學習&轉載文章:技術創新〡VOLE+OKVS的PSI技術落地應用
神譜科技基於VOLE+OKVS設計了兩方PSI和多方PSI協議,並已應用於Seceum系列隱私計算產品中。
Seceum並無開源。
多方PSI
隱私集合求交(Private Set Intersection, PSI)允許一組互不信任的私有集擁有方共同計算私有集的交集,各私有集擁有方除獲得交集外得不到任何額外信息。目前PSI的研究在保證集合隱私性和協議正確性上取得了巨大的成功,但將PSI協議部署在實際應用場景中仍存在大量有待優化的地方。我們不僅需要實現PSI的理想功能,還需要考慮PSI協議的高效性和實用性。
圖1:隱私集合求交協議四要素
兩方PSI協議通過對安全框架(公鑰、不經意傳輸擴展(OTE)、僞隨機相關生成器(PRF))和數據打包技術(多項式(PE)、PaXoS、OKVS)的更新使得協議的性能得到了突破性提升。最高效的PSI協議在\(2^{20}\)規模的數據集下運行時間僅需0.37s,通信開銷僅爲集合大小的187倍。兩方PSI協議已部署於一些實際應用場景,例如隱私聯繫人查找、在線廣告效益等。然而在實際應用場景中各隱私保護應用程序更希望多參與方,有些廠商通過參與方兩兩調用兩方PSI協議計算多方交集,雖然合規且高效但違背了隱私集合求交的第二要素“隱私性”。
多方PSI的隱私性要求各個參與方僅能獲得參與方共同的交集結果,而不能獲得其它任何額外的隱私信息。顯然,兩兩求交的方式暴露了更多的額外信息從而破壞了多方PSI的隱私性。神譜科技首先調研了現有的多方PSI協議發現,早期的多方PSI協議由於通信輪數多、通信負載高、參與方合謀、網絡結構複雜等問題導致多方PSI協議難以實際部署應用。最近學者們提出通過指定中心方(leader方)的星型網絡結構使得通信輪數僅爲常數輪,通信負載和計算開銷僅和最大集合大小呈線性關係,實現了針對百萬數據集高效且實用的的多方PSI協議。
圖2:隱私集合求交示範圖
問題
- 指定方(leader方)往往是具有高存儲和計算性能的服務器,其他方是通信和計算能力受限的終端設備,而現有高效的多方PSI協議要求每一個終端設備執行與服務器集合大小呈線性的繁重的密集計算和通信開銷。(即要求每一方都能進行密集計算和高存儲)
- 現有多方PSI協議要求參與方的集合大小相似不能很好的轉化爲參與方的集合大小相差懸殊的情況。(即只有交集大的時候求交效率更高!)
- 多方PSI協議允許參與方共同計算交集,最終在計算結束時一方獲得交集或多方獲得交集,除了交集外什麼也得不到。但以上多方PSI協議僅中心方獲得交集結果,無法實現多方獲得交集結果,即無法實現一個公平的多方PSI協議(公平PSI協議:如果一方得到交集,那麼其他參與方也應該得到交集)(即leader方獲取交集後,再告知其他方)
- 以上多方PSI協議的通信輪數較高,意味着實際部署應用時因網絡帶寬條件限制而面臨極大的挑戰,甚至無法真正部署應用。
方法
針對以上問題,通過對現有技術的深入調研和公開代碼的實驗性對比,最終選擇僞隨機生成器(PCG\VOLE)作爲加密原語,矩陣-不經意鍵值對存儲(OKVS)作爲數據打包技術,並對上述VOLE的代碼進行了深度優化,首次實現極其高效的OKVS代碼。通過剖析VOLE的特性結合OKVS,設計了兩種高效的多方PSI協議以解決上述發現的問題,即簡潔性多方PSI(Laconic MP-PSI)和公平性多方PSI(Fairness MP-PSI)。
Laconic MP-PSI:(指定方獲得交集)和多個小輸入集的參與方執行多方PSI協議,指定方除得到多方交集結果外無法獲得任何額外信息,參與方無法獲取任何額外信息。同時,指定方和參與方的交互輪數僅兩輪通信,參與方的通信和計算開銷僅與自己的輸入集合大小相關而非與指定方的輸入集合大小相關。神譜科技構建了第一個簡潔性多方PSI協議(Laconic MP-PSI),是第一個實現僅需要兩輪通信的多方PSI協議,且總的通信開銷和計算量僅和客戶端的集合大小有關而與服務器的集合大小無關。實驗對比Laconic MP-PSI協議無論在通信輪數、通信開銷還是運行時間上都優於現有公開的多方PSI協議。
Fairness MP-PSI:(多個參與方獲得交集)結果而非僅指定方獲得交集結果。其更符合真實的應用場景,並且和最先進的MP-PSI協議具有同等通信輪數、通信量以及計算開銷。
主要工作:
1、設計一種新的密碼學組件:密鑰同態PPRF,該組件滿足\(F_{k_1+k_2}(x)=F_{k_1}(x)+F_{k_2}(x)\),並證明其安全性。
真會起名~
2、提出了第一個Laconic MP-PSI協議,只需要兩輪通信。總的通信開銷和工作只和客戶端的集合大小有關而和服務器的集合大小無關。Laconic PSI在工業界更具歡迎,具有百萬數據集的服務器和多個資源受限的小集合的客戶端學習它們的交集,不可能進行多輪交互,通信複雜度也不與大集合的大小相關。每一方僅需LPN擴展計算一次即可。
LPN問題?
3、提出了第一個Fairness MP-PSI協議,所有客戶端均可獲得交集結果,保持和最先進的MP-PSI協議同等通信和計算開銷實現公平的求交協議。每一方僅需LPN擴展計算一次即可。
4、基於C++實現了MP-PSI協議,並給出了與現有MP-PSI協議的通信和運行時間比較。SeceumFL v3.0是業界第一個將基於VOLE+OKVS的多方PSI協議應用在產品中的聯邦學習系統。
以上改進沒找到對應論文~
參考論文
1、VOLE-PSI: Fast OPRF and Circuit-PSI from Vector-OLE-2021
2、Efficient Linear Multiparty PSI and Extensions to Circuit/Quorum PSI-2021
3、Efficient Scalable Multi-Party Private Set Intersection Using Oblivious PRF-2021
4、Efficient Scalable Multiparty Private Set-Intersection via Garbled Bloom Filters-2018
5、Practical Multi-party Private Set Intersection from Symmetric-Key Techniques-2017
6、PSImple: Practical Multiparty Maliciously-Secure Private Set Intersection-2021
7、Scalable Multi-Party Private Set-Intersection-2017
8、Simple, Fast Malicious Multiparty Private Set Intersection-2021
9、PSI from PaXoS: Fast, Malicious Private Set Intersection-2020