Applications of Secure Multiparty Computation（2015）阅读翻译

安全多方计算的基本构造

摘要

在本章中，正式定义了多方计算任务以及实现它们的协议的安全性。我们对安全多方计算(SMPC)协议的现有结构进行了广泛介绍，并结识了它们的正确性和安全性。我们讨论SMPC协议的不同环境方面，并解释其存在的必要和充分的要求。

引言

有几本密码学教科书严格涵盖了安全多方计算的基本定义和构造，例如[1,2,3]。在本介绍性章节中，我们不打算重复这种严格的处理方法。相反我们将给出SMPC的基本安全定义，并介绍不同SMPC协议背后的主要思想，足以理解本书其余部分中的算法和协议。我们参考其他来源，对这些结构进行彻底的证明和讨论。

1 定义

函数f的SMPC协议允许多个参与方根据其提供的输入评估f得到它的输出，而得不到任何超出自身输入和输出的东西。几乎所有的SMPC技术都希望f被表示为布尔或算术电路，并逐个门进行处理，我们可以使用以下定义指定多方计算任务。

1. 定义1：在环R上的算术电路是一个4元组$C=(G,V_{in},V_{out},\lambda )$，其中：

   • $G=(V,E)$是一个有向无环图，其中每个顶点的入度边都是线性有序的；

   • V i n = { v ∈ V ∣ d e g → ( v ) = 0 } V_{in}=\{v∈V|\overrightarrow{deg}(v)=0 \} Vin​={v∈V∣deg ​(v)=0}且$V_{out}\in V$表示电路的输入和输出顶点(此处$\overrightarrow{deg}(v)$表示顶点$v$的传入边数量(入度));

   • $\lambda$为每一个$v\in V$分配一个操作：$R^{\overrightarrow{deg}(v)}\to R$；

     布尔电路可视为定义1的特例，其中$R=Z_2$。电路$C=(G,V_{in},V_{out},\lambda )$的语义是将映射$V_{in}\to R$扩展到映射$V\to R$，从而为$V_{out}$中的所有顶点分配值。

2. 定义2：一组参与方 P = { P 1 , P 2 , … … , P n } P=\{P_1,P_2,……,P_n\} P={P1​,P2​,……,Pn​}的多方计算任务是一个3元组$f=(C,T_{in},T_{out})$，其中$C=(G,V_{in},V_{out},\lambda )$是一个算术电路，$T_{in}:V_{in}\to P$确定哪一个参与方提供输入，$T_{out}\subseteq V_{out}\times P$说明哪些输出由哪一个参与方获得。

   为了解决多方计算任务，参与方执行一些协议Π，其中参与方$P_i$有一个交互(图灵)机器$M_i$，该机器$M_i$实现了$P_i$在该协议中的步骤。首先，机器$M_i$接收来自参与方$P_i$的输入$x_i$，最后将输出返回给参与方$P_i$，这里的$x_i$是一个从集合$T_{in}^{-1}(P_i)到R$的映射。我们让$x:V_{in}\to R$表示各参与方输入的串联。让$x[P_i]$表示$x_i$。对于所有参与方的一个子集$P^{\prime }\subseteq P$，我们让$x[P^{\prime }]$表示所有$x[P]$中$P\in P^{\prime }$的元组。

