MPC:深度：隱私保護計算技術指南

本文來源：格密鏈，作者：致遠博士

近年來，保護隱私的計算技術應運而生。某些類型的隱私保護計算技術允許對數據進行計算，同時使數據保持加密，或對執行計算的人員以及可能試圖竊取該信息的對手不透明。

由于數據可以在計算過程中保持加密狀態，因此該數據可以在分析環境中“端對端”保持加密狀態，因此數據不會被盜用或濫用。

但是，由于接收端會對密文計算后的結果解密，從而獲得所需要的數據分析結果。所以必須能夠防止從解密結果中獲得有用的信息，保護此類數據才有效。

目前出現的一些新型隱私保護計算技術解決了這一問題，從而避免了對計算結果數據中的輸入數據進行反向工程的工作。

不幸的是，保護隱私的計算是有代價的：這些技術的當前版本在計算上昂貴，依賴于專門的計算機硬件，難以直接編程和配置或上述某種組合。

本系列文章描述了對敏感數據進行統計分析的隱私保護方法的動機；提出了適用此類方法的用例示例；并介紹了相關技術功能，以確保隱私保護，同時仍允許分析敏感數據。我們的重點是在數據處理過程中保護數據隱私的方法。

機密數據的架構設置為了說明在統計數據中使用隱私保護計算的方法，我們首先介紹兩個使用機密數據的架構設置。這些是受世界各國國家統計局使用隱私保護計算技術的啟發。對于這兩種設置，我們都討論了涉眾，數據流，隱私目標以及帶有其隱私目標的示例用例。

示例設置1：允許NSO訪問新的大數據源

圖1說明了單個NSO希望訪問敏感數據的設置。如圖中左圖所示，組織可以將這些數據作為直接調查的結果或通過從可用資源中收集數據來間接地提供給NSO。

有關個人的數據可以通過電話，信用卡或支付公司等中介收集并提供給NSO。個人數據也可能來自政府來源，例如收入調查或人口普查報告。此外，收集和交易此類信息的數據聚合商也可能向NSO提供數據。我們稱此類為數據提供輸入方的個人和組織為隱私保護計算。

圖1：單個統計局的保護隱私的統計工作流

接收此類數據的NSO和其他組織根據從輸入方獲得的收集數據進行計算，因此被稱為“計算方”。

這種計算將收集到的數據轉換為信息，即具有特定上下文和結構的數據組合，這些組合使數據變得有用。例如，這種計算的結果通常是統計報告，政府或非政府組織可以使用這些報告來做出有關稀缺資源分配的決策。

NSO計算產生的信息然后安全地分發給個人或組織，將其與他們現有的知識相結合，以發現可確定優先級和可操作性的模式。我們稱這些接收者為“結果當事人”。

在整個簡單的數據和信息流模型中，存在大量的隱私風險。

我們首先假設數據在輸入方手中時是安全的，也就是說，我們假設這些方擁有自己的網絡安全解決方案來保護其域內的數據。

因此，當數據在輸入方和計算方之間傳輸時，會出現這種情況下的第一個隱私風險。TLS等現有技術通常用于減輕途中隱私風險。

當數據在計算方的范圍內靜止時，會發生第二個隱私風險。使用采用諸如``高級加密標準''之類的標準的技術進行加密通常可以緩解靜態隱私風險。

當使用數據進行計算以產生信息時，會發生這種情況下的第三種隱私風險。在當前的實踐中，數據在使用之前被解密。但是，這種解密使數據變得清晰起來，可能會被竊取或濫用。

除了上述風險外，在計算所得的信息與計算方一起駐留時，還有閑置的隱私風險，而在將信息分發給結果方時，還有在途隱私風險。這些風險的緩解方式與上述其他靜息和運輸途中的風險相同。

當結果方從計算方收到信息時，隱私風險將繼續存在，因為此類信息可能仍然很敏感，并且在某些情況下可用于推斷輸入數據的值。諸如“差分隱私”之類的其他技術可能會減輕部分或全部風險。

用例示例：銷售點交易數據。NSO尋求直接從多個站點的多個零售商那里收集產品價格數據，以計算計量經濟統計數據。零售商希望防止其定價數據被大量泄露，因為如果競爭者獲取這些信息可能會對其造成損害。

