安全多方计算
文章平均质量分 95
安全多方计算
山登绝顶我为峰 3(^v^)3
只有平凡理想的域(✪ω✪)
展开
-
Universal Thresholdizer:将多种密码学原语门限化
[BGG+18] 基于**门限同态加密**,给出了构造**各种门限密码系统**的一种通用方法。原创 2024-05-03 16:06:54 · 1624 阅读 · 6 评论 -
Linear Secret-Sharing Scheme(LSSS)& Monotone Span Program(MSP)
人们证明了 Monotone Span Program 等价于 Linear Secret-Sharing Scheme。原创 2024-04-27 20:00:49 · 1046 阅读 · 0 评论 -
ABY2.0:更低的通信开销
* 著名的 [ABY](https://blog.csdn.net/weixin_44885334/article/details/127099346) 是第一个混合多种 MPC 协议的安全多方计算协议。不过由于 Yao's GC 的限制,它仅仅是个**半诚实安全的 2PC 协议**。* 之后的 [ABY3](https://zhuanlan.zhihu.com/p/402420978) 是一种**恶意安全的 3PC 协议**。它使用了 Yao's GC 的三方扩展,两个 Garbler,一个 Evalu原创 2023-09-08 17:11:38 · 376 阅读 · 0 评论 -
什么是 ORAM
Oblivious Random-Access Machine (ORAM) 是一种计算机模型,可以抵御(主动/被动)敌手观察到 “访存模式”。所谓 Oblivious 指的就是敌手**无法区分不同的访存地址序列**,只要这两个输入下程序的执行时间相同。ORAM 最初是用来做软件保护的,但之后在 MPC 等其他领域中大展拳脚(类似于 ZKP 的命运)。应用场景:假设数据在内存中是加密的,敌手无法观察到内存中写入的数据是什么。但是,假如敌手可以观察到 CPU 的访存地址,那么就会泄露一定的信息(比如,相邻原创 2023-08-31 16:24:37 · 457 阅读 · 0 评论 -
基于 MK-FHE 的 MPC
[CM15] 在 GSW 的基础上,构造了一个 multi-identity identity-based FHE,进而获得了第一个基于标准 LWE 问题的 multi-key FHE。所谓 MK-FHE 说的是,各个参与者可以独立地生成公私钥对,并使用自己的公钥加密消息;这些不同公钥加密下的密文,可以在特殊的 masking system 下,转化为支持同态运算的通用格式;在解密通用密文时,所有参与者运行一个分布式的解密协议。之后 [MW16] 提出了 [CM15] 的一个显著简化,并使用 MK原创 2023-07-11 11:45:15 · 273 阅读 · 0 评论 -
基于 Threshold FHE 的 MPC
FHE 天然可以实现两方的 MPC 协议:Alice 生成 FHE 公私钥,将自己的输入加密,Bob 也使用 Alice 的公钥加密自己的输入,然后 Bob 执行同态计算,仅发送结果密文给 Alice 解密。直接将上述思路扩展到多个参与方,有如下问题:[AJW11] 提出了 threshold fully homomorphic encryption(TFHE,门限全同态加密),所有参与方协同生成一个公共的公私钥对,每个参与方仅持有私钥的秘密分享,解密过程是一个分布式解密协议,并且需添加 “污染(原创 2023-07-11 11:43:32 · 336 阅读 · 0 评论 -
安全多方计算:安全定义
异步网络下的多方协议,它由若干会话(Session, 某协议的一份独立执行)构成。每个参与方同时与多个其他参与方执行若干个协议或者子协议的会话。每个会话被两个参与者的uiduiduid以及会话的sidsidsid唯一索引,会话执行时对应参与者会保持一个局部状态(含有私有数据),会话结束后将擦除(erase)这个状态(前向安全性(forward secrecy):即使长期秘钥泄露,过期秘钥依然与随机秘钥不可区分),会话的输出包括数值以及事件(成功 / 失败)。原创 2023-05-14 17:00:40 · 573 阅读 · 0 评论 -
基于同态加密的恶意安全 MPC:BDOZ、SPDZ
# Abstract Sharing MechanismBeaver Triple 是为了加速 BGW 而设计的,但它可以任意的满足如下性质的抽象共享机制 $[v]$ 上 work:1. *Additive homomorphism*:各方持有 shares $[x],[y]$ 以及公开常数 $z$,它们可以无交互地计算任意的 $[x+y] = [x] + [y]$,$[x+z] = z + [x]$,$[z \cdot x] = z \cdot [x]$(三种加性操作,左边的 $+,\cdot$原创 2022-10-09 21:56:59 · 1540 阅读 · 15 评论 -
Yao‘s GC 的通信最优解:Half Gate
