PSI相关论文笔记-Efficient Private Matching and Set Intersection

Efficient Private Matching and Set Intersection 笔记

• year: 2004;
• conferance: EUROCRYPT
• authors: Michael J. Freedman, Kobbi Nissim, and Benny Pinkas
• citation : 1534;

---

一、主要思想

提供了一种针对两方的（client和server）高效隐私比对和隐私求交算法。具体是在半诚实场景、malicious client场景和malicious server场景下三种方案。

二、前置知识

2.1 Private matching（PM）

• PM正常形式

  • client($C$)和server($S$)分别拥有大小为$k_c$和$k_s$的隐私输入数据$X$和$Y$，$C$输入 X = { x 1 , ⋅ ⋅ ⋅ ， x k c } X=\{x_1, ···，x_{k_c}\} X={x1​,⋅⋅⋅，xkc​​},$S$输入 Y = { y 1 , ⋅ ⋅ ⋅ ， y k s } Y=\{y_1, ···，y_{k_s}\} Y={y1​,⋅⋅⋅，yks​​},$C$仅可以获得 X ∩ Y : { x u ∣ ∃ v , x u = y v } ← P M ( X , Y ) X \cap Y: \{x_u|\exist v,x_u = y_v \}\leftarrow PM(X,Y) X∩Y:{xu​∣∃v,xu​=yv​}←PM(X,Y).

• PM变体：

  • Private cardinality matching($P{M}_C$)：仅允许$C$获得输入相同的个数，即$|X\cap Y|:|PM|\leftarrow P{M}_C(X,Y)$|$

  • Private threshold matching $(P{M}_t)$：仅让$C$获悉相同个数是否超过某个阈值$t$，即$1\leftarrow P{M}_t(X,Y)ifP{M}_C>t$.

• Private Matching and Oblivious Transfer（OT）

  • 将PM协议转OT协议。例如 1-out-of-2 bit OT协议中，发送者的输入为两个比特 { b 0 , b 1 } \{b_0,b_1\} {b0​,b1​}, 选择者的输入为一个比特$\sigma$，选择者只能获得选择的$b_{\sigma }$。
  • 发送者构造待选串 { 0 ∣ b 0 , 1 ∣ b 1 } \{0|b_0,1|b_1\} {0∣b0​,1∣b1​},选择者构造选择字串 { σ ∣ 0 , σ ∣ 1 } \{\sigma|0,\sigma|1\} {σ∣0,σ∣1},之后双方运行PM协议，选择者最后可以获得两个交集$\sigma |b_{\sigma }$。

2.2 同态加密算法

本文提出的方案需要依赖具有加法同态以及常数乘法表操作的同态加密方案，同时这两个操作要求在无需密钥的情况下便可进行。现有Paillier 密码系统满足该需求。

• 加法操作：给定密文$Enc(m_1)$和$Enc(m_2)$，需要计算$Enc(m_1+m_2)$,即$Enc(m_1)+Enc(m_2)=Enc(m_1+m_2)$
• 常数乘操作：给定密文$Enc(m_1)$和常数$c$,需计算$Enc(cm)$。

三、半诚实场景

$C$和$S$会诚实的执行协议中约定操作，但是他们会对对方数据好奇，期望通过输出获得一些有用信息。

3.1 概述

• $C$定义多项式$P$, 且$P$的根为$C$的隐私输入数据 X = { x 1 , ⋅ ⋅ ⋅ , x k c } X=\{x_1,···,x_{k_c}\} X={x1​,⋅⋅⋅,xkc​​}

$P(y)=(x_1-y)(x_2-y)\cdot \cdot \cdot (x_{k_c}-y)={\sum }_{u=0}^{k_c}{\alpha }_u{y}^u$

