【密码学基础】混淆电路(Garbled Circuit)

已于 2024-06-22 22:16:40 修改
阅读量4.6k 收藏 48
点赞数 13
分类专栏: 隐私计算及密码学基础 文章标签: 密码学
于 2022-12-12 18:43:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16763983/article/details/128290916
版权

1 概念

  • 混淆电路是一种密码学协议,以实现安全多方计算(MPC)。场景是当多个通信方需要共同输入数据,然后通过同一个函数计算出一个结果,但是,各个通信方都不允许其他人知道自己的输入是什么。混淆电路就能很好地解决这个问题。
  • 补充:可计算函数都可转化为电路的实现:加、比较、乘法等。电路是由门(gate)组成,如与门、非门、或门、与非门等。
  • 混淆电路通过加密和扰乱电路值来掩盖真实的输入信息,加密和扰乱是以门为单位,每个门都有一张真值表。
  • 混淆电路(GC) = 不经意传输(OT) + 逻辑电路

2 流程

本文以与门为例介绍混淆电路的算法流程。Alice和Bob两方分别拥有数据 X X X Y Y Y(0或1),现在希望双方都不知道对方数据的情况下,计算出逻辑与的结果 Z Z Z

Step 1:Alice生成混淆电路

首先,Alice将目标函数转化为布尔电路,然后生成一张与门的 真值表(true table):
在这里插入图片描述
然后,随机生成6个数 X 0 , X 1 , Y 0 , Y 1 , Z 0 , Z 1 X_0, X_1, Y_0, Y_1, Z_0, Z_1 X0,X1,Y0,Y1,Z0,Z1对真值表进行替换。注: X 1 X_1 X1表示替换 X = 1 X=1 X=1的位置,其他同理。于是有了下面这张 替换表
在这里插入图片描述
之后,Alice对替换表中的 Z Z Z进行连续两次对称加密(加密密钥和解密密钥相同)。如下图,加密密钥则是两个输入 X , Y X, Y X,Y,得到加密表:
在这里插入图片描述
然后,打乱各行,使加密表内容与行号无关(这里我交换了第2和第3行的顺序),最终得到 混淆表(garbled table)。 这也就是混淆电路中“混淆”二字的由来!
在这里插入图片描述

Step 2:Alice和Bob进行通信

Alice将自己的输入 X = n X=n X=n替换为为第一步生成的随机数 X n X_n Xn,发送给Bob,这样Bob就无从知晓Alice的真是输入到底是多少了。
然后,Bob也需要将手里的真实输入替换为第一步生成的随机数,怎么实现?通过不经意传输(OT)协议,从Alice手里获取对应的替换值 Y 1 / Y 0 Y_1/Y_0 Y1/Y0。注意!因为采用了1-out-of-2 OT协议,所以Bob只能取到 Y 1 , Y 0 Y_1, Y_0 Y1,Y0中的其一,并且Alice无从知晓Bob到底取走了哪个,从而无法知道Bob手里的真实值是多少。
随后,Alice也将混淆表发送给Bob进行后续的计算。

Step 3:Bob计算混淆电路

Alice和Bob完成上述的通信后(Alice替换真实值发给Bob,Bob从Alice手里取到对应替换值,Alice将混淆表发给Bob),Bob尝试进行电路解密。假设Alice真实输入是0,Bob真实输入是1,那么目前Bob已知的信息有 X 0 , Y 1 X_0, Y_1 X0,Y1两个数据。使用这两个值,对混淆表进行对称密钥解密,最终,只有第3行是可以解密出结果的!也就是 Z 0 Z_0 Z0。注意,这里解密出的 Z 0 Z_0 Z0仍是替换值,而只有Alice才知道替换的关系。

Step 4:Alice和Bob共享计算结果

Bob分享解密后的结果 Z 0 Z_0 Z0给Alice,Alice知道替换值与原始值的替换关系,所以可以快速替换回真实值,并且可以将最终的真实结果分享给Bob。

通过以上4个步骤,就在双方均不知道对方数据的情况下,顺利实现了共同计算同一个函数的功能。

3 流程总结

在这里插入图片描述

Alice端会生成布尔电路已经对应的真值表、替换表、加密表以及混淆表,发送给Bob的是替换值和混淆表,然后Bob通过OT协议拿到自己的替换值,从而对混淆表中的值进行解密。最后,将解密结果共享给Alice得到真值结果,最后双方共享真值结果。

