百万富翁 & 混淆电路

文献：

1. Yao A C. Protocols for secure computations[C]//23rd annual symposium on foundations of computer science (sfcs 1982). IEEE, 1982: 160-164.
2. Yao A C C. How to generate and exchange secrets[C]//27th Annual Symposium on Foundations of Computer Science (sfcs 1986). IEEE, 1986: 162-167.
3. Lindell Y, Pinkas B. A proof of security of Yao’s protocol for two-party computation[J]. Journal of cryptology, 2009, 22(2): 161-188.

Millionaires’ Problem

百万富翁问题由姚期智先生在1982年提出。

场景：两个百万富翁想要知道谁更富有，然而他们不想让对方知道自己的身家。更一般地，有$m$个人$P_1,\cdots ,P_m$想要计算一个整数值函数$f(x_1,\cdots ,x_m)$，其中$x_i$都是有界整数，且只有$P_i$知道$x_i$的值，他们都不想泄露自己的秘密。

姚的百万富翁解决方案

• 假定Alice财产为$i$，Bob财产为$j$，并且有界$1\le i,j\le 10$。令$E_a$是Alice的公钥加密算法，$D_a$是对应的公钥解密方案。
• Alice和Bob执行如下方案：
  1. Bob生成$N-bit$随机数$x$，计算$k=E_a(x)$，发送 $c=k-j+1$ 给Alice
  2. Alice计算一系列解密值：$y_u=D_a(c+(u-1)=k-j+u),u=1,\cdots ,10$，易知$y_j=D_a(k)=x$
  3. 然后，Alice生成一个$N/2-bit$随机素数$p$，计算：$z_u=y_u\mathrm{mod}p$，保证所有的$z_u$至少有$2$个不同（否则重新生成$p$）
  4. Alice将素数$p$和序列 $[z_1,z_2,\cdots ,z_i]\Vert [z_{i+1}+1,z_{i+2}+1,\cdots ,z_{10}+1]$ 发送给Bob
  5. Bob检查序列的第$j$个位置：如果它等于$x\mathrm{mod}p$，那么$j\le i$；如果它等于$x+1\mathrm{mod}p$，那么$j\ge i+1$

安全性

除了知道最终的比较结果，

1. Alice不知道Bob的秘密$j$的任何信息：只知道$c=k-j+1$，但$k=E_a(x)$是随机数（否则Alice就猜对了$x$），因此$j=1,\cdots ,10$等可能出现
2. Bob不知道Alice的秘密$i$的任何信息：只知道$y_j=x$，而其他的$y_u=D_a(k-j+u)$都是随机数（否则Bob就破解了$D_a$），因此无法区分其他的数是$z_u$还是$z_u+1$

一般的多方安全函数计算协议

$m$方参与者，函数$f(x_1,\cdots ,x_m)$，令 K ⊆ { 1 , ⋯   , m } K \subseteq \{1,\cdots,m\} K⊆{1,⋯,m}是诚实者，令 K ′ = { 1 , ⋯   , m } − K K' = \{1,\cdots,m\} - K K′={1,⋯,m}−K是作弊者

姚证明了：对于任意的$ϵ,\delta ,\gamma >0$，存在一个协议$A$可以计算函数$f$，满足$(ϵ,\delta )-$隐私约束（private constraint），并且对于任意的 K ′ ≠ { 1 , ⋯   , m } K' \neq \{1,\cdots,m\} K′={1,⋯,m}，$K^{\prime }$可以成功欺骗（successful cheating）的概率至多为$\gamma$。

也就是说，存在一个MPC协议，即使有$m-1$个人串通，也不会成功诈欺那$1$个诚实者。当然，实际应用中要平衡安全性和计算效率。

Garbled Circuit

姚期智在1986年将百万富翁问题的解决方案扩展到任意的电路，提出了混淆电路（garbled circuit）的概念。但直到2004年才被 Lindell 等人具体地完全描述出来。