   在SMPC的恶意模型中，一些参与方可能被腐化，但诚实的参与方不知道是哪些参与方。必须保护诚实参与方输入的机密性，以防止腐败参与方的联合。另外尽管有腐败参与方的行为，但诚实的参与方仍然应该获得正确的输出。我们可以通过理想/现实模型范式将这两种需求形式化。在这个范式中，我们通过一个协议来指定我们所需要的属性，该协议包含一个理想的组成部分，使这些属性"明显成立"。对于SMPC，这个理想的第三方$F_{SMPC}^f$收集所有参与方的输入，计算函数$f$，并将输出返回给各参与方。正确性和保密性是显而易见的，因为$F_{SMPC}^f$确实计算函数$f$，而且每个参与方只得到自己的输出。这个理想协议的执行会为诚实的参与方以及控制所有腐败参与方的敌手(以图灵机为模型)产生一定的输出。敌手的输出可能反映了它对诚实参与方输入和输出的猜测。在现实世界的协议中，理想的可信第三方是不存在的，而且交换的信息也是不同的，但所有诚实的参与方和敌手都会产生一些输出。如果现实世界协议产生的任何输出也可能是由理想世界协议产生的，那么该协议就是安全的——对于任何现实世界的敌手，都有一个理想世界的敌手与之对应，因此它们的输出在某种意义上是相同的，即使考虑到诚实参与方的输出。我们将这些概念形式化如下：

3. 定义3：由n个参与方安全多方计算函数f的理想组件是一个交互式图灵机$F_{SMPC}^f$，其工作原理如下：

   • 对于来自第i个参与方的输入$x_i$，其中$x_i$具有正确的类型(即它把$T_{in}^{-1}(P_i)$映射到环$R$)，它存储$x_i$并忽略了来自第i个参与方的进一步输入。
   • 在收到$x_1,x_2,\dots \dots ,x_n$之后，它计算出$z=f(x)$，其中$z$是从$V_{out}到R$的映射。让$z_i$成为$z$对$T$的限制。
   • 对于所有的i，机器$F_{SMPC}^f$向第i个参与方发送$z_i$。

4. 定义4：令$P_c\subset P$是腐败参与方的集合，$S$是控制这些腐化参与方集合的对抗性图灵机，$f=(C,T_{in},T_{out})$是各参与方集合$P$的多方计算任务，$x$是该任务的可能输入。腐败参与方$P_c$和敌手$S$在输入$x$的基础上计算$f$的理想模型结果是一个概率分布$IDEA{L}_{f,S}^{P_c}(x)$采样方式如下：

   • 将$x[P_c]$发送给$S$。敌手$S$返回$y$——一个从$T_{in}^{-1}(P_c)到R$的映射，指定腐败参与方对$F_{SMPC}^f$计算$f$的实际输入。

   • 每个诚实的参与方$P_i$向$F_{SMPC}^f$发送$x_i$。每个腐败的参与方$P_i$向$F_{SMPC}^f$发送$y_i$。每个参与方$P_i$从$F_{SMPC}^f$那里收到$z_i$，让$z_c$是$P_i\in P_c$收到的值$z_i$的串联。($z_c$是腐败参与方从$F_{SMPC}^f$收到的$z_i$值的串联)。

   • 将$z_c$发送给敌手$S$。敌手$S$返回($P_{h^{\prime }},r_A$)，其中$P_{h^{\prime }}\subseteq P\setminus P_c$，$r_A$是$R$上的元素的一个元组。

   • 对于每一个诚实的参与方$P_i\in P_{h^{\prime }}$，让$r_i$是值$z(v)$的元组，其中($v,P_i$)∈$T_{out}$。对于每一个诚实的参与方$P_i\notin P_{h^{\prime }}$，让$r_i=\perp$。

   • 为所有的诚实参与方$P_i$输出$r_A$和$r_i$。

     我们看到在$IDEA{L}_{f,S}^{P_c}(x)$的采样中，敌手实际上只了解被腐败参与方的输入。但由于敌手控制了这些参与方，它可以通过自己选择被腐坏的参与方的输入，在一定程度上影响计算$f$的结果。这是一种我们显然必须要容忍的权利，因为在现实模型中的敌手也可以这样做(如定义5所述)。敌手收到腐败参与方的计算函数$f$的输出，并能够影响哪些诚实参与方实际收到它们的输出。同样，这也与现实世界模型敌手提前停止协议执行的能力相对应，如接下来定义的那样。