2012年,Bellare, Hoang, Rogaway 给出了混淆电路协议的抽象。一个 Garbling Scheme 是算法四元组(Gb,En,Ev,De)(Gb,En,Ev,De),Gb(1k,f)→(F,e,d)Gb(1k,f)→(F,e,d):安全参数kkk,将布尔电路fff转化为混淆电路FFF,eee是编码信息(encoding information),ddd。原创 2022-10-06 23:11:57 · 870 阅读 · 0 评论 -
混合 2PC:ABY 架构
另外,对于布尔电路和算术电路的 Beaver Triple,都可以使用 R-OT 批量获得。因为 Y2B 是 free 的,并且 A2Y 基于 Yao’s GC,它的计算效率远高于 SS 电路,所以方案二速度更快。因为 Y2B 是 free 的,并且 B2A 在计算和通信上的开销比构造 Yao’s GC 小得多,所以方案二速度更快。ABY 将使用 Free XOR 技术的 Yao’s GC 的输入线标签,也视作是 shares,对于。这是 free 的,只需要一丁点的本地计算。使用基于 SS 的布尔电路,原创 2022-09-29 00:22:12 · 902 阅读 · 0 评论 -
混淆 OBDD
1986年,Bryant 提出了布尔函数的表示方法 ordered binary decision diagrams (OBDDs)。相较于布尔电路,OBDD 更加紧凑,很多常见类型(除了整数乘法,指数级)的布尔函数对应的 OBDD 的节点数量更少。并且,OBDD 由于固定了变量顺序,因此它可以有效解决 布尔函数可满足性问题 和 图同构问题。布尔函数f(x1,⋯ ,xn)f(x_1,\cdots,x_n)f(x1,⋯,xn)的函数图(function graph)或者说 OBDD,它是一个有根原创 2022-09-26 10:35:53 · 548 阅读 · 0 评论 -
Malicious Secure MPC: C&C、Lego、ZKP
假设Alice和Bob想要公平地分割蛋糕,但是他们都不信任对方,认为对方会给自己割一块大的。在计算多个电路时,一个恶意敌手可能会对于不同的电路输入不同的值。因此协议还需要额外约束双方的输入。假设 check 和 eval 的开销相等,那么经过最优化可以计算出,为了使得敌手的成功概率不高于。的每一个输入比特,仅通过单个恶意敌手安全的OT协议,传输全部混淆电路。仿照乐高积木,为了构建一个坚固的玩具,只需要确保每个积木都是牢固的。不过一般而言,eval 的计算开销一般是 check 的计算开销的。原创 2022-09-10 17:08:25 · 579 阅读 · 0 评论 -
基于秘密共享的MPC:GMW、BGW、Beaver triple
我们用MPC来指代n≥3n \ge 3n≥3的参与者,我们用2PC来表示n=2n=2n=2的情况。GMW方案是基于可加的秘密共享(additive shares)的MPC方案,它可以处理n≥2n \ge 2n≥2的所有情况。它可以工作在布尔电路(Boolean circuit)和算术电路(Arithmetic circuit)上,这里仅介绍布尔电路的协议。P1P_1P1拥有隐私输入x∈{0,1}nx \in \{0,1\}^nx∈{0,1}n,P2P_2P2拥有隐私输入y∈{0,1}ny \in原创 2022-09-04 19:49:31 · 1720 阅读 · 0 评论 -
混淆电路的优化:P&P、Free XOR、GRR
根据线标签和种子的对应关系(利用PRG),从混淆输入(一个超级种子,包含一些种子)中得到超级种子的。级联作为某根线上的超级种子(super-seeds),每根线上两个超级种子(位置0和位置1)。姚的混淆电路在构建的时候,无论是什么 1-out-of-2 逻辑门(与、或、异或、与非、或非)都需要计算。当然,对于电路输出线,后续就没有其他的逻辑门了,因此不需要分配选择比特。(malicious adversaries)的场景下安全的。上述的描述特别繁琐。个私有种子(seeds)和随机比特,而人们的种子的。...原创 2022-08-28 09:51:52 · 1826 阅读 · 0 评论 -
百万富翁 & 混淆电路
然后,他们经过走廊进入下一个房间,与另一伙人合作,打开此房间中的某一个盒子,获得里面的钥匙。然后继续前进,直到抵达终点房间,打开盒子获得黄金。这些钥匙可以用于打开后续房间内的盒子上的挂锁。所有玩家需要合作开启各个房间中的盒子获得钥匙,以抵达迷宫终点。个条目时,难以确定到底哪个条目是被正确解密的。(garbled circuit)的概念。姚期智在1986年将百万富翁问题的解决方案扩展到任意的电路,提出了。明显的,所有线标签都是随机数,Bob解密尝试逻辑门上的。个离开的门,房间之间由走廊进行连接。.......原创 2022-08-27 14:11:23 · 1013 阅读 · 0 评论