设计思路

有一个迷宫包含很多房间，每个房间都有$2$个进入的门和$1$个离开的门，房间之间由走廊进行连接。每个房间中放着$4$个盒子，每个盒子上都有$2$个挂锁，对应着$4$种钥匙，其中$2$种可以来自一个进入的门，另外$2$种钥匙可以来自另一扇进入的门。一个房间中有$2$种不同的钥匙，每种钥匙复制$2$把，在$4$盒子内各存放着$1$把钥匙。这些钥匙可以用于打开后续房间内的盒子上的挂锁。在迷宫终点的那个房间内存放着黄金。所有玩家需要合作开启各个房间中的盒子获得钥匙，以抵达迷宫终点。

开局每$2$个玩家们进入一个房间，各自拥有$1$把私有的钥匙，他们合作可以同时打开其中$1$个盒子上的$2$个挂锁，获得其中的钥匙。而其他的$3$个盒子至多只能解开$1$把挂锁，无法开启盒子。然后，他们经过走廊进入下一个房间，与另一伙人合作，打开此房间中的某一个盒子，获得里面的钥匙。然后继续前进，直到抵达终点房间，打开盒子获得黄金。

构造

考虑一种简单的两方协议。给定一个函数 f ( x , y ) = v ∈ { 0 , 1 } f(x,y)=v \in \{0,1\} f(x,y)=v∈{0,1}，其中 x , y ∈ { 0 , 1 } x,y \in \{0,1\} x,y∈{0,1}分别是Alice和Bob的私有数据。

Alice根据$f$构造布尔电路$C$，然后构造对应的混淆电路$GC$：

1. $C$由若干逻辑门和输入输出线组成。假设$C$是无环图，将它的逻辑门进行拓扑排序，依次为逻辑门生成混淆电路。
2. 从电路输入线开始，假设逻辑门$g$有两根门输入线$i,j$和一根门输出线$l$。
3. 输入线$i$上分配两个随机的标签 k i 0 , k i 1 ∈ { 0 , 1 } n k_i^0,k_i^1 \in \{0,1\}^n ki0​,ki1​∈{0,1}n，对应着逻辑值$0、1$；输入线$j$和输出线$l$同理。
4. 逻辑门$g$根据其真值表（含$4$个条目），使用每个条目的逻辑输入值对应的标签（比如$k_i^0,k_j^1$），来加密两次其逻辑输出值所对应的标签（比如$k_l^1$，那么$E(k_i^0,E(k_j^1,k_l^1))$），生成混淆真值表。
5. 将“线的标签”以及“门的混淆真值表”按照电路$C$组合起来，得到混淆电路$GC$，注意来自同一个门的多根线（扇出系数$>1$）的标签是相同的。
6. 对于电路输出线$o$，标签$k_o^0$对应逻辑值$0$，标签$k_o^1$对应逻辑值$1$，当Bob计算完混淆电路得到其中一个标签后，Alice公布这个对应关系。
7. 注意，其他线的标签与逻辑值的对应关系不应当被公布。否则，Bob将会获得电路内部的中间结果，从而泄露Alice的秘密。

Alice将上述的$GC$发送给Bob，Bob在混淆电路上做运算：

1. Alice直接把自己的输入$x$对应的标签$k_i^x$发送给Bob，而Bob无法区分这个标签对应的逻辑值是$0$还是$1$
2. Bob通过不经意传输协议（OT）获得$y$对应的标签$k_j^y$，同时OT协议保证了Alice无法获得$y$的信息，且Bob无法获得另一个标签$k_j^{1-y}$的信息。
3. Bob获得全部的电路输入线的标签后，开始按照逻辑门的拓扑排序，依次尝试解密逻辑门$g$上的$4$个条目。由于Bob只拥有每根门输入线上的一个标签，因此他至多成功解密其中的一个条目，获得逻辑门输出值对应的标签。
4. 然后Bob继续解密其他逻辑门的混淆真值表，直到获得电路输出线$o$上的标签$k_o^v$，然后Bob公布计算结果。
5. Alice公布对应关系 { k o 0 : 0 , k o 1 : 1 } \{k_o^0:0,k_o^1:1\} {ko0​:0,ko1​:1}，他们完成了$v=f(x,y)$的计算。