5. 定义5：令 P c ⊂ P = { P 1 , P 2 , … … , P n } P_c⊂P=\{P_1,P_2,……,P_n\} Pc​⊂P={P1​,P2​,……,Pn​}是腐败参与方的集合，$A$是控制这些腐败参与方的对抗性图灵机，$\Pi =(M_1,M_2,\dots \dots ,M_n)$是任务$f$的一个多方计算协议($M_i是P_i$执行的机器)，$x$是协议的可能输入。腐败参与方$P_c$和敌手$A$在输入$x$的基础上计算$\Pi$的现实模型结果是一个概率分布$REA{L}_{\Pi ,A}^{P_c}(x)$采样方式如下：

   • 并行执行机器$M_i(x[P_i])$，计算各参与方$P_i\in P\setminus P_c$的信息(诚实参与方)，计算所有在$P_c$中各参与方的信息$A(x[P_c])$(被腐化参与方的信息)。在执行过程中，发给$P_c$中各参与方的所有信息都被转发给$A$，并且允许$A$代表任何$P\in P_c$发送消息。令$r_A为A$的输出，$r_i为M_i$的输出。诚实的参与方之间发送的消息不会被$A$知道。

   • 为所有的诚实的参与方$P_i$输出$r_A和r_i$。

     在定义了理想世界和现实世界协议执行的结果之后，SMPC协议的安全性就可以直接定义了。通常情况下，不针对任何一组腐败的参与方$P_c$提供安全性，而只是针对某些联盟。有可能精确地跟踪容忍联盟[4]，但是在这本书中，我们简化了陈述，只考虑了允许某些$t＜n$的情况下腐败参与方多达$t$个的门限敌手。

6. 定义6：若一个$n$方协议$\Pi$对于一个函数$f$是一个安全的多方计算协议，则有：如果对于所有$P_c\subseteq P$，$|P_c|\le t$和所有敌手A，存在一个敌手$S$，那么对于函数$f$的所有可能的输入$x$，

   ​ $REA{L}_{\Pi ,A}^{P_c}(x)\stackrel{d}{=}IDEA{L}_{f,S}^{P_c}(x)$ (1).

   公式(1)中的符号$\stackrel{d}{=}$表示符号两边的两个分布必须非常接近对方。这种接近性可以同不同的方式来解释。

   • 可以要求这两个分布相等
   • 在实践中，同样可以接收的要求是两个分布的统计学上的$\epsilon$-紧密性，其中$\epsilon$是一个可接受的故障概率(通常在$2^{-80}$或更少)。
   • 或者，我们可以要求这两个分布仅仅是计算上不可区分的[5]，也就是说，没有有效的(即概率上的多项式时间)算法能够以非负数的概率优于$\frac{1}{2}$的成功率将它们区分开来。在这种情况下，我们实际上有两个系列的分布，由安全参数$\eta$决定$\Pi$中加密密钥的长度等。$\Pi 、A和S$(作为$\eta$的函数)的运行时间也必须是$\eta$的多项式。区分算法的成功概率必须最多为$\frac{1}{2}+\alpha (\eta )$，其中$\alpha$是一个可以忽略的函数(即对于所有的$c$有${\lim }_{\eta \to \infty }{\eta }^c\cdot \alpha (\eta )=0$)。如果加密构造是$\Pi$的一部分，那么这就是等式(1)中的自然接近程度。

   在定义6中，敌手被赋予对它控制的各参与方的完全控制权。在实践中，敌手可能无法改变这些参与方的执行，但仍然能够观察它们的内部状态以及它们与其他参与方交换的信息。因此我们也定义了针对半诚实参与方的安全。我们通过对定义4、定义5和定义6做如下修改来获得这个定义。

   • 在定义4的第一步中，敌手$S$的输出$y$必须等于$x[P_c]$。
   • 在定义4的第三步中，参与方集合$P_{h^{\prime }}$必须等于$P\setminus P_c$。
   • 在参与定义5的第一步协议时，敌手$A$必须使用实际的机器$M_i$(对于$P_i\in P_c$各腐败参与方)来计算$P_i$发送的信息。
   • 在定义6中，必须使用修改后的理想和现实模型结果的定义。

