免责声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表火星金融官方立场。
边肖:记得要注意
来源:微众银行区块链
隐私还能在密文中加减乘除吗?它背后的同态原理到底是什么意思?半同态和全同态有什么区别?快乐花瓣和多密钥同态加密有哪些精彩的应用场景?
在隐私保护方案的设计中,往往需要对处于密文状态的隐私数据进行具体的业务操作,以保证数据的机密性。
效仿前面讨论的电子支付的例子,客户目前有一张面额为1000元的电子支票,以密文凭证的形式存储,流通过程中金额不会轻易透露。客户使用这张支票时,消费金额可能会低于1000元,因此需要拆分支票并兑换。假设消费金额为200元,这张支票需要拆分成两张密文凭证,面额为200元的为商家,面额为800元的为客户自己找钱。
在这个过程中,有三个与隐私保护相关的主要功能点:
客户不希望其他人(包括商户)知道800元的变更金额,相当于保护客户自己关于财产总额的信息在消费时不被泄露。商家在本次消费前需要核实密文支票余额不低于200元,但不需要知道具体余额。开出密文支票的银行需要核实交易后,客户和商户并没有凭空创造更多的钱,即消费金额和零钱金额之和等于拆分前电子支票中的余额。
以上功能点涉及如何在不解密的情况下计算和验证私有数据的密文形式。解决问题的关键在于秘密文本同态的使用。
在数据业务中,涉密文本的同态广泛应用于需要隐私保护的相关场景,能够满足私有数据可信跨域协作、联合数据挖掘等高价值需求,可用于多方数据协作、机器学习、云计算等热门领域。密码学同态的奇妙之处是什么?并通过这篇文章了解。
同形
同态的概念起源于抽象代数,具体指两个代数结构(如群、环、向量空间等)之间的映射。)保持结构不变。
相应地,密码学意义上的同态指的是一类代数结构,它能满足结构在特定操作下不变的性质。比如函数f(x)=3x对应的代数结构满足加性同态,函数f (x)=x 3对应的代数结构满足乘性同态。
同态在密码学中最常见的应用之一是构造同态加密算法。
同态加密允许密文形式的私有数据直接进行特定形式的代数运算,而不需要解密,运算效果与直接计算私有数据的明文再加密得到的效果相当。
该技术试图达到私有数据协同计算中数据的密文可以计算,但明文不可见的效果。
同态加密一直是密码学领域的一个重要课题。经典算法包括RSA、ElGamal和Paillier加密算法。2009年9月,Craig Gentry在理论上有了很大突破,提出了全同态加密的构造方法,即私有数据的密文形式可以任意形式运算,无需解密,运算后的密文满足同态。
除了同态加密,其他密码原语,如前面理论中提到的密码承诺,也可能具有同态。
同态加密和同态密码学承诺的功能区别在于:
同态加密重在计算,即在计算多方提供的隐私数据的密文形式后,将结果密文解密后得到的值等于对明文数据进行相应运算得到的结果。这个过程不会泄露私有数据明文,但解密前无法得知结果。同态密码承诺侧重于验证,即通过密码承诺的密码形式的同态,对已知结果构造相应的零知识证明,以证明多个承诺满足一定的约束。密码学很难支持计算结果未知、需要多方收集隐私数据的密文计算过程。
同态在不同的密码原语中具有不同的功能和局限性。本文以同态加密算法为例,分享同态的特点和应用,其他相关密码原语将在后续课题中开发。
半同态与全同态
同态加密根据支持操作类型的限制,可分为半同态加密(SWHE、稍微同态加密或PHE、部分同态加密)和全同态加密(FHE、全同态加密)。
对于半同态加密算法,其密文形式只满足某些运算模式的同态,代表性的密码算法体系如下:
加法同态:未加RSA,ElGamal,Benaloh,Paillier逻辑同态:Goldwasser-micai
半同态加密算法的优势在于结构相对简单,工程实现效率高,能够满足目前的商业性能要求。
对于引言中的密文支票电子支付的例子,可以用一个带加法运算的同态算法来构造。
