(一)百万富翁问题经典解决方案我们假设这两个富翁为张三、李四,拥有资产分别为:张三拥有300万,李四拥有500万。售卖方为甜菜出价,表示他们希望按照这个价格售卖甜菜,但不希望泄漏自己的具体出价。因此,他们使用多方安全计算协议,在不泄露售卖方出价的条件下计算市场出清价。针对上述问题,隐私计算技术能够提供一种更为安全可信的风险信息共享方案,消除机构对于数据隐私和商业机密泄漏的担忧,提高联合反欺诈的效率。
隐私计算技术中,多方安全计算(MPC)、联邦学习(FL)与可信执行环境(TEE)是三大主流技术派系,此前洞见君为大家介绍过联邦学习的前世今生,解读过可信执行环境,今天为大家带来多方安全计算的相关简介及应用。
作者:深圳市洞见智慧科技有限公司
多方安全计算(Secure Multi-Party Computation)是指在无可信第三方的情况下,多个参与方协同计算一个约定函数,除计算结果以外,各参与方无法通过计算过程中的交互数据推断出其他参与方的原始数据。作为隐私计算的一种常用工具,多方安全计算在安全性和易用性方面有着天然的优势。本文梳理了多方安全计算的发展脉络、多方安全计算的经典应用实例以及多方安全计算的未来发展趋势,供读者学习参考。
多方安全计算的发展脉络多方安全计算起源于1982年姚期智院士提出的姚氏百万富翁问题:两个百万富翁在街头偶遇,双方想要知道谁更有钱,但他们都不想暴露自身的资产金额,如何在不借助第三方的情况下,得出谁更富有的结论。
(一)百万富翁问题经典解决方案
我们假设这两个富翁为张三、李四,拥有资产分别为:张三拥有300万,李四拥有500万。
以上案例中,李四选了财富值对应的盒子并销毁了其他盒子,张三打开“盲盒”看到香蕉就可以明白,李四比自己更富有。双方在没有暴露自身资产金额的情况下,比较出了谁更富有。
对姚氏百万富翁问题不同的解答方式为多方安全计算技术提供了不同的研究思路。近几十年来学术界对多方安全计算的研究蓬勃发展,多种技术路线齐头并进,越来越多的可实用化的理论研究成果相继出现,为多方安全计算在工业场景下的应用带来了可能。
(二)多方安全计算的发展阶段
多方安全计算的发展可以被分为四个代表性阶段:
20世纪80-90年代——理论研究阶段
从百万富翁问题被提出以后,多方安全计算的学术研究开始有少量的论文发表,这些论文主要集中在理论研究层面,验证不同安全模型下多方安全计算的可行性。这些算法通常效率都比较低,离实用化有着较长的距离。
1978 Rivest[1] 首次提出同态加密这一概念
1979 Shamir[2] 提出门限秘密分享协议
1981 Rabin[3] 提出不经意传输协议
1982 Yao[4] 提出多方安全计算协议(解决百万富翁问题)
1986 Yao[5]提出混淆电路
1987 Goldreich[6] 提出基于秘密分享的MPC
1995 Chor[7] 提出PIR协议
1999 Paillier[8] 提出半同态加密协议
2000-2009年——实验室阶段
随着协议的不断改进和计算成本的不断优化,此时开始出现理论研究与实际问题相结合,并有了一定的研究成果,其中比较著名的是Malkhi设计的多方安全计算平台Fairplay。
2004 Freedman[9] 提出PSI协议
2004 Malkhi[10] 提出了一个名为Fairplay的多方安全计算平台
2009 Gentry[11] 提出全同态加密协议
2009-2017年——应用初创阶段
这一阶段出现了一些成功部署MPC的实例以及一些利用MPC实现隐私保护的应用程序,同时,一些行业巨头开始在数据市场等领域尝试使用多方安全计算解决多方数据安全交换的问题。
2009 Bogetoft[12] 丹麦甜菜拍卖
2010 Burkhart[13] 隐私保护网络安全监控
2016 Doerner[14] 隐私保护稳定匹配
2017 Bestavros[15] 波士顿工资平等研究
2018年-至今——规模化发展阶段
由于多个国家和地区发布数据保护法规,导致业界希望用多方安全计算来解决数据使用的合规性问题,相关标准的制定工作也渐次展开,金融、医疗、政务等领域开始关注和尝试多方安全计算技术。此外越来越多的公司开始关注到多方安全计算领域,多种支持多方安全计算的平台、框架相继被提出。
2018年3月 基于TensorFlow的多方安全计算框架开源(https://github.com/tf-encrypted/tf-encrypted)
2019年6月 谷歌开源多方安全计算 (MPC) 工具 Private Join and Compute(https://github.com/Google/private-join-and-compute)
2019年10月 Facebook开源多方安全计算框架CrypTen(https://github.com/facebookresearch/CrypTen)
多方安全计算的应用下面我们简单介绍两个多方安全计算经典应用实例及一个业务应用示例,通过这三个应用实例可以看出多方安全计算已经足够高效,可以在实际场景中应用。
(一)丹麦甜菜拍卖系统
