安全多方计算的实践应用面面观
安全多方计算虽然在理论上能够直接使用通用框架解决任何计算问题,但是直接将任意计算转化为电路级别的安全计算,存在使用效率低下的问题,无法满足实际应用的需求。因此,在过去的几十年间,研究人员在把安全多方计算推向实际应用的方面做了大量的工作。总的来说,目前在某些特定计算或者应用中,安全多方计算的性能已经足以满足实际应用的需求。比如,研究人员设计的安全多方计算协议能让10个数据所有者在局域网环境中,在每方拥有400万个数据点的情况下,5秒之内完成线性回归计算;能让4个数据所有者基于 MNIST数据集(表示为1000行和784列的矩阵),在广域网环境下,5天内训练出一个逻辑回归(logistic regressior)模型。
面向混淆电路的优化与实践在过去的几十年间,研究人员做了大量工作来优化混淆电路协议,将混淆电路协议推向实用化。很多混淆电路的优化技术相继被提出,比如消除异或门计算的 free XOR技术和将加密真值表密文个数由4个减少到2个或3个的 row reduction技术。基于这些优化技术,研究人员同时开发出了一些初步的支持混淆电路安全多方计算的高级软件框架,例如基于Java语言编写的OlivA和基于C语言编写的 Obliv-C。基于这些软件框架实现的混淆电路,安全多方计算在一些应用中已经取得相当不错的性能。例如 ObliG能让两方在507毫秒内求解维度为160的两个向量之间的汉明距离(Hamming distance),在6.29毫秒内完成两个64位整数的乘法,在20.77秒内做Count Min Sketch计算。此外,还有学者考虑基于硬件描述语言来设计实现高压缩的混淆电路构建方案,直接从底层硬件的角度出发构建混淆电路,极大地缩小混淆电路的规模,得到高压缩的混淆电路这样能够极大地降低采用混淆电路的安全多方计算协议的通信开销以及整体的运行时间。例如研究人员发现基于硬件描述语言来构建混淆电路,可以将1024位的整数乘法所需要的电路门数减少67%。
基于混合技术的协议设计与实践基于混淆电路的安全多方计算在逻辑计算(例如比较大小)方面比较有优势,而基于秘密共享的安全多方计算在算术计算(加法和乘法)方面比较有优势。基于这一观察,近年来研究人员提出融合混淆电路和秘密共享技术的混合安全多方计算协议设计。基本思想是对一个函数计算进行计算拆分,加法和乘法的运算用基于秘密共享的技术安全实现,其他的计算则用混淆电路安全实现,同时设计秘密共享和混淆电路之间输入/输出的兼容性格式转化方法,使混淆电路和秘密共享技术的优势都能得到充分利用设计出高效的混合安全多方计算协议。有学者基于秘密共享和混淆电路技术设计了混合的面向神经网络的安全多方计算协议 Minions,能够在0.2秒内完成有两个隐含层(每层128个神经元)的神经网络的计算。此外,由于加法同态加密(additively homomorphic encryption)技术也能高效地支持加法和乘法,所以也有学者将加法同态加密技术和混淆电路技术进行结合,来设计高效的混合安全多方计算协议。例如,2018年有学者实现了个基于朴素贝叶斯分类器的垃圾邮件过滤器,能在300微秒内完成一个邮件的分类过滤。
面向非线性函数计算的优化与实践在一些应用中经常会遇到含有一些非线性函数的计算,比如对数函数、指数函数等。这些非线性函数的安全算目前未能得到高效的解决,仍然是一个挑战近年来,有学者提出采用近似拟合的数学思想,通过分段的低阶多项式逼近的数学技术对非线性函数进行有效的近似拟合。这样一来,非线性函数的安全计算问题就能有效地转化为低阶多项式的安全计算问题。由于低阶多项式的安全计算由高效的加法和乘法运算便可实现,我们能高效地实现非线性函数的安全计算。比如2018年,有学者用14段的阶多项式或者6段的二阶多项式2对Tanh函数进行近似拟合,以实现面向神经网络的安全多方计算。
基于云服务器辅助的大规模安全多方计算安全多方计算需要参与方之间彼此进行交互,因此可扩展性是安全多方计算面临的一大挑战。在有大量用户参与的应用中,比如群智感知、推荐系统、机器学习模型训练等,参与方的数量可能成百上千,甚至是上万。在这些大规模计算场景中直接进行安全多方计算是不现实的。为此,近年来有研究人员提出基于云服务器辅助的外包安全多方计算思想,将大规模的安全多方计算问题转化为多个云服务器之间的安全多方计算问题。在这些工作的系统框架中,通常假设存在两个云服务器,用户将加密的数据(基于同态加密技术或者秘密共享技术加密)发给云服务器,然后两个云服务器之间运行一个安全协议获得输出。比如2017年,有学者基于此框架设计实现了一个隐私保护的线性回归模型训练系统,能在233秒内完成基于百万用户数据的模型训练。2018年,有学者设计实现了面向群智感知的隐私保护的真值发现系统能在36秒内从200多个用户对100多个实体的不可靠的感知数据中挖掘出真实数据。
展望历经几十年的发展,安全多方计算在实用化方面已经取得了令人鼓舞的进展,在某些应用场景中甚至已经能够达到满足实际需求的性能。伴随着云计算、人工智能、物联网等多种技术的快速发展和人们隐私保护意识的日渐增强,安全多方计算在未来将会有更为广阔的用武之地。目前安全多方计算在半诚实的敌手模型下可以取得良好的性能。但在恶意敌手模型下为达到安全性,安全多方计算需要付出很大的性能代价。因此,恶意敌手模型下的效率问题是安全多方计算面临的一个重大挑战。今年有学者提出公开可验证(public verifiable covert)模型下的安全多方计算5,其主要思想是:每个参与方的所有行为都自动带有类似签名的机制以供其他参与方存证,如果系统中有某个作恶者,那么其他参与方可以以一定的概率检测到这恶意行为,并将这个行为以及签名公开,使作恶者遭受名誉上的损失。由于名誉的重要性,只要把这概率设置在50%左右,就足以让理性者不考虑作恶。公开可验证模型下的安全多方计算能获得接近半诚实行为模型下的性能(比如,能够在25秒左右求解两个百万维向量的汉明距离),又因为能对恶意行为形成威慑力而具有比半诚实模型强得多的安全性,所以具有很高的应用价值,是未来安全多方计算的一个重要研究方向。
此外,安全多方计算另一个重要的方向是进步研究实现对开发者友好(developer-friendly)的安全多方计算编程框架,使没有密码学背景的软件开发人员也可能进行安全多方计算协议的开发。目前虽然已经有一些初步的面向安全多方计算的高级编程框架,但在可用性以及开发者友好性等方面还有很大的提升空间。这需要产业界和学术界加强合作,共同实现。