出满足相关的隐私保护需求的密码学协议。除了支付之外,对于日常业务中的大多数场景,如投票、选举、竞拍等,半同态加密算法一般都可以满足对应的隐私保护需求。对于一个全同态加密算法,其密文形式在理论上对任意运算方式都满足同态性。对于数据密文计算相关同态加密算法设计,这一要求通常体现为密文对应的代数结构对加法和乘法同时满足同态性。
对于任意的隐私数据x,y,全同态加密算法提供了一对加密算法E和解密算法D,满足如下关系:
相比半同态加密算法,全同态加密算法功能更强大、设计更复杂,整体性能远不及半同态加密算法。例如可能面临密文数据膨胀困扰。相关研究报告显示,在一次使用全同态加密开源库为敏感医疗数据构建密文线性回顾模型的尝试中,需要将隐私数据进行编码转换,映射到密文的向量空间中。
此过程,1M的明文数据编码后可能膨胀至约10G密文数据;同时,针对值域范围为512位的明文数据,单次密文乘法运算,在普通个人计算机实测耗时约5秒左右,通常一个需要全同态计算的场景涉及的密文乘法次数很多,总体耗时较高。
由此可见,全同态加密算法的愿景虽美,但目前还处于理论探索层面,离工程实用化、支持高频次和大数据量的业务需求尚有一定距离。
愉快的花瓣vs多密钥
同态加密根据数据控制方的数量,可分为愉快的花瓣同态加密(Single Key Homomorphic Encryption)和多密钥同态加密(Multi-key Homomorphic Encryption)。
早期的同态加密算法都是愉快的花瓣算法,主要应用于外包计算(Outsourced Computation)场景。数据控制方对自身的数据进行加密,然后发送到云计算服务平台,在密文的形式下完成一系列运算,最后下载结果密文,本地解密之后获得最后的计算结果。
上一节提到的ElGamal、Paillier等加密算法都是愉快的花瓣同态加密,即对于隐私数据只能使用同一对的密钥进行加解密。
愉快的花瓣同态加密优点在于构造相对简单、性能高,可用于有一定信任基础或强监管环境下的联合计算场景。
由于涉及到可信初始化和密钥选用的问题,愉快的花瓣同态加密在多方参与的协作场景中,会遇到不少挑战,例如:
如何决定使用哪一方提供的密钥?数据由谁来解密?如何平衡愉快的花瓣所代表的单一数据控制权?如何确保数据提供方的敏感数据输入不被解密?如何防范数据控制方恶意提前终止协议?如何让所有参与方都能验证最终结果正确性?
实际业务流程中,隐私数据可以由多方提供,在可信初始化之后使用同一个公钥加密数据,并汇总密文数据进行计算,计算结束之后,需要委托可信方或者使用分布式解密协议,对最终结果进行解密。
相比愉快的花瓣同态加密算法,多密钥同态加密较好地解决了信任相关的问题。
一个多密钥同态加密算法,允许不同参与方使用各自不同的密钥对加密,加密后的密文可以通过各个参与方的公钥进行密文扩展,扩展后的密文对于指定的运算方式依旧满足同态性。解密过程可以通过分布式解密协议,在不泄露各自数据私钥的前提下,对约定的结果密文进行解密。
典型的多密钥同态加密算法可以参考Clear and McGoldrick (CRYPTO 2015)、Mukherjee and Wichs (EUROCRYPT 2016)相关的论文。
目前多密钥同态加密方案,随着参与方个数的增加,系统性能会急剧降低。对于一些需求比较明确的多方协作场景,相较于多密钥同态加密方案,定制构造的安全多方计算协议或许更有效。
总体而言,密文同态性可以为业务场景中,常见的隐私数据的计算和验证需求,提供有效解决方案,根据具体的业务需求,基本技术选型可以参考下图:
正是:隐私数据密文亦无妨,计算验证同态两相宜!
具有同态性的密码学原语提供了一系列直观、便捷的密钥学协议构造利器,在保障隐私数据机密性的同时,允许多个协作方对隐私数据的密文形式进行直接运算和验证操作,以此适配多样化的隐私保护需求。
除计算和验证需求外,多方授权也是常见的业务需求之一,如对多方共有的业务数据进行授权使用,此时需要用到门限密码学相关技术,欲知详情,敬请关注下文分解