用例示例：移動電話數據。NSO從電信運營商那里收集手機位置數據，以用于生成旅游統計數據。除了必須始終保護一個人所在位置的高度敏感的數據外，電信運營商還應對數據的保護負責。

鏈上ChainUP WaaS聯盟與CHAINCORES鏈芯科技達成深度戰略合作:據官方消息，鏈上ChainUP WaaS聯盟宣布與CHAINCORES鏈芯科技達成深度戰略合作，雙方就區塊鏈技術應用落地、區塊鏈金融服務、資金安全等方面深度合作。

CHAINCORES鏈芯科技成立于2017年，總部位于新加坡，是一家區塊鏈前沿產品研發公司，致力于推動互聯網應用在區塊鏈生態上轉型的開源技術服務平臺，由AKA Capital聯合AI Fund、支點資本、FIRESWIRL GROUP、DYNA GROUP等百家機構戰略投資千萬美元，目前鏈芯科技打造了IPFS區塊鏈錢包品牌SFT銀狐科技、MCNS中云數科，VRF算法公鏈GCS、加密社交聊天NCC、區塊鏈社交電商LINWU、數字資產交易所BWNex等多個獨立品牌。

WaaS聯盟作為企業專享的數字資產托管及金融服務平臺，是鏈上ChainUP集團依托3年時間所服務的600多家企業客戶技術服務經驗，提供主鏈資產托管、節點服務、主鏈定制開發、熱門幣種一鍵接入、共管錢包、借貸理財等多種功能服務，聯盟內部企業轉賬 0手續費、實時轉帳，同時企業通過WaaS聯盟提供的借貸、理財等多種金融服務可有效提升資金使用效率與沉淀資金價值。目前已有超過500家企業加入鏈上ChainUP WaaS聯盟。[2021/1/8 16:42:58]

示例設置2：在多個NSO之間啟用大數據協作

圖2說明了在聯合國協調下多個NSO合作的環境。可以說，這種情況是上述情況的延伸。但是，不同之處在于提供原始數據的個人和組織不再是輸入方。相反，我們稱它們為“數據主題”，因為在此設置中感興趣的數據描述了它們。

在收集了上述設置中的數據并在本地進行統計分析之后，來自各個國家的NSO在此設置中充當輸入方，以在聯合國全球平臺上彼此共享其結果和方法。因此，在這種情況下，全球平臺將承擔計算方的角色。

同樣，在這種情況下，結果締約方可能比在上面的第一種情況下更加多樣化：全球的人民，組織和政府可能會收到全球平臺生成的報告并從中受益。

圖2：聯合國全球平臺的隱私保護統計工作流程

隱私威脅和隱私增強技術的作用

通常在有關隱私的一般性討論中，信息安全從業人員會使用如下原則：隱私保護是使得信息不會“泄漏”到授權訪問者的保護范圍之外。

所有隱私增強技術都部分解決了以下普遍問題：“對于輸入數據集敏感部分的數據分析會泄漏多少隱私？”。

泄漏可能是有意的或無意的。無論如何，隱私增強技術都可以減少此類泄漏的風險。

重要的是要指出，我們描述的任何一種隱私增強技術，實際上沒有一種已知的技術，可以為隱私問題提供完整的解決方案。

這主要是因為這種模糊定義的目標可能根據上下文具有不同的合適解釋。需要了解他們各自的隱私定義之間的相互作用。這種集成始于威脅建模階段，因為必須最終根據適用于每種技術的隱私定義的具體參數來設置隱私要求。

部署隱私增強技術的關鍵方面

部署PET的關鍵方面是必須將它們部署在盡可能靠近數據所有者的位置。最佳的隱私保證要求在將機密數據發布給第三方之前，數據所有者必須在本地使用PET。

這可以用一個簡單的類比來解釋使用訪問控制。

通常，與數據打交道的組織部署基于角色的訪問控制，該訪問控制僅授予授權人員訪問數據的權限。

但是，這仍然假定組織本身具有對所有收集的數據的完全訪問權限。因此，組織對所有數據負責。但是，有了正確部署的隱私增強技術，組織將能夠在沒有完全訪問權限的情況下執行其職責，從而減少責任。

統計信息的隱私目標

在對以上兩個設置進行了一般性描述之后，我們使用下面的抽象說明隱私目標。如圖3所示，一個或多個輸入方將敏感數據提供給一個或多個進行統計分析的計算方，從而為一個或多個結果方產生結果。