4 混淆电路优缺点

混淆电路最重要的特点就是无论电路有多复杂,都只需要恒定的通信轮数就能完成,但是总的通信开销却是比较大的。

5 混淆电路实现ReLU协议(存在不理解的问题)🌟

放一个Gazelle中用GC实现ReLU的图:
在这里插入图片描述
电路分为三部分:重构(reconstruct share)、计算ReLU(为什么是p/2应该在Garbled Neural Networks are Practical中有解释)、返回share结果。这个过程可以理解,但是我仍然不是很理解GC原理和这个电路的关系,GC是需要A方构造真值表,加密并混淆后发送给B方,同时把自己输入的替换值也发过去,B方借助OT通信得到自己输入的替换值,然后对真值表进行解密,得到结果的替换值,然后发给A得到真实结果。

  1. 问题1:GC保证的是双方不知道对方输入的情况下,计算出函数结果。而隐私推理中,A得到了真实结果,那是不是已经泄漏隐私了?
  2. 问题2:看上图中的流程,有个share重构(求和)的过程,这个是在哪一方做的(应该没有第三方),求和的那方是不是得到了真实值?
  3. 问题3:从上图的流程中没有看出来GC原理,并没有构造真值表,并且做OT通信等过程…应该怎么把GC原理和ReLU协议对应起来?存在真值表的话,两个share在表中如何存在?是作为两个输入wire吗?感觉这些问题都没有在文章的ReLU协议中看到。

6 GMW协议

GMW协议是Goldreich提出的一种通用、高效的安全多方计算协议。与GC类似,需要将函数描述为一个布尔电路。但是与GC不同,GMW评估电路的每一层布尔门都需要一轮交互,与GC相比,GMW需要更少的通信量,如果只考虑在线开销,GMW中的大部分计算和通信可以转移到预处理(离线)阶段,在线阶段非常高效。

GC中一方生成加密真值表,另一方执行计算,门电路的输入通过主动发送和OT获取实现,用这样的方式来达到多方计算中一些公平性。但总体来看,拥有真值表的一方还是主导地位。那么是否可以让双方拥有更加对等的地位,让每个参与方都持有一部分秘密份额,都参与计算呢?这个就是GMW所提出的方法。