在这个场景中,售卖方是丹麦种甜菜的农民,而购买方只有一个,即丹麦唯一的一个甜菜加工公司。售卖方为甜菜出价,表示他们希望按照这个价格售卖甜菜,但不希望泄漏自己的具体出价。如果常年泄露出价,则其他人就会得知自己的甜菜种植能力和做生意的能力了。
购买方则希望得知市场出清价(即保证供求关系平衡的售卖价格)。因此,他们使用多方安全计算协议,在不泄露售卖方出价的条件下计算市场出清价。
(二)波士顿妇女劳动委员会与企业的合作项目
此项目研究员工性别、种族是否会影响到其实际的工资。合作企业不希望、从法律角度也不能够对外泄露自己雇员的收入或相关金融类信息,但通过多方安全计算,企业可以在不给出具体数据的条件下计算相应的统计分析结果。
(三)洞见科技金融反欺诈案例
反欺诈是金融风控的重要环节,信贷业务往往面临着多种欺诈行为,例如伪造身份、盗刷、骗贷等,保险机构也面临着骗保等欺诈行为。最简单和最常用的反欺诈方法就是建立反欺诈联盟,对于联盟机构的黑名单、多头借贷、大额保单等风险信息进行共享查询(见下图示意)。
但是,出于数据隐私、商业机密以及合规安全等方面原因,各家金融和保险机构并不情愿将上述风险信息主动归集于某个平台(例如征信机构),以及提供分布式共享查询服务。
针对上述问题,隐私计算技术能够提供一种更为安全可信的风险信息共享方案,消除机构对于数据隐私和商业机密泄漏的担忧,提高联合反欺诈的效率。以某征信机构的反欺诈联盟平台为例,技术实现如下:
① 反欺诈需求方作为调度方发起MPC计算任务,同步需要查询的主体身份信息,同时也作为MPC计算节点参与运算;
② 各个金融机构根据主体身份信息匹配本地查询到的结果,并将此结果作为MPC输入因子;
③ 各个金融机构和反欺诈需求方的MPC计算节点之间,基于MPC协议完成风险信息聚合计算;
④ 反欺诈需求方得到最终的风险信息聚合计算结果。
在上述方案中,可以在各家金融机构不泄漏目标主体具体风险信息的情况下完成其在反欺诈联盟内的风险信息聚合计算。
多方安全计算标准与发展趋势(一)多方安全计算标准与相关评测
多方安全计算经历多年发展,现在能成熟应用于隐私计算解决方案中,并且有了一系列技术标准和基于标准的产品评测认证。
在技术标准方面,中国通信标准化协会(CCSA)制定了《基于多方安全计算的数据流通产品技术要求与测试方法》、《隐私计算多方安全计算产品性能要求与测试方法》、《隐私计算 多方安全计算安全要求与测试方法》等标准;在金融领域,中国人民银行发布了《多方安全计算金融应用技术规范》(JR/T 0196-2020),中国支付清算协会发布了《多方安全计算金融应用评估规范》(T/PCAC 0009-2021);此外,国际上IEEE标准协会也发布了洞见科技参与制定的首个多方安全计算国际标准《Recommended Practice for Secure Multi-Party Computation》。
各大机构根据以上标准对多方安全计算相关隐私计算技术产品进行认证。现有的相关评测有:工信部中国信通院的多方安全计算产品功能、性能、安全评测;国家金融科技测评中心(银行卡检测中心)的多方安全计算金融应用技术测评;中国金融认证中心(CFCA)的多方安全计算产品测评等。
这些标准和评测,进一步推动了多方安全计算技术业界共识形成,加速多方安全计算技术应用落地,降低技术应用各方协作成本。然而,对技术本身来说,未来还有更多提升和发展的空间。
(二)多方安全计算技术发展趋势
提升系统的精度与性能
目前,多方安全计算的开销依然远大于明文计算,计算精度与明文计算相比也会有一定的损失。进一步优化模型框架,提升算法效率以及提升算法的准确率是未来多方安全计算继续发展的必然方向。
增强系统的易用性
当下在使用一些多方安全计算框架时,需要强大的密码学团队作为技术支撑,这限制了多方安全计算的大规模应用。因此,现有可用的多方安全计算框架需要变得更加简单易用,让不懂密码学技术的人员也能轻松使用。
提升系统的安全性
现在一些多方安全计算框架只能支持半诚实安全模型,对恶意模型或共谋模型等无法提供防御。在现实使用场景中,恶意攻击以及共谋攻击是常见的攻击类型,只有提升现有框架的安全性才能更好地符合实际应用需求。另外,多方安全计算在理论角度保证了计算安全性,但在应用层面,输入既定计算逻辑输出计算结果,存在根据计算结果和己方数据推测其他参与方的数据方面的安全隐患,这也是未来系统需要解决的安全问题。
多技术融合趋势
在多方安全计算实际应用中,通常会融合其他隐私计算技术,以此来平衡隐私计算产品的精度、性能和安全。单一的技术路线无法完全应对复杂的计算场景及不同量级的计算规模,现在隐私计算行业较多地将多方安全计算与联邦学习、可信执行环境等技术相融合,形成综合应用方案或软硬件一体方案,来适配不同计算场景和应用要求。
尽管多方安全计算技术存在提升空间,但作为隐私保护的主流技术之一,多方安全计算已经在政务、金融和医疗等领域都有了可复制的标杆案例,总体的实用性和安全性经过了实践验证。未来,多方安全计算技术应用需要政策法规进一步引导和统一的标准规范,促进隐私计算行业健康有序发展。
参考文献:
[1] Rivest, Ronald L., Len Adleman, and Michael L.Dertouzos. "On data banks and privacy homomorphisms." Foundationsof secure computation 4.11 (1978): 169-180.