圖3：隱私目標的抽象設置

現在，我們介紹三個自然的隱私目標，這些目標自然地與文檔中稍后介紹的技術和隱私定義相關。

這些目標應被視為一般指南，具體部署可能具有特定的隱私要求，需要仔細評估。

鏈上ChainUP WaaS聯盟與歐賽Osasion達成深度戰略合作:據官方消息，鏈上ChainUP WaaS聯盟與歐賽Osasion宣布達成深度戰略合作，將為歐賽Osasion鏈上穩定幣UORA項目提供全方位的WaaS聯盟服務，包含主鏈資產托管等，雙方就區塊鏈技術應用落地、區塊鏈金融服務、資金安全等方面深度合作。

歐賽Osasion資產上鏈分布式交互生態公鏈，包含AUC主網架構，雙智能合約體系下的平權治理型生態社區，一幣雙挖的代幣分配模型嵌入到獨創的Bayes（貝葉斯）生態網體。首創MPOS共識機制，打造一個由共識者主體共建共享的分布式去中心化金融賦能網體，為歐賽Osasion鏈上生態治理和發展打造高流量社區聚集地。

WaaS聯盟是鏈上ChainUP集團依托3年時間所服務的300多家交易所經驗，將底層資產托管和錢包封裝而成的一套完整的服務，包含資產托管、節點服務、主鏈幣種開發、熱門幣種一鍵接入、共管錢包、借貸理財等多種功能服務，通過開放錢包API與SDK，幫助交易所、項目方、媒體等快速高效接入，實現云端資產安全托管，聯盟內部轉賬0手續費即時到賬。目前，已有超過500家企業加入ChainUP WaaS聯盟。[2020/12/2 22:52:57]

不過，理想情況下，應該以提供具體隱私保證的方式解決此類要求，我們認為以下分類是很自然的該建模任務的起點。

輸入隱私，輸出隱私和政策執行的隱私目標是根據對隱私保護統計數據的研究改編而成的。

輸入隱私

輸入隱私意味著計算方無法訪問或獲取輸入方提供的任何輸入值，也不能在數據處理期間訪問中間值或統計結果。

請注意，即使計算方無法直接訪問這些值，也可以通過使用諸如邊信道攻擊之類的技術來推導它們。

因此，輸入私密性需要防止3種所有此類機制的保護，而這三種機制都將允許計算方推導輸入。

輸入隱私非常可取，因為它可以顯著減少對輸入數據庫具有完全訪問權限的涉眾數量。從而減少了責任并簡化了對數據保護法規的遵守。

輸入隱私的概念在相互不信任的一方參與計算其私有數據的情況下特別相關，但是任何一方學習超過其規定的輸出被視為違反隱私的情況。

再次參考上面的掃描儀數據示例，零售商將要求設置在適當位置以收集和計算價格指數的系統將為輸入價格提供輸入隱私權。

輸出隱私

隱私保護統計分析系統在保證輸出結果不包含輸入方所允許的可識別輸入數據的范圍內實施輸出隱私。輸出隱私解決了測量和控制計算結果中存在的泄漏量的問題，而與計算本身是否提供輸入隱私無關。

例如，在分析多方提供的分布式數據庫以生成數據的統計模型的情況下，輸出隱私與以下問題有關：可以從已發布的數據庫中恢復多少有關原始數據的信息。

統計模型在模型的計算過程中各方之間交換的消息不會泄漏多少信息，因為后者與輸入隱私有關。

在數據發布中，例如，在NSO希望向公眾提供數據庫而又不泄露用于導出發布數據的任何相關輸入數據的情況下，強烈要求輸出隱私。

執行

如果隱私保護統計分析系統具有供輸入方執行積極控制的機制，則該策略執行策略執行，該控制可以由計算方對敏感輸入執行，并且可以將結果發布給結果方。這種積極控制通常以正式語言來表達，這種語言可以識別參與者及其參與規則。策略決策點將這些規則處理成機器可用的形式，而策略執行點則提供了確保遵循規則的技術手段。

