隐私计算技术:隐私求交(PSI)及其应用场景

本文介绍了Private Set Intersection (PSI)的概念,即在保护隐私的前提下,多个参与者求取各自数据集的交集,而不泄露额外信息。文中提到了ECDH、KKRT和PSTY等PSI算法,并详细阐述了不同场景下的应用,如指定参与者获取交集信息、交集公开等。此外,还讨论了在数据量不平衡和统计信息计算等复杂情况下的解决方案。文章适合对隐私计算感兴趣的读者和专业人士。
摘要由CSDN通过智能技术生成

作者:珊竹

加入vx隐私计算交流群,和作者一起学习:SecretFlow01

01.The Problem of Private Set Intersection

PSI 全称为 Private Set Intersection,直观的翻译名字为“隐私求交”。从场景来看,隐私求交:

  • 有许多个参与方,每个参与方持有各自的隐私数据

  • 希望通过协议求到所有数据的交集

  • 但是不泄漏除交集外的任何信息

目前常用的 PSI 算法有:

  • ECDH [1]

  • KKRT [2]

  • PSTY [3]

1.1. ECDH 

如果我们假设哈希函数,这里是计算安全参数,通常我们可以取 128,基于 DH 的 PSI 协议如下所示。

1.2. KKRT

结合 Cuckoo hash 以及 batched OPRF,可以构造出一个比较高效的基于 OT 的 PSI 协议(由于 batched OPRF 的构建基于 OT,因此我们可以认为 KKRT16 的 PSI 协议是基于 OT 构建的)。协议具体内容如下图所示,我们将左边参与方叫做 Alice,右边参与方叫做 Bob。

02.PSI 的应用场景

我们可以看到,(如果我们只考虑两方的场景下)PSI 场景中参与方我们记为 P0 以及 P1

  • P0 持有数据:data0 = (X, A1, A2, A3, ....)

  • P1 持有:data1 = (Y, B1, B2, B3, ....)

这里 X、Y 表示想要“撞库”使用的匹配字段(类似于 UID),而 Ai、Bi 指的是可能存在的其他数据信息。我们假设在所有两方 PSI 场景下想要比对的数据用下图方式表示。我们假设 data0 和 data 1 中只有一条数据是匹配的,即 y1 和 x2。

注意在 PSI 中我们一定需要保证安全的是:

  • X 与 Y 的非交集元素

Case 1: 指定参与方获取交集 UID

通常来说,在 PSI 中我们指定可以指定某个参与方(例如 P0)获取到 UID 的 PSI 结果。在下面这种场景下,

  • P0 得知了交集的 UID

  • P1 什么都没有得到

(几乎)所有的已知 PSI 协议都可以实现上述功能。例如 KKRT、ECDH PSI 等等。

Case 2: 指定参与方获取交集 UID 以及 Payload

通常来说,在 PSI 中我们指定可以指定某个参与方(例如 P0)获取到 UID 以及 Payload 的 PSI 结果。在下面这种场景下,

  • P0 得知了交集的 UID + 交集元素在 P1 处的 Payload

  • P1 什么都没有得到

这种情况我们需要一些 tricky 的方式来计算,

  1. 通过 case1 首先使 P0 获取到 “x2” 这条交集的 UID 数据;

  2. 运行一个 Symmetric PIR 协议,或者 1-out-of-n OT 协议获取到 payload 的交集信息。

当然,也有一些更加高效的算法,这里不再赘述。

Case 3: 交集 UID 公开

在这个 case 中,双方均获取到最终交集的 UID 信息。

所有的已知 PSI 协议都可以实现上述功能。

Case 4: 交集 UID 公开,指定方获取到 Payload

所有的已知 PSI 协议都可以实现上述功能。只需要在 case3 的基础上让 P1 将 payload 发送给 P0 即可。

Case 5: 双方数量级差距大(性能提升)

传统的 PSI 协议一般假设了双方数据集大小类似的情况,因此在 unbalanced 场景中我们需要特定设计的 PSI 协议来完成协议加速。需要注意的是在 unbalanced 的场景下其实并不影响我们解决 case 1 - case 4 的所有应用场景,这里我们只以 case 3 的场景作为例子。

Case 6: 获取到交集 UID 或者 Payload 的统计值

在法律法规、用户隐私要求较高的场景中,我们需要对交集信息进行保护。因此在下面这种场景下,

  • P0 得知了 双方交集 UID 的某个统计值

  • P1 得知了 双方交集 UID 的某个统计值

如果我们想要同时对 Payload 进行计算,会牺牲较大的性能,可以达到的效果是:

  • P0 得知了双方 交集 UID 的某个统计值 或者 Payload 的某个统计值

  • P1 得知了双方 交集 UID 的某个统计值 或者 Payload 的某个统计值

注:本文讨论的方案仅限于半诚实安全模型,恶意安全需要另行讨论。

相关资料

【课程】https://cyber.biu.ac.il/event/the-12th-biu-winter-school-on-cryptography/

【代码】https://github.com/osu-crypto/libPSI

参考文献

[1] Agrawal, Rakesh et al. “Information sharing across private databases.” SIGMOD '03 (2003).

[2] Kolesnikov, Vladimir et al. “Efficient Batched Oblivious PRF with Applications to Private Set Intersection.” Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security (2016): n. pag.

[3] Pinkas, Benny et al. “Efficient Circuit-based PSI with Linear Communication.” IACR Cryptol. ePrint Arch. 2019 (2019): 241.

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值