量子計算帶來的威脅
安全多方計算和聯邦學習作爲隱私計算的兩條重要實現路徑,其協議的安全性主要取決於底層密碼算法的安全性。以廣泛應用的隱私集合求交(Private Set Intersection,PSI)和聯邦學習 XGBoost 算法爲例,當前的 PSI 協議採用基於 RSA 或 ECC 等公鑰密碼算法,或融合不經意傳輸(Oblivious Transfer,OT)及不經意僞隨機函數(Oblivious Pseudo-RandomFunction,OPRF),並輔以對稱密碼算法進行構造。
然而,RSA和ECC 等公鑰密碼算法無法滿足後量子安全性,已成爲後量子時代潛在的安全隱患。另一方面,對於 XGBoost 來說,目前業界大多利用半同態 Paillier 算法加密梯度(模型參數)來保證中間傳參的隱私性,而 Paillier 底層仍基於大整數分解困難問題,導致其無法抵禦未來量子計算機的攻擊。
此外,在可信硬件和密碼芯片中,除了諸如證書驗證、密鑰協商、數字簽名等協議因包括公鑰密碼算法而受到量子計算威脅外,傳統密碼硬件還提供硬件優化的加密算法指令集(優化以適配量子計算),如 AES 的 S 盒操作,大整數的模冪運算等。然而,此類硬件優化指令集並不能直接適用於後量子密碼,需要在硬件指令集上進行額外調整來適配新的操作,比如數論變換(NumberTheoretic Transform,NTT)及多變量的運算等。
總之,通過後量子密碼算法建立滿足後量子安全的隱私計算協議,並構建適合於後量子密碼的密碼芯片或可信硬件,對於保障未來量子計算時代隱私計算技術安全性與可靠性具有十分重要的意義。
後量子密碼遷移是保障量子計算時代密碼長效安全的有效方法之一,同時也適用於隱私計算技術。以隱私集合求交和 XGBoost 算法爲例,可以將普遍採用的公鑰密碼算法進行後量子密碼算法替換,以提升整個協議的抗量子攻擊能力。例如,可以將PSI的OT部分與聯邦XGBoost中的Paillier算法用基於格的全同態加密來替代。
當然,實現後量子安全的隱私計算並不僅是簡單的算子替換,還涉及整個協議在量子攻擊下的可證明安全性分析、相應算法與協議的後量子安全強度及資源消耗量化評估等問題,因而如前所述,後量子密碼研究與工程遷移將是一項複雜且持續性任務。
隱私計算作爲一項新興技術,一方面其本身的安全性對於數據要素市場化、國家數據安全的保障具有重要意義;另一方面,相比於其他的傳統信息系統,隱私計算系統本身剛起步,迭代空間較大,應用範圍也還在逐步擴大,後量子密碼遷移對其業務影響相對較小,成本較低(特挺高的吧),且從業者的認知程度較高,是較爲合適的後量子密碼遷移實踐場景。
當前隱私計算相當一部分算法可以由後量子密碼進行高效地實現,未來存在後量子隱私計算形成行業標準的可能。因此,開展後量子隱私計算的研究,對於我國後量子密碼領域的相關技術儲備、人才儲備與標準化都具有十分重要的示範意義。
後量子隱私計算髮展
後量子隱私計算是一類由經典計算機執行的隱私計算算法協議簇,可以抵禦來自具有量子計算能力的其他參與方或竊聽者的密碼分析攻擊;在量子計算的攻擊下,仍能保證參與方私有數據的安全性和隱私性。
構建後量子隱私計算的整體目標是設計並採用既能抵抗量子攻擊,又能支持多方協同計算的加密方案和計算協議,保障數據在傳輸過程以及計算過程中的後量子安全性,實現數據的最小暴露和最大利用。
有效構建後量子隱私計算能力,可遵循以下步驟:首先,使用高效、可靠、安全的後量子密碼及數據簽名算法,替代或結合現有的基於數論難題的傳統密碼算法,以確保數據在計算和傳輸過程中的安全;其次,使用適用於量子計算環境的隱私增強技術,如差分隱私、全同態加密、後量子安全多方計算、後量子聯邦學習等,以在量子計算環境下實現數據的“可用不可見”;最後,構建基於後量子密碼算法和隱私增強技術的後量子隱私計算框架和平臺,爲各類應用場景提供可信賴的數據服務。