在文献中，恶意的参与方也被称为"主动"，半诚实的参与方被称为"被动"。相应地，有人谈到主动与被动安全，以及主动与被动安全协议。这些同义词也将在本书中互换使用。

2 不经意传输

不经意传输(OT)是一个两方计算任务。第一个参与方(称为发送方)的输入是两个相同长度的比特串$m_0,m_1$。第二个参与方(称为接收方)的输入是一个比特b。接收方的输出是$m_b$，而发送方没有输出。不经意传输被用作多个SMPC协议中的子协议。

2.1 基本构造

以下结构首次出现在[6]中。它需要一个循环群$G$，其中Diffie-Hellman问题是困难的，例如，群$Z_P^{\ast }$。令$g$是群G的生成元。计算Diffie-Hellman问题(CDH)是对于随机整数 x , y ∈ { 0 , 1 , … … , ∣ G ∣ − 1 } x,y∈\{0,1,……,|G|-1\} x,y∈{0,1,……,∣G∣−1}从$g,g^x,g^y$来构造$g^{xy}$。可能更容易的决策性Diffie-Hellman问题(DDH)同样是对于随机整数$x,y,z$区分元组($g,g^x,g^y,g^{xy}$)与元组($g,g^x,g^y,g^z$)。如果没有有效的算法能够以不可忽略的成功概率(在决策性问题中成功概率不可忽略地优于$\frac{1}{2}$)来解决这个问题，那么这个算法就是困难的。因此，在CDH和DDH的定义中，群$G$实际上取决于安全参数$\eta$。

令$H$是一个加密哈希函数，将$G$的元素映射为长度为$|m_0|=|m_1|$的比特串。对于 b ∈ { 0 , 1 } b∈\{0,1\} b∈{0,1}，让$\stackrel{-}{b}=1-b$。以下协议安全地实现了不经意传输。

• 发送方生成一个随机的$C\leftarrow G$，并将其发送给接收方；
• 接收方选择 a ← { 0 , 1 , … … , ∣ G ∣ − 1 } a←\{0,1,……,|G|-1\} a←{0,1,……,∣G∣−1}，设置$h_b=g^a和h_{\stackrel{-}{b}}=C\cdot h_b^{-1}$。然后将$h_0,h_1$发送给发送方。
• 发送方检查$h_0{h}_1\stackrel{?}{=}C$。如果相等：发送方生成$r_0,r_1\leftarrow G$并发送$g^{r_0},g^{r_1},c_0=H(h_0^{r_0})\oplus m_0和c_1=H(h_1^{r_1})\oplus m_1$到接收方。如果不相等，发送方就中止协议。
• 接收方计算$m_b=c_b\oplus H((g^{r_b}{)}^a)$.

我们看到，在这个协议中，发送方基本上把$h_0和h_1$当做ElGaml加密的公钥[7]。它用$h_0加密m_0$，用$h_1加密m_1$。接收方能够用其中一个密钥解密，但不能用另一个密钥解密。该协议在信息理论上对发送方是安全的(即使它是恶意的)，因为($h_0,h_1$)在$G$的元素对中是单式分布的，其乘积是$C$。针对半诚实接收方的安全性来自DDH问题的难度。一般来说，针对恶意接受者的安全性是很难证明的。然而如果假设哈希函数$H$是一个随机预言机[8]，即$H(x)$是一个独立于任何其他$H(x^{\prime })$(或其中几个)的随机比特位串，它将从CDH中得到。

我们看到，这种$OT$构造的计算复杂度类似于公钥操作。事实上由于密钥交换可以建立在$OT$上[9]，因此不太可能使用更cheaper的对称密钥原语[10]来实现。

2.2 随机不经意传输

随机不经意传输($ROT$)是不经意传输($OT$)的一个变体，我们在此提出以利于第2.3节提高不经意传输的实用性。$ROT$是一个随机的两方计算任务，发送方和接收方都不输入任何东西，发送方获得两个均匀的、独立采样的、预先确定长度的随机消息$r_0,r_1$，接收方获得一个随机位$b$和消息$r_b$。