[2] Shamir, Adi. "How to share asecret." Communications of the ACM 22.11 (1979): 612-613.
[3] Rabin, Michael O. “How to Exchange Secrets withOblivious Transfer.” (1981).
[4] Yao, Andrew C. "Protocols for securecomputations." 23rd annual symposium on foundations of computerscience (sfcs 1982). IEEE, 1982.
[5] Yao, Andrew Chi-Chih. "How to generate andexchange secrets." 27th Annual Symposium on Foundations ofComputer Science (sfcs 1986). IEEE, 1986.
[6] Micali, Silvio, Oded Goldreich, and AviWigderson. "How to play any mental game." Proceedings of theNineteenth ACM Symp. on Theory of Computing, STOC. ACM, 1987.
[7] Chor, Benny, et al. "Private informationretrieval." Proceedings of IEEE 36th Annual Foundations ofComputer Science. IEEE, 1995.
[8] Paillier,Pascal. "Public-key cryptosystems based on composite degree residuosityclasses." International conference on the theory and applicationsof cryptographic techniques. Springer, Berlin, Heidelberg, 1999.
[9] Freedman, Michael J., Kobbi Nissim, and BennyPinkas. "Efficient private matching and set intersection." Internationalconference on the theory and applications of cryptographic techniques.Springer, Berlin, Heidelberg, 2004.
[10]Malkhi, Dahlia, et al."Fairplay-Secure Two-Party Computation System." USENIXSecurity Symposium. Vol. 4. 2004.
[11]Gentry, Craig. "Fully homomorphicencryption using ideal lattices." Proceedings of the forty-firstannual ACM symposium on Theory of computing. 2009.
[12]Bogetoft, Peter, et al. "Securemultiparty computation goes live." International Conference onFinancial Cryptography and Data Security. Springer, Berlin, Heidelberg,2009.
[13]Burkhart, Martin, et al. "SEPIA:Privacy-preserving aggregation of multi-domain network events andstatistics." Network 1.101101 (2010): 15-32.
[14]Doerner, Jack, David Evans, and AbhiShelat. "Secure stable matching at scale." Proceedings of the2016 ACM SIGSAC Conference on Computer and Communications Security. 2016.
[15] Bestavros, Azer, Andrei Lapets, and MayankVaria. "User-centric distributed solutions for privacy-preservinganalytics." Communications of the ACM 60.2 (2017): 37-39.