隱私計算體系複雜,覆蓋面廣,其後量子遷移也需要從多個層面進行框架設計,框架包含硬件層、算子層、傳輸層、計算層和應用層。無需進行遷移的模塊用綠色表示,需要進行改造的模塊爲藍色。在硬件層面,研發高效的後量子密碼芯片、後量子安全的可信硬件;在算子層面,提供經典的對稱密碼算子、公鑰密碼算子和後量子密碼算
子;在傳輸層面,構建後量子的傳輸層安全協議(Transport Layer Security,TLS)來保證通信安全,能夠防範具有量子計算能力的竊聽者讀取通信數據;在計算層面,研發各種後量子隱私計算算法和協議,如隱私集合求交、隱匿查詢、安全電路運算、聯邦學習及零知識證明等;在應用層面,基於底層能力開發後量子安全的數據流通實際應用。
這五個層面的協同創新纔可確保後量子隱私計算的整體框架基本完整。當前,後量子算法研究、標準化及應用仍處於發展階段,仍需要政府主管部門的有效引導以及產學研各界共同努力,該後量子隱私計算框架也會隨着相關研究的進一步深入而做相應調整。
後量子隱私計算協議優化
利用後量子密碼能力構造後量子的數據安全計算方法,讓多個參與方在不暴露本身數據的前提下與其他參與方共同完成某個計算任務並得到計算結果。計算層的協議涉及到多個參與方之間頻繁的數據傳輸,其中數據大多以不可恢復的密文形式存在。
後量子安全的計算層的主要目標是提供隱私計算協議的後量子安全版本,在不影響協議功能性的情況下,額外保證其可以抵抗量子計算的攻擊。具體來說,計算層包括但不限於以下算法或協議。
同態加密
半同態加密(Partially Homomorphic Encryption,PHE)只支持乘法或加法中的一種的同態加密。如 Paillier、RSA、ElGamal 等。與 FHE 相比,PHE 的複雜性更低,執行速度更快,因此處理速度更快。半同態密碼系統標準化較爲成熟,如 Paillier 加密方案已廣泛集成到各類數據保護解決方案中。
全同態加密(Fully Homomorphic Encryption,FHE)是一種允許在密文上直接進行任意次數的加法和乘法運算的加密技術。全同態加密算法的核心思想是將明文空間和密文空間之間的運算映射爲同態的關係,即在明文空間中相同的運算,在密文空間中也有對應的運算,且解密後計算結果相同(或近似)。FHE 可以在不泄露任何關於明文或密鑰的信息的前提下保證計算結果的正確性。
FHE的主要挑戰是效率問題,爲支持無限次數的運算,目前已知的全同態加密方案都需要很高的計算複雜度和存儲空間,還存在着噪音增長和密鑰管理等問題。但如果只在密文上進行有限次數的運算,現有的(Leveled)FHE 可以提供較好的計算效能,因此 FHE 可以被用於構造一些特定的安全計算協議。
此外,FHE 的安全性基於 LWE 或 RLWE 困難問題,參數的選取需謹慎。一般來講,特定參數的 FHE 方案所提供的安全性要比 NIST 標準提供的基於 LWE 的算法要強。因此,FHE 是一個構造後量子安全計算協議的優質工具。
不經意傳輸
不經意傳輸(Oblivious Transfer,OT)是一種基礎密碼學原語,它允許發送方向接收方傳輸一些信息,接收方獲取其中一部分信息而無法得到任何其他信息。OT有多種變體,例如 2 選 1-OT、n 選 1-OT、相關 OT、隨機 OT、OT 拓展等。向量不經意線性關係(Vector Oblivious Linear Equation,VOLE)允許兩個參與方在不泄露任何私密輸入的情況下得到一對具有線性關係的向量。
OT 和 VOLE 可以用於實現多種安全的多方計算協議,如隱私求交 PSI 或通用安全多方計算。後量子 OT 和 VOLE 都可以基於後量子安全假設如LWE 或偏差學習問題(Learning Parity with Noise,LPN)來構造。通過實現後量子 OT 和VOLE 原語,可以爲其他後量子安全計算算法提供基礎算子。