因此，策略執行可以在保留隱私的統計分析系統中描述然后自動確保輸入和輸出的隱私，從而減少了對經典但效果不佳的方法的依賴。

結合多個隱私目標實際的統計系統很可能會結合多種技術來涵蓋多個隱私目標。有關如何覆蓋圖3所示的整個系統的示例，請參見圖4。

圖4：多個隱私目標如何在系統中共存

輸入隱私包括源數據，中間和最終處理結果。輸入方負責保護自己的輸入數據，但是一旦傳輸了數據，接收方就必須繼續對其進行保護。

輸出隱私是統計產品的財產。即使計算方負責確保計算結果具有某種形式的輸出隱私，但風險幾乎總是與結果方學習過多有關。

Waves基金會與Suterusu基金會達成深度戰略合作:據官方消息，知名公鏈項目Waves基金會聯合旗下Gravity Tech同Suterusu基金會宣布深度戰略合作，共同推動二層隱私計算、公鏈和defi的合作，Waves和Gravity將集成Suterusu原創的零知識證明算法構建隱私二層網絡，給數據和交易加密。截止目前，SUTER在Gate和Kucoin的最高漲幅均超過72%。[2020/8/22]

策略執行覆蓋整個系統-輸入方可能會在授予數據之前要求對處理進行控制，結果各方可能希望遠程審核處理的正確性。提供此類控制的責任在于計算方，在我們的情況下，計算方是國家統計局。

統計信息的隱私增強技術我們考慮以下技術：

1）安全多方計算

2）同態加密

3）受信任的執行環境

4）差分隱私

安全多方計算

安全多方計算是密碼學的一個領域。

MPC處理的問題是在一組可能相互不信任的各方之間共同計算一個函數，同時阻止任何參與者了解有關其他方提供的輸入的任何信息；同時確保獲得正確的輸出。

MPC計算基于計算輸入的秘密共享。

秘密共享最初由AdiShamir提出，將數據分為幾部分，它們本身是一些隨機數，但是當組合在一起時恢復原始數據。

MPC依賴于將每個數據輸入項劃分為兩個或更多份額，并將其分配給計算方。加法和乘法的同態特性使那些當事方可以計算份額以達到共享結果，這些結果相結合可得出計算函數的正確輸出。

為了執行MPC所需的共享計算，所有參與計算的方都遵循一個“協議”：一組指令和相互通信，當這些方遵循時，它們將實現分布式計算機程序

能夠抵抗隱蔽或惡意對手的現代MPC協議還依賴于誠實參與者可使用的零知識證明來檢測不良行為。

應用實例

MPC已有許多用例。端到端的加密關系數據庫原型，使用MPC來對僅以加密形式保存在數據庫中的數據計算SQL查詢的答案。

統計分析語言已經增強了MPC功能，可以在統計和其他計算過程中保護數據。

MPC還可用于保護密鑰，同時將這些密鑰用于加密，解密和簽名。

MPC還用于流數據環境中，例如處理VoIP數據以進行電話會議，而無需VoIP系統中的任何受信服務器。

最近的一篇論文更詳細地描述了一些主要的用例。MPC的一項有趣的潛在應用是長期共享數據治理。

由于MPC依賴于秘密共享，并具有對所有相關方共同控制的那些共享的訪問控制的權限。因此數據可以以機密共享形式無限期地存儲，并且只有在適當比例的各方同意的情況下，才可以恢復數據。此功能與靜止數據秘密共享的概念有關，而與閾值加密的概念關系更遠。

敵手模型和安全性爭論因為MPC假定了互不信任的各方的可能性，所以它也假定了新的一類對手：控制計算中的一個或多個參與者的對手。

這樣的對手可能是內部威脅，也可能是組織外部的特洛伊木馬或其他滲透性很長的攻擊。

這類新型的攻擊者通常用幾個特征來描述：誠實度，移動度和受害計算方的比例是文獻中描述的典型特征。

在半誠實的對手模型中，這種控制僅限于檢查損壞的參與者看到的所有數據以及對他們聯合運行的計算程序的無限了解。

在“隱蔽”模型中，對手通常會將控制權擴展到修改或破壞商定的協議，其目的通常是要學習更多的知識，而不僅僅是從觀察中學習到的知識。

但是，在這種模型中，攻擊者被激勵保持其存在不被察覺，從而限制了其可能采取的行動。在惡意模型中，攻擊者還可能修改或破壞商定的協議，但無意將其存在隱藏起來。結果，惡意對手可能會采取比秘密對手更大范圍的行動。