区分正确解密的条目

明显的，所有线标签都是随机数，Bob解密尝试逻辑门上的$4$个条目时，难以确定到底哪个条目是被正确解密的。为了区分，Lindell 等人提出了一种特殊的对称加密系统。

令$(G,E,D)$是一个对称加密方案，定义关于密钥$k$的密文范围
R a n g e n ( k ) : = { E k ( x ) } x ∈ { 0 , 1 } n Range_n(k) := \{E_k(x)\}_{x \in \{0,1\}^n} Rangen​(k):={Ek​(x)}x∈{0,1}n​
那么，我们定义密码方案的两个特殊性质

1. 不可捉摸密文范围（elusive range）：对于任意的概率多项式时间的敌手$A$，任意的多项式$p(\cdot )$，以及足够大的$n$，有
   $$P{r}_{k\leftarrow G(1^n)}[A(1^n)\in Rang{e}_n(k)]<\frac{1}{p(n)}$$

2. 可有效验证密文范围（efficiently verifiable range）：存在一个概率多项式时间的算法$M$，满足
   $$M(1^n,k,c)=1⟺c\in Rang{e}_n(k)$$

对于任意的$c\notin Rang{e}_n(k)$，我们令$D_k(c)=\perp$

下面，我们给出满足上述性质的对称加密方案：令 f k : { 0 , 1 } n → { 0 , 1 } 2 n f_k: \{0,1\}^n \to \{0,1\}^{2n} fk​:{0,1}n→{0,1}2n是一个带密钥 k ∈ { 0 , 1 } n k \in \{0,1\}^n k∈{0,1}n的伪随机函数（PRF），然后我们定义

• 加密： E k ( x ) = { r , f k ( r ) ⊕ x ∥ 0 n } E_k(x) = \{r,f_k(r) \oplus x\|0^n\} Ek​(x)={r,fk​(r)⊕x∥0n}
• 解密： D k ( { r , s } ) = { f k ( r ) ⊕ s } [ 1 : n ] D_k(\{r,s\}) = \{f_k(r) \oplus s\}[1:n] Dk​({r,s})={fk​(r)⊕s}[1:n]

容易看出，随机数$f_k(r)$遮蔽了$x\Vert 0^n$，明文$x$就隐藏在密文$s$的前$n-bit$内。解密函数是正确锝的。可以验证它满足 elusive range，如果存在敌手$A$，那么就可以区分$f_k$和真随机函数$f_{rand}$（如果$A$对于使用$f_k$的$E_k$给出的 c = { r , s } ∈ R a n g e n ( k ) c=\{r,s\} \in Range_n(k) c={r,s}∈Rangen​(k)，因为$f_k(r)$的后$n-bit$以$Pr=1\gg negl(n)$的概率为$s[n+1:2n]$，那么就和使用$f_{rand}$的$E$区分开了）。可以验证它满足 efficiently verifiable range，因为给定 { r , s } \{r,s\} {r,s}容易验证$f_k(r)[n+1:2n]$是否等于$s[n+1:2n]$，从而确定是否有$c\in Rang{e}_n(k)$。

利用上述的对称加密方案，可以容易的区分二重加密（ double-encryption）下哪些密文被正确解密。

Lindell 等人证明：令$G,E,D$是一个针对不均匀敌手的（ in the presence of non-uniform adversaries）在选择明文攻击下不可区分密文的（indistinguishable encryptions under chosen plaintext attacks，IND-CPA）对称加密方案，那么它就是在二重加密下安全的（secure under chosen double encryption）。