• $C$将多项式中的系数${\alpha }_u$利用同态加密加密算法进行加密并发送$S$。
• $S$收到加密系数$Enc({\alpha }_u)$利用同态算法性质将自身隐私数据 Y = { y 1 , ⋅ ⋅ ⋅ , y k s } Y=\{y_1,···,y_{k_s}\} Y={y1​,⋅⋅⋅,yks​​}作为输入分别计算加密后的多项式$P$的值，同时对结果乘上随机数$r$以及加上自身值，即$Enc(r\cdot P(y)+y)$,最后$S$将结果发送至$C$。
  • 如果存在$y_i=x_j$，那么$P(y_j)=0$,得到$Enc(r\cdot P(y_j)+y_j)=Enc(y_j)$
• $C$收到后对密文进行解密，如果发现对应明文在集合$X$中则表示两者共同拥有该数据。

3.2 具体协议

3.3 协议变体：Private Matching for set cardinality($P{M}_C$)

该协议变体仅要求让$C$知道交集的个数，而不知道确切值。具体做法为：

• 2(b)中$S$ 使用新公示计算加密值：$Enc(r\cdot P(y)+0^{+})$,$0^{+}$可以认为是$C$和$S$约定好的特定字符串。
• 因此，当$C$收到密文并进行解密后，看到约定字符串$0^{+}$时便可判断出当前值相同从而统计整个交集个数。

3.4 协议变体：Private Matching for cardinality threshold ($P{M}_t$) and other functions

该协议变体要求$C$仅知道交集大小是否高于某个门限值$t$,即$c=|X\cap Y|>t$，为实现该变体协议，改动如下：

• 步骤2(b)中，$S$对随机数进行编码而非$y$，即$Enc(r\cdot P(y)+r_y)$。
• 之后$S$和$C$继续按原来协议进行。
• 当$C$收到密文并解密后，$C$和$S$共同向某电路输入大小为$k_S$的数据。其中，$C$的输入数据是解密后拿到的明文，$S$的输入数据为步骤2(b)中选择的随机数$r_y$。
• 之后通过电路来比较明文和$r_y$是否相等，以及整个相同个数是否超过门限值$t$输出1/0.

四、恶意方场景

$C$和$S$都可能为恶意方，但不会同时都是。他们可能出现以下行为

• 拒绝参加协议
• 任意值替换输入
• 提前结束协议

4.1 Malicious clients

client可能发送超过具有$k_C$个根的多项式（例如所有系数都为0），因此为了防止该情况的发生，client被要求$L$个种存在B个不同构造的多项式（故多项式个数为$L\times M$）

该协议主要利用哈希函数,步骤如下

• $C$利用哈希函数将输入$X$中元素映射到多个bin
• $C$为每个bin构造多项式，且该多项式的根是对应bin中元素值
• $C$将每个多项式系数加密并相应发送至$S$。
• $S$用cut-and-choose方法判断这些根个数总和为$k_C$
• 上述协议重复$L$次，最后得到在$L$中呈指数级小的错误概率。

4.2 Malicious Server

恶意$S$可能出现计算$Enc(r\cdot (P(y)+P(y^{\prime }))+y^{\prime \prime })$的情况，导致$C$认为$y^{\prime \prime }$为交集元素。为解决该方案，作者在原有$ProtocolPM-Semi-Honest$进行改进。

4.3 Handling both malicious client and server

针对解决$C$和$S$都为恶意方的情形。

• 与之前相同，$C$利用哈希函数将$X$元素映射至$B$ bins，之后为每个bin $B_i$构造度为$M$的多项式$P_i$且$P_i(z)=0$,$z$需满足条件(1)$z=F_s(G(x)),x\in X$ 或(2) 构造度为$M$而添加的必须元素。
• $C$利用不同随机函数密钥$s$产生$L$个不同多项式备份以及多项式，$C$将上述多项式的系数加密并将密文发送给$S$。
• $C$ 向$S$发送$L/2$个原始明文让其进行验证。
• 如果所有的都验证成果，$S$使用另外$L/2$的数据进行运算。首先，$S$选择随机串$s$并将其进行分割成$L/2$个切片作为$PM-Malicious-Server$中的随机数使用，之后双方验证如$PM-Malicious-Server$。