固定對手模型假設對手選擇了參與者會影響的先驗條件。例如，這種模型可能表示一個計算參與者受到了損害，而其他人則沒有受到損害。此對手移動性特征的增強版本允許對手在計算期間在參與者之間移動。目前，很難想象這樣一個對手的真實世界。

MPC對手的假設屬于兩類之一：誠實多數和不誠實多數

火幣公鏈測試網上線，全面深度支持合規及監管:2月29日，火幣全球站發布公鏈測試網正式上線公告。火幣公鏈是火幣集團和Nervos Foundation聯合開發的，自主創新的面向金融領域的可監管區塊鏈操作系統，是基于區塊鏈的全球性資產數字化及金融市場的基礎設施。火幣公鏈創新性提出了“監管節點”的理念，支持鏈上合規及監管框架，將在底層集成去中心化數字身份（DID），并設計了將智能合約執行權限、用戶的身份特征結合的整體監管解決方案。[2020/2/29]

就像有各種各樣的MPC參與者對手模型一樣，也有各種各樣的MPC協議提供安全性參數來防御那些對手。

安全性通常是通過顯示MPC協議的實際執行與理想化的仿真器相區分的，在理想化的仿真器中，所有計算方將其私人輸入發送給可信任的經紀人，該經紀人計算商定的功能并返回輸出。各種MPC協議具有增強安全性的不同屬性。通常描述的那些屬性是：

●輸入隱私權，如上文所述

●輸出正確性–接收輸出的各方都會收到正確的輸出

●公平性–打算接收輸出的所有各方都這樣做，或者沒有接收到

●保證輸出–所有誠實的方都得到保證能夠正確完成計算，而不受不誠實方的攻擊行動。

雖然當大多數計算方不遵循協議時可以保證輸入隱私和輸出正確性，但是只有當大多數計算方遵循協議時，才能保證所有四個所需屬性的組合。

歷史

MPC最初于1982年作為安全的兩方計算正式推出，1986年由AndrewYao正式引入。該領域也稱為安全函數計算。兩方計算隨后被Goldreich，Micali和Widgerson推廣到多方。應當指出，MPC經常需要計算方之間交互。實際上，使用通信成本作為唯一估計因子，對MPC協議的運行時間的估計可能非常準確。

雙方之間對可用網絡帶寬和網絡延遲的高度依賴一直使MPC處于理論上的應用。直到2000年代中期，對協議的改進導致人們認識到MPC不僅可能，而且可以在互聯網上進行有用的計算。

在一些特定的應用場景下，MPC可以成為有效的解決方案。

分布式投票，保護隱私的競價和拍賣，共享簽名或解密功能以及密文檢索都是具有這些特性的應用場景。

多方計算的第一個大規模實際應用于2008年1月在丹麥進行。

使用技術成本

MPC技術的性能在很大程度上取決于安全計算的功能。MPC性能的典型指標是計算速度，MPC中計算延遲與沒有MPC安全性時完成相同計算的延遲之比。對于一般計算，例如處理典型的關系數據庫查詢運算符所需的計算，最新結果顯示速度降低了10000倍。

在MPC中，如果計算依賴于加法，其通常比常規計算快，而依賴除法或其他更復雜函數的計算通常要慢很多。與依賴浮點計算的計算相比，對整數或定點數據的計算相對較快。對于依賴于生成功能的計算通常也很慢。

下表總結了實際的示例應用程序以及這些計算得出的典型速度下降。

可用性在大多數情況下，MPC仍然是一個學術研究主題。少數公司使用專門的MPC協議來實現特定功能，而少數公司專門從事此技術的標準或定制產品開發或解決方案咨詢。

盡管MPC的操作理論處于相對較高的技術準備狀態，但最終用戶對計算產品的大多數期望仍處于早期開發階段。

同樣，MPC目前很難正確配置，并且當前需要高度定制的客戶端軟件以及用于部署的服務器軟件。雖然概念驗證的演示者已經表明可以開發這些重要功能，但從產品意義上來說開發尚處于非常早期的階段。