显然，在$OT$的帮助下，我们可以建立$ROT$——发送方和接收方将只是用随机输入来运行$OT$。我们也可以用$ROT$来构建$OT$，如下所示。让发送方有两个消息$m_0和m_1$，而接收方有随机位$b$。

1. 发送方和接收方运行$ROT$，发送方接收$r_0,r_1$，接收方接收$b^{\prime }和r_b$；
2. 接收方将$c=b\oplus b^{\prime }$发送给发送方；
3. 发送方发送$m_0^{\prime }=m_0\oplus r_c,m_1^{\prime }=m_1\oplus r_{\stackrel{-}{c}}$给接收方；
4. 接收方计算出$m_b=m_b^{\prime }\oplus r_{b^{\prime }}$；

事实上，$m_b^{\prime }\oplus r_{b^{\prime }}=m_b\oplus r_{b\oplus c}\oplus r_{b^{\prime }}=m_b$。该协议对接收方来说是安全的，因为$c与b$是独立的。对发送方也是安全的，因为$m_b被r_{b^{\prime }}$掩盖了，而接收者没有。如果$ROT$协议对恶意敌手是安全的，那么产生的$OT$协议也具有相同的安全级别。

2.3 扩展不经意传输

尽管公钥加密代价昂贵，但它通过混合机制被广泛使用——加密长消息$m$，生成对称密钥$k$，在$k$下加密$m$，在公钥加密原语下加密$k$(它短的多)。正如我们接下来所展示的：$OT$也存在类似的结构——少量的$OT$实例可以在对称密钥密码的帮助下转换为大量的$OT$实例。

首先，可以将用于从发送方向接收方传输短消息的$OT$实例转换为用于大消息的$OT$实例，方法是将这些短消息视为加密真实消息的密钥。如果发送方有两个长消息$m_0和m_1$，接收方有一位$b$，则发送方可以生成两个密钥$k_0,k_1$，发送$Enc(k_0,m_0)和Enc(k_1,m_1)$给接收方，并使用$OT$向接收方传输$k_b$。第二，长度为$n$的消息的$m个OT$实例其中$m<<n$，可以转换为长度为$m$的消息的$n个ROT$实例。如下面的[11]所示。这样一个$OT$扩展结构是使$OT$在各种协议中可行的主要工具。$s[i]$表示位串$s$的第i位，其构造如下：

1. 接收方随机生成长度为$n$的信息$r_0^1,r_0^2,\dots \dots ,r_0^m,c$，它定义$r_1^i=r_0^i\oplus c$对所有的 i = { 1 , 2 , … … , m } i=\{1,2,……,m\} i={1,2,……,m}。
2. 发送方产生一个长度为$m$的位串$b$。
3. 接收方和发送方使用$m个OT$实例(角色相反)，将$q^i=r_{b[i]}^i$从接收方转移到发送方，其中 i = { 1 , 2 , … … , m } i=\{1,2,……,m\} i={1,2,……,m}。
4. 对于每个 j ∈ { 1 , 2 , … … , n } j∈\{1,2,……,n\} j∈{1,2,……,n}，发送方将$m$位字符串$s_0^j$定义为由位$q^1[j],q^2[j],\dots \dots ,q^m[j]$组成。发送方还定义了$s_1^j=s_0^j\oplus$b。
5. 对于每个 j ∈ { 1 , 2 , … … , n } j∈\{1,2,……,n\} j∈{1,2,……,n}，接收方将$m$位字符串$s^j$定义为由位$r_0^1[j],r_0^2[j],\dots \dots ,r_0^m[j]$组成。
6. 在$ROT$的第$j$个实例中，对发送方的输出是$H(j,s_0^j),H(j,s_1^j)$，而对接收方的输出是$c[j],H(j,s^j)$。