参考资料:
混淆电路简介(GC)
MPC系列-混淆电路
GMW协议
我的隐私计算学习——秘密共享
机器学习隐私保护研究综述

Mr.zwX
关注
  • 13
    点赞
  • 48
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
分组密码详细分析总结(攻击、扩散、混淆、DES、AES优缺点)
weixin_43211186的博客
03-30 6237
分组密码(block cipher)是密码系统的基本组成部分之一。分组密码的数学模型是将明文消息编码表示后的数字(简称明文数字)序列,划分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制下变换成等长的输出数字(简称密文数字)序列。 与流密码不同的是,是对数据流进行连续处理的算法,每次加密数字流的一位或一字节。 分组密码对128位明文进行加密生成128位密文,是128位数据分组加密的可逆加密函数。128位也称为分组密码的分组长度。密钥是长度通常为128或256的位串。可以将分组密码看作一个非
MPC系列-混淆电路
qq_38798147的博客
12-05 7801
混淆电路混淆电路是一种密码学协议,完成参与方能在互相不知晓对方数据的情况下计算某一能 被逻辑电路表示的函数。通过对电路进行加密来掩盖电路的输入和电路的结构,以此来实现对各个参与者的隐私信息的保密,再通过电路计算来实现安全多方计算的目标函数的计算。 混淆电路的发展历程: 1.姚-百万富翁问题 【alice和bob各有数据x和y,比较大小。1.alice把电路加密混淆,然后将混淆的table给bob。2.双方用不经意传输使得bob可以通过自己的输入选择混淆的table。3.最后bob可以通过混淆密钥
安全多方计算 - Yao‘s 混淆电路(二) 优化
tieqiaoshaonian的博客
04-02 2920
Yao’s 混淆电路是一种实现安全多方计算的技术,它可以将计算函数转换为一个混淆电路,使得参与方可以在不泄露彼此隐私信息的情况下共同计算该函数。安全多方计算 - Yao’s 混淆电路(一) 手动构建》描述了 Yao’s 混淆电路的基本定义和单个电路门的混淆计算过程。同时展示了一个两方二进制求和的函数从转换为计算电路电路混淆到最终计算出结果的完整过程。该方法能够实现安全多方计算,但在实际应用中,其效率和性能面临着挑战。
混淆电路(GC)
Amire0x的小乐园
04-21 635
混淆电路的简单原理介绍
密码学】【多方安全计算】混淆电路Garbled Circuit浅析
little_stupid_child的专栏
06-28 868
首先Alice把自己的输入对应的key发送给Bob,比如Alice的输入是0,那就发k0x,输入的是1就发k1x。Bob根据收到的kx和自己的ky,对上述加密表的每一行尝试解密,最终只有一行能解密成功,并提取相应的kz。如上图所示,封面中的两个人Alice和Bob想要搞点事情,他们搞了个电路(比如比较电路),每个门包括输入线(input wire)和输出线(output wire)。通俗的说就是一些人具有其隐私数据,他们想把这些数据联合起来算点什么,但又不想把数据交给别人,混淆电路解决的就是此类问题。
混淆电路Garbled Circuit
m0_59012842的博客
06-07 1158
混淆电路是一种密码学协议。图灵奖得主姚期智院士在1982提出著名的Yao's Millionaires' Problem,并给出了基于混淆电路的解决方案。该问题是Alex和Bob在无可信第三方,且不告知对方财富值的情况下比谁更富有。 其原理为:所有可计算的函数问题都可转换为不同的电路,由加法电路、乘法电路、移位电路、选择电路等表示。而电路本质上由门(gate)组成,逻辑门包括与门、非门、或门、与非门等。混淆电路把这些门进行加密和打乱来掩盖信息。Alice用密钥加密门的真值表并打乱后输出给Bob。Bob
混淆电路Garbled Circuit介绍
热门推荐
跨链技术践行者
05-16 1万+
混淆电路Garbled Circuit)这个可得好好写写,一则这玩意儿确实有点抽象,每次说半天都未必能对一个程序猿讲明白,毕竟一堆只发乱码的参与者,怎么就得到了计算结果呢?然而密码学方法已经决定了,确实可以这么做。 先明确一下混淆电路解决的是什么问题。通俗的说,就是一堆人各自拥有其隐私数据,他们想把这些数据合起来算点什么,但又不想把数据交给别人,混淆电路解决的就是此类问题。我们先来考虑一个经典...
Garbled Circuits介绍 - 1 引言
CHEN CONGCONG的博客
08-14 883
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Tutorials on the Foundations of Cryptography 17
10-23
In particular, the chapters explain aspects of garbled circuits, public-key cryptography, pseudorandom functions, one-way functions, homomorphic encryption, the simulation proof technique, and the ...
保密数据集r元素的计算
04-04
在设计协议时,可能的步骤包括:数据预处理(如加密、随机化)、交互式计算阶段(如通过 oblivious transfer 或 garbled circuit 实现安全计算)、以及结果验证与解密。安全性证明通常基于计算复杂性的假设,比如...