MPC可以在關系數據庫上執行查詢，但只能對關系查詢和數據類型的有限子集執行，而MPC無法容納重要的相關操作，例如數據清理。

MPC系統的性能仍然是一個挑戰，與“明文”計算相比，減速系數要達到100倍，最高可達100000倍或更高。

全同態加密

●概述同態加密是指具有特殊代數結構的一系列加密方案，該結構允許直接對加密數據執行計算而無需解密密鑰。

自1970年代以來，支持單一算術運算的加密方案就已廣為人知，通常被稱為單同態。Rivest，Adleman和Dertouzos意識到同態性質的實用價值,并就此領域進行了探索研究。

新華書店深度關注和應用區塊鏈技術，解決行業痛點:《中國新聞出版廣電報》報道，以浙江新華書店集團為代表的傳統發行渠道，逐漸重視開發和運營數字資源平臺，并深度關注和應用區塊鏈技術，為解決行業痛點提出了技術和服務的全面解決方案。比如，浙江新華的蕓臺購館配中盤服務云平臺，便被業界認為采用的模式和技術完全符合實際需求。[2018/4/20]

2009年，CraigGentry提出了第一個全同態加密方案。該方案允許對加密數據執行加法和乘法。

這是一項重要的發明，因為原則上，這種加密方案可以允許對加密數據計算任意布爾和算術電路，而無需向執行計算的一方透露輸入數據或結果。取而代之的是，結果只能由有權訪問密鑰的特定方解密。

該功能使同態加密成為用于云存儲和計算安全的強大工具，并且是依賴于此類功能的高級加密和協議的基礎。

盡管從理論上講其功能強大且在學術上很具有吸引力，但第一代全同態加密方案在性能和密鑰大小方面的原因，使其無法得以實踐應用，只處于理論階段。

在接下來的幾年中，為發明和實現更簡單，更快的同態加密方案，學術領域進行了大量工作。這項工作最終由IBM研究院發布了全同態加密庫HElib。

該庫將先前的同態加密實現的性能提高了幾個數量級。如今，有多個開源的同態加密庫可用，它們實現了適用于不同應用程序的各種同態加密方案。

●關于術語的注意事項

雖然原則上全同態加密方案允許對加密數據進行任意計算，但實際上幾乎所有有效的實現方式都使用所謂的“分層模式”下的全同態加密(LeveledFHE)，其中加密方案配置為僅支持特定大小或有界大小的計算，通常會導致性能極大的提升。

為簡單起見，在本文中，我們自由地使用術語同態加密來指全同態加密或層次型全同態加密。

●應用實例

同態加密提供了強大的后量子安全和獨特的非交互式密文計算功能，但是會導致較高計算開銷和消息大小的擴展。

因此，理想的應用場景應該是在具有相對較小但關鍵的加密計算組件，包括持久性存儲方面。并且其功能很難或者不可能使用其他方法來實現。

典型的應用實例是在醫療領域。其中法規強制執行嚴格的患者數據隱私措施，但是醫院和診所可能仍希望使第三方服務提供商能夠分析，評估或計算其數據，而無需花費大量金錢以及耗時的法律程序。例如，服務提供商可以提供圖像分析服務以在MRI掃描中檢測腫瘤。可以直接對同態加密數據進行計算分析，從而避免醫療數據泄漏給服務提供商的問題。

對于數據存儲提供商而言，潛在的應用程序是對加密的客戶數據執行分析。例如，客戶可能想使用云存儲服務來存儲大型加密數據庫，而不必為簡單的計算查詢而下載整個數據庫，因為這會帶來不必要的本地計算配置與成本，并可能使整個數據集暴露于潛在的低安全性計算環境中。

相反，所有可能的數據匯總都應由云存儲提供商直接以加密形式執行，以避免不必要地將數據暴露給客戶端計算機。

另一個有希望的應用是在隱私數據交集和隱私信息檢索協議中。在隱私數據交集中，客戶端和服務器擁有唯一的標識符集，并希望在它們的集合中找到共同的項目。例如，兩家公司可能希望找到他們共同的客戶。

當一組中的某一組比另一組小得多時，同態加密可以為該問題提供有效的解決方案。

在這種情況下，可以對較小的集合進行同態加密，然后發送給另一方，后者可以將加密后的數據與其集合做匹配計算。在私人信息檢索中，當事方之一可以檢索與匹配項相關聯的數據，而無需數據所有者知道檢索了什么數據。在這種類型的協議中，對數據集合的大小有上限的限制，并且所有通信和計算都必須與這些上限成比例。

