{Z}}_2^l$是一个随机值.
我们可以得到：
$$\begin{array}{rl}{\Gamma }_{xy}& ={\gamma }_x{\alpha }_y+{\gamma }_y{\alpha }_x+\psi -\chi \\ & =(d+{\lambda }_d){\lambda }_e+(e+{\lambda }_e){\lambda }_d+(f+{\lambda }_f-{\gamma }_x{\gamma }_y)-{\lambda }_f\\ & =(d+{\lambda }_d)(e+{\lambda }_e)-de+{\lambda }_d{\lambda }_e+(f-{\gamma }_x{\gamma }_y)\\ & ={\gamma }_x{\gamma }_y-f+{\lambda }_d{\lambda }_e+(f-{\gamma }_x{\gamma }_y)\\ & ={\lambda }_d{\lambda }_e\\ & ={\alpha }_x{\alpha }_y\end{array}$$
这说明我们构造的三元组是有效的。

• 问题二：我们再利用$\beta +\gamma$
  

令${\beta }_x^{\ast }={\beta }_x+{\gamma }_x，{\beta }_y^{\ast }={\beta }_y+{\gamma }_y$, $P_0$ 计算${\beta }_z^{\ast }=-{\beta }_x^{\ast }{\alpha }_y-{\beta }_y^{\ast }{\alpha }_x+2{\Gamma }_{xy}+{\alpha }_z$.
通过推导可以得到：
$$\begin{array}{rl}{\beta }_z^{\ast }& =-{\beta }_x^{\ast }{\alpha }_y-{\beta }_y^{\ast }{\alpha }_x+2{\Gamma }_{xy}+{\alpha }_z\\ & =-({\beta }_x+{\gamma }_x){\alpha }_y-({\beta }_y+{\gamma }_y){\alpha }_x+2{\Gamma }_{xy}+{\alpha }_z\\ & =(-{\beta }_x{\alpha }_y-{\beta }_y{\alpha }_x+{\Gamma }_{xy}+{\alpha }_z)-({\gamma }_x{\alpha }_y+{\gamma }_y{\alpha }_x-{\Gamma }_{xy})\\ & =({\beta }_z-{\beta }_x{\beta }_y)-({\gamma }_x{\alpha }_y+{\gamma }_y{\alpha }_x-{\Gamma }_{xy}+\psi )+\psi \\ & =({\beta }_z-{\beta }_x{\beta }_y+\psi )-\chi \end{array}$$
因此，让$P_0$ 发送 ${\beta }_z^{\ast }+\chi$ 给 $P_1$ 和 $P_2$ ， $P_1$ 和 $P_2$计算 ${\beta }_z-{\beta }_x{\beta }_y+\psi$并与收到的来自$P_0$的${\beta }_z^{\ast }+\chi$比较， 只有当二者一致时，才能证明${\beta }_z$的正确性.

• 问题三：解决方案比较简单，为了验证$P_1$发送的${\beta }_z+{\gamma }_z$的正确性，让$P_2$同时发送其哈希值$H({\beta }_z+{\gamma }_z)$给$P_0$, 当$P_0$收到的二者不一致时就中止.

至此，所有问题都解决，完整的乘法协议如下：