解决“百万富翁问题”—隐私比较高效算法解读

隐私比较是指在不暴露双方具体数值的前提下，获取双方数值的大小关系。最早起源于姚期智的百万富翁问题：有两个百万富翁想要比较下谁更富有，但是又不想透露自己有多少钱，如何在没有可信第三方的情况下进行比较？这个问题是由中国第一个也是目前为止唯一一个图灵奖获得者姚期智在 1980 年代提出的，他是中国计算机学术和教育的第一人，为现代密码学打开了一道新的大门。在之前的文章《优雅的求职——隐私比较算法实例》中已经通过求职案例介绍了隐私比较的应用场景以及如何实现，本文则主要介绍一种在当前效率比较高的隐私比较协议。

该协议是[1] CrypTFlow2: Practical 2-Party SecureInference 中提出的一个子协议，并基于此协议实现 DRelu 激活函数应用于神经网络中。

--相关技术--

该协议主要使用了布尔秘密分享和不经意传输两种技术进行构建：

▲ 不经意传输

不经意传输(OT，Oblivious Transfer)是指数据发送方有 n 个数据，数据接收方接收其中的一个数据，且数据接收方不能获取其他的数据，数据发送方也不知道接收方选择接收的数据具体是哪一个。在之前的文章《基于安全多方计算(MPC)的隐私计算技术(一)》中已介绍过一种实现方案，故本文不再赘述。

▲ 布尔秘密分享

在安全多方计算中会使用秘密分享将数据进行拆分后分享出去，每一方拿到每个数据的相应碎片，对于原始数据的计算逻辑都会转为对碎片的计算，在整个计算逻辑完成后，再将碎片的计算结果进行汇聚还原以获取原始数据的计算结果。

布尔秘密分享是指将一个布尔值 b 拆分成两个碎片 b0、b1，将两个碎片汇聚到一起即可还原出原始数据 b。

碎片生成：随机生成一个布尔值 b0，并和 b 执行异或计算出 b1=b0⊕b

碎片还原：对两个碎片执行异或操作   b=b0⊕b1

异或运算：布尔秘密分享在异或操作上是满足同态性质的，在本地通过对碎片进行异或操作再还原就等价于对原始数据的异或操作 

a=a0⊕a1，b=b0⊕b1

      a⊕b=(a0⊕b0)⊕(a1⊕b1)

与运算：布尔秘密分享对于与操作不满足同态性质，使用不经意传输技术以实现安全的与操作：

Alice 持有碎片 a0 和 b0，Bob 持有碎片 a1 和 b1，通过与运算使得 Alice 获取 c0，Bob 获取 c1，c0⊕c1=(a0⊕a1)∧(b0⊕b1)，并保证双方碎片的安全；

Alice 作为不经意传输的发送方，随机生成一个布尔值 r 作为 c0，并按下图生成不经意传输的输入：

Bob 作为不经意传输的接收方将自己的碎片 a1，b1 拼接成 a1||b1 作为不经意传输的选择项获取数据 r⊕((a0⊕a1)∧(b0⊕b1))作为 c1；

本质是将与运算的所有可能性罗列出来，加入随机项后由另一方根据自己的数据选择混淆后的计算结果。

--实现思路--

▲ 明文比较

首先不考虑比较运算的隐私性，平常情况下两个数是如何比较大小的：

将两个数对齐为相同长度的数字数组，长度不够的则在前面补 0

a=123，b=5879，a=>[0,1,2,3]，b=>[5,8,7,9]

对两个数组里面的数字进行顺序比较，如果对应位的数字相等，则继续比较下一位，直到有一位不相等，最早不相等那位的比较结果即为两个数据的比较结果，若所有位的数字都相等，则两个数据相等。整个过程可归纳为以下公式：

X，Y 都是长度为 n 的数据，1{X<Y }，1{X=Y }是求值表达式，满足大括号内条件时为 1 否则为 0

X=x0||x1||x2||...||x(n-1)，Y=y0||y1||y2||...||y(n-1)，xi，yi 表示拆分后的第 i 位数据

Xi=xi||...||x(n-1)，Yi=yi||...||y(n-1)，用于表示去除前 i-1 位后的数据

1{X<Y } = 1{x0 <x0 } ⊕ (1{x0 = y0 } ∧ 1{X1< Y1 })

1{X1<Y1 } = 1{x1<x1 } ⊕ (1{x1= y1 } ∧ 1{X2 < Y2})