通用MPC協議
安全多方計算 MPC 協議是一種允許多個參與者在不 泄露各自私密數據的情況下,共同計算一個函數結果的技術。安全多方計算的目標是保證參與者的數據隱私和計算正確性,既使有部分參與者是惡意的。
MPC 可以分爲通用的 MPC 協議或特定功能的 MPC 協議,通用的 MPC 協議是解決通用的計算問題,可以通過祕密分享、混淆電路等方式構造算數電路或布爾電路來構造。特定功能的 MPC 協議則包括隱私求交、隱匿查詢或零知識證明等特定算法。對於通用的 MPC 協議,一般來說基於祕密分享的構造在加法和乘法運算上是信息論安全的,多方之間可以通過操作本地數據完成加法或使用乘法三元組來計算祕密分片上面的乘法。
然而生成乘法三元組的過程或計算特定的非多項式運算比如比大小、激活函數、除法等運算需要使用 OT 或者 Paillier 算法,可能不滿足後量子安全性,因此,後量子的通用 MPC 需要針對這方面進行改造。
另一方面,混淆電路(GarbledCircuit,GC)的基本思想是將原始的布爾電路轉換爲一個加密的電路,每個參與者只能看到自己的輸入對應的加密值,而不能推斷出其他參與者的輸入。通過使用 OT 交換加密值和解密表,參與者可以逐層計算出電路的輸出,而不暴露中間結果。對於混淆電路的後量子改造也主要涉及對於 OT 的替換。
隱私集合求交和隱私信息檢索
隱私集合求交 PSI 和隱匿查詢(Private Information Retrieval, PIR)是兩類典型的特定 MPC 算法。其中,PSI 可以讓兩個或多個參與者安全地計算他們的私有數據集的交集,而不泄露任何額外的信息;PIR 是一種允許用戶從數據庫中檢索數據,而不泄露他們檢索的內容的技術,PIR 的主要動機是保護用戶的隱私,防止數據庫所有者或其他觀察者推斷出用戶的興趣或偏好。
PIR 有兩種基本類型:信息論 PIR 和計算 PIR。信息論 PIR 可以在不信任數據庫所有者的情況下實現完美的隱私,但需要多個不相互通信的數據庫副本。計算 PIR 只需要一個數據庫,但依賴於計算困難性假設,如 RSA 或學習有錯誤的假設。
PSI 和 PIR 的實現方式有很多,像前文提到的基於 RSA、ECC 或者基於 OT、VOLE的等等。目前行業內應用較多的方案基本都包括公鑰密碼部分,爲滿足後量子安全性,需要針對這些公鑰模塊進行 PQC 改造。
聯邦學習
聯邦學習 FL 是一種機器學習方法,允許多個參與者在保持訓練數據隱私的同時,協同訓練一個模型。FL 的基本思想是每個參與者使用自己的本地數據對模型進行更新,隨後將更新的模型參數發送給中心服務器或某個計算方。服務器對所有參與者的模型參數進行聚合,得到一個全局的模型,並將其分發給所有參與者。每個參與者都可以從其他參與者的數據中學習,而不需要直接共享原始數據。FL 中的數據交互過程需要用(半)同態加密或者祕密分享來加密梯度以保護其隱私性,因此安全性同樣容易受到量子計算攻擊影響,需要仔細的評估 FL 中量子脆弱的部分,並進行後量子算法協議的改造。
零知識證明
零知識證明(Zero Knowledge Proof,ZK/ZKP)是一類密碼學計算協議,其主要特徵在於:遵循該協議的證明者可以向驗證者證明某個陳述是真實的,而不需要透露任何其他信息。
ZKP例子:我有密碼,我能證明我能開門,但你看不到密碼。
零知識證明的優點是可以保護證明者的隱私,同時也可以防止證明者僞造錯誤的證明。零知識證明應用領域廣泛,例如身份認證、數字簽名、資產證明等。在隱私計算中,ZKP 常用於將半誠實的安全計算協議擴展爲惡意模型安全的協議。現有的 ZKP 體系大多數基於橢圓曲線密碼體系,如何設計量子安全的通用 ZKP 或採用 ZKP 增強 MPC 的安全性仍是一項開放性課題。