【密码学百科】安全多方计算:从 Yao 的混淆电路到实用 MPC
内容提要
安全多方计算(MPC)旨在解决互不信任方在不泄露私密数据的情况下进行联合计算的问题。自1982年姚期智提出“百万富翁问题”以来,MPC理论与实践不断发展。文章讨论了MPC的基本定义、经典协议(如GMW、BGW、SPDZ)及其在隐私保护计算和数字资产托管中的应用。MPC的安全性基于理想世界与现实世界的不可区分性,涉及半诚实和恶意模型等多种安全模型。
关键要点
-
安全多方计算(MPC)旨在解决互不信任方在不泄露私密数据的情况下进行联合计算的问题。
-
MPC的安全性基于理想世界与现实世界的不可区分性,涉及半诚实和恶意模型等多种安全模型。
-
MPC的基本定义包括私有输入、秘密共享、本地计算、交互协议和输出结果。
-
理想世界中存在一个可信的第三方,而现实世界中参与方通过密码学协议直接交互。
-
半诚实模型假设敌手忠实执行协议但试图推导他人输入,恶意模型则允许敌手任意偏离协议。
-
不经意传输(OT)是MPC协议的基本构建模块,1-out-of-2 OT是最常用的变体。
-
Yao的混淆电路是第一个通用的两方安全计算协议,其核心思想是将待计算的函数表示为布尔电路并进行加密处理。
-
GMW协议基于秘密共享,提供了另一条技术路线,适用于多方安全计算。
-
BGW协议实现了信息论安全的MPC,无需任何密码学假设,依赖诚实多数假设。
-
SPDZ协议采用预处理模型,将协议分为离线阶段和在线阶段,核心创新是认证份额机制。
-
隐私集合求交(PSI)和隐私保护机器学习(PPML)是MPC的成功应用场景。
-
MPC的效率受通信复杂度和交互轮数的制约,实际部署中通信往往是瓶颈。
-
MPC在实际应用中面临效率瓶颈、可组合安全性和部署工程挑战等问题。
延伸问答
安全多方计算(MPC)是什么?
安全多方计算(MPC)是一种技术,旨在让互不信任的参与方在不泄露私密数据的情况下进行联合计算。
姚期智在MPC领域的贡献是什么?
姚期智在1982年提出了“百万富翁问题”,这是MPC的起源,推动了该领域的理论与实践发展。
MPC的安全性是如何定义的?
MPC的安全性基于理想世界与现实世界的不可区分性,确保敌手在现实世界中获取的信息不超过理想世界中的信息。
MPC中有哪些经典协议?
MPC中的经典协议包括Yao的混淆电路、GMW协议、BGW协议和SPDZ协议。
MPC在隐私保护计算中的应用有哪些?
MPC在隐私保护计算中的应用包括隐私集合求交(PSI)和隐私保护机器学习(PPML)。
MPC的效率瓶颈主要是什么?
MPC的效率瓶颈主要受通信复杂度和交互轮数的制约,通信往往是实际部署中的瓶颈。