1{X(n-1)<Y(n-1) } = 1{x(n-1) <y(n-1)}

▲ 不安全的隐私比较

如果要将上述比较方案转为隐私比较，最容易想到的方案是将两个最小比较单位的数的比较隐私化，在之前的文章《优雅的求职——隐私比较算法实例》中已经介绍过：对于两个最小比较单位的比较可通过不经意传输协议来完成。这样确实是保证了单个最小比较单位的安全性，但是对于某些情况，会暴露出数据的一些情况：

a=1230 b=1231，对于这两个数字的比较，如果 b 作为 ot 的接受方也就是最小比较单元数据比较结果的获取方，按照上述方案进行比较，会有两点额外信息被泄露：

1）在前几位相同的情况下：b 会知道 a 的前三位是 123；

2）两个最小单元的数据是最小单元范围的两端数据：b 会知道 a 的最后一位是 0；

而根据以上两个信息 b 甚至可以直接反推出 a 的数据，在这种情况隐私比较也就不隐私了。

▲ 消除不安全本论文中的隐私比较协议，整个比较思路和上面不安全的隐私比较是一致的，但是该协议引入了秘密分享技术，在通过不经意传输协议获取比较结果时发送方对每个数据都混淆上一个随机项，这样双方都不会获取到最小比较单元数据的比较结果，而是比较结果的碎片，并使用碎片按照明文比较的流程递归的进行比较，所有最小比较单元都比较完成后，再将比较结果的碎片进行还原以获取整个数据的比较结果。由于最小单元的比较结果都是碎片，到比较结束才会还原递归计算的结果，就避免了获取最小比较单元比较结果导致的信息泄露。

--协议流程--Alice 拥有数据 x，Bob 拥有数据 y，数据的二进制长度为 l，最小比较单元的二进制长度为 m，划分的最小比较单元个数为 q=l/m，最小比较单元的十进制最大值为 M=2^m-1

1）双方分别划分数据：x=x0||...||x(q-1)，y=y0||...||y(q-1)

2）对于所有的最小比较单元 xi(0<=i<q)，通过不经意传输获取每个最小比较单元比较结果的碎片

Alice 作为不经意传输的发送方准备数据：随机生成布尔值<lt_i>_0，<eq_i>_0，分别作为 xi 是否小于和等于 yi 的布尔分享碎片，对于 0<=j<=M，分别设置两个不经意传输实例的输入为：

sij=<lt_i>_0 ⊕ 1{xi<j}

tij=<eq_i>_0 ⊕ 1{xi=j}

Bob 将 yi 作为输入分别执行两个不经意传输实例，获取两个比较结果的碎片：

 <lt-i>1 和<eq-i>1

例如当 m 取 2 时，Alice 的第一个最小比较单元 x0=2，Bob 的第一个最小比较单元 y0=1，Alice 随机生成<lt_0>_0，<eq_0>_0，并按下表生成两个不经意传输的输入：

Bob 使用 y0 作为两个不经意传输的选择项，获取：

<lt_0>_1=0⊕<lt_0>_0，<eq_0>_1=0⊕<eq_0>_0

3）所有最小比较单元比较完成后，双方都获取了对应的最小比较单元间是否小于和是否等于的布尔分享碎片，即可按照明文比较流程，使用碎片递推计算出最终比较结果的碎片。

对于碎片的异或操作，只需要进行本地对碎片进行异或就行。对于碎片的与操作，则需要按照上面介绍的方案通过不经意传输计算出结果的碎片。

在递推过程中主要有两个地方需要执行与操作：

当前面所有比较单元相等，需要比较下一个时：

1{x0||x1 = y0||y1 } ∧ 1{x2 < y2 }

计算前面所有比较单元是否都相等时：

1{x0||x1 = y0||y1} = 1{x0 = y0 } ∧ 1{x1 = y1 }

--总结--

该协议整体思路和明文的比较流程一致，并使用不经意传输和秘密分享技术保证数据的隐私性，也是当前效率比较高的协议。

对于单个元素的比较，与运算的 OT 实例，无法通过 OT 扩展进行优化，因为需要进行递归的计算，前后有依赖关系。对于批量元素的比较则可在纵向对于相同位置与运算的 OT 实例通过 OT 扩展来优化效率。

作者简介

刘敬 趣链科技数据网格实验室 BitXMesh 团队

参考文献

原论文：Rathee D, Rathee M, Kumar N, et al. CrypTFlow2: Practical 2-party secure inference[C]//Proceedings of the 2020 ACM SIGSAC Conference on Computer and Communications Security. 2020: 325-342.