jigg:乱码门和2PC布尔电路协议JavaScript实现
05-12
吉格乱码门和2PC布尔电路协议JavaScript实现。要求和安装该库完全用JavaScript实现。 运行服务器需要 , (通过在MacOS上通过yum install nodejs npm或brew install npm ), 和 。 运行npm以安装所有JIGG依赖项:...
《信息安全数学基础》上海交通大学 陈恭亮 课后习题详细解答
12-12
9. 安全多方计算:在保证隐私的前提下,允许多方共同计算一个结果,如 Yao's Garbled Circuit 和 Beaver's Multiplicative Triple 方法。 10. 加密算法的安全性评估:通过对算法进行安全性分析,评估其抵抗已知攻击...
gnhast:gnhast-Garbled的NetBSD家庭自动化脚本工具-开源
05-08
gnhast-Garbled的NetBSD家庭自动化脚本工具一组守护程序,这些守护程序可以一起构建基于事件的家庭自动化系统。 守护程序的核心集是用C编写的,但是任何事件(例如打开灯)都可以由外部脚本或程序处理。 这些程序...
密码学】DES 介绍(转载)
01-25 1559
文章目录 一、DES 简介 二、DES 算法入口参数 三、DES 算法框架 1. 子密钥生成 2. 迭代加密 3. 轮函数 F 四、DES 设计的基本原则:混淆和扩散 五、安全性 参考链接 一、DES 简介 DES:Data Encryption Standard(数据加密标准)
Garbled Circuits介绍 - 4 混淆电路的优化
CHEN CONGCONG的博客
08-16 1863
前面几章我们介绍了混淆电路的基本概念、基础知识和Yao的混淆电路协议(也就是通用的混淆电路框架),因此我们接下来详细的展示对它的优化。文章可能会有一些小错误,另外文章所有图例、参考文献、表格需要均接前面的章节。若需要查看前面几章请点击下面的链接: Garbled Circuits介绍 - 1 引言 Garbled Circuits介绍 - 2 基础知识 Garbled Circuits介绍 - 3 Yao的混淆电路协议 4 混淆电路的优化 4.1普通方案 4.1.1混淆电路大小 由于通信信道的限制,混淆电路
安全多方计算之混淆电路
Hyperchain的博客
10-10 3546
导读:混淆电路(Garbled Circuit),又称姚氏电路(Yao’s GC)是由姚期智教授于1986年针对百万富翁问题提出的解决方案。 它的核心技术是将两方参与的安全计算函数编译成布尔电路的形式,并将真值表加密打乱,从而实现电路的正常输出而又不泄露参与计算的双方私有信息。由于任何安全计算函数都可转换成对应布尔电路的形式,相较其他的安全计算方法,具有较高的通用性,因此引起了业界较高的关注度。 混淆电路发展 姚氏电路是基于半诚实模型(semi-honest)的安全两方计算(Two-Party-Securi
姚氏百万富翁 混淆电路_姚氏混淆电路原理简介
weixin_28518991的博客
01-31 3816
安全多方计算(SecureMulti-Party Computation ,MPC)技术主要是指,多个通信的参与者在保障通信和计算过程的正确性、隐私性、公平性等安全特征的基础上,联合进行某些功能函数计算,各自得到他们预定的计算结果的一类技术。近些年来,安全多方计算成为密码学最热门的研究领域之一。安全两方计算(Secure Two-party Computation)是安全多方计算的一个...
混淆电路——转换逻辑电路
Yjl_Richard的博客
07-19 865
遵照这个混淆电路的定义,双方能在互相不知晓对方数据的情况下计算某一函数。混淆电路要求这一函数能被逻辑电路表示,所以如何将要求函数转化为一个逻辑电路是关键的一步。
密码学原理精解【9】
最新发布
应用数学
07-19 1208
设K是一个确定长度的随机二元密钥,用K来生成Nr个轮密钥(也叫子密钥)K1K2KNrK1K2...KNr,轮密钥的列表(K1K2KNrK1K2...KNr)就是密钥编排方案,该方案由K经过一个固定的、公开的算法生成。轮函数g由轮密钥K′和当前状态wr−1作为它的两个输入下一状态为wrgwr−1Kr轮函数g由轮密钥K'和当前状态w^{r-1}作为它的两个输入,\\下一状态为w^r=g(w^{r-1},K^r)
对称可搜索加密的算法是怎样的
05-14
对称可搜索加密算法是一种保护数据隐私的技术,可以在加密数据的同时,实现对密文的检索。它可以让用户在不暴露数据内容的情况下,对加密数据进行搜索和查询。 常见的对称可搜索加密算法包括基于单向加密函数的方案、基于对称加密算法的方案以及基于混淆电路的方案。其中,基于单向加密函数的方案包括Bloom Filter、Cuckoo Filter和Count-Min Sketch等算法。基于对称加密算法的方案包括可搜索加密算法(Searchable Encryption,SE)、可验证加密算法(Verifiable Encryption,VE)和加密索引(Encrypted Indexing,EI)等算法。基于混淆电路的方案包括Garbled Circuit、Function Secret Sharing和Function-Private Information Retrieval等算法。 这些算法都有各自的优缺点,选择合适的算法需要考虑应用场景、数据规模、检索效率和安全性等因素。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mr.zwX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值