●敵手模型和安全性爭論

如今，所有具有實用性能或接近實用性能的同態加密方案都基于有錯誤學習或環上錯誤學習的困難問題。換句話說，如果可以有效地破壞這些困難問題，則可以有效地解決LWE或環LWE的特定問題。由于對LWE和環LWE進行了廣泛的研究，并認為現代計算機無法解決這些困難問題，因此有充分的理由相信這些同態加密方案是安全的。

由于同態加密是一種特殊的加密算法，而不是指的協議，因此其安全性定義僅規定，當給定密文后沒有密鑰的敵手將無法獲得有關明文的任何信息。即使允許敵手選擇任意數量的明文加密，此特性也將保留。此性質也稱為???CPA。

但是，當允許敵手獲取自己選擇的數據解密時，其安全性不成立。確實，對于同態加密的安全使用，至關重要的是，除非有關可信數據的信息不會發生不良行為，否則絕不要將有關解密數據的信息傳遞回相應的加密數據的信息源。這包括看似無害的信息，例如重復執行協議的請求，拒絕為服務付費或揭示行為的任何變化，這些變化可能取決于加密計算的結果。

這樣的反向通信信道的存在可能最壞地導致完整的密鑰恢復攻擊，并且降低安全級別。因此，應將涉及單用戶的數據外包存儲和計算視為同態加密的主要用例。在收到計算結果之后，密鑰所有者不得基于解密結果執行任何服務提供商可以觀察到的操作，以避免上述攻擊。

另一個微妙之處是大多數同態加密方案都不提供輸入隱私：如果計算依賴于兩個或更多方的私有加密輸入，則不能保證加密方案可以保護這些輸入免受密鑰所有者的攻擊。同態加密在本質上也很特殊，截獲密文的任何人都可以修改底層的明文。除非例如密文是由發送者加密簽名的。

目前同態加密的使用門檻較高，沒有加密專家的幫助，就不可能從中建立安全協議。多數基于同態加密的協議只能在半誠實的安全模型中被證明是安全的。但是也有例外，其中通過將同態加密與其他原語結合起來可以實現更強大的安全模型。

●使用技術的成本

同態加密的使用至少帶來三種類型的成本：消息擴展，計算成本和工程成本。

在同態加密系統中，由于編碼效率較低以及密文本身擴展，加密數據通常比未加密數據大得多。

根據使用情況，編碼效率低下的范圍可能從理想情況到在編碼方法選擇不當時以數萬或數十萬規模的擴展率。消息擴展原則上可以任意大，但是實際上，根據使用情況，可以預期擴展因子為1到20倍。因此，在大多數情況下，人們不應該考慮使用同態加密來加密大量數據，而應仔細考慮所需的加密計算確切需要哪些數據，而僅對其進行加密。

同態加密的計算成本與未加密的計算相比顯著。準確的成本在很大程度上取決于加密方案的參數以及吞吐量或等待時間。也就是說，大多數同態加密方案都支持對加密數據進行向量化的批處理計算，如果可以充分利用批處理功能，則可以將吞吐量提高1000–100000x。

開發具有同態加密的復雜系統可能是一項挑戰，應始終在專家的幫助下完成，這樣的解決方案的初始成本可能很高。造成這種情況的原因有兩個：如前所述，如果沒有特殊的專業知識，則很難理解和評估安全模型；而如果不深入了解其工作原理，則可能難以充分利用可用的同態加密庫。

還應注意，同態加密很難或不可能與現有系統集成。相反，此技術的復雜應用程序可能需要對現有數據管道，數據操作過程和算法以及數據訪問策略進行實質性更改。

●可用性

最常用的全同態加密方案是Brakerski-Gentry-Vaikuntanathan和Brakerski-Fan-Vercauteren方案。兩者都允許對有限域元素的向量進行加密計算。

最近，CKKS方案計劃已獲得普及。CKKS方案允許對實數或復數進行近似加密計算，非常適合統計和機器學習應用。

不同方案之間的權衡比較復雜，即使對于本領域的專家而言也可能難以理解。對于非常大和非常小的計算，BGV方案比BFV方案具有性能優勢，但是在許多其他情況下，技術的差異可以忽略不計。另一方面，與BFV方案相比，BGV方案更加復雜并且學習曲線更陡峭。CKKS方案的性能與BGV相當，但學習起來可能更具挑戰性。但是，它提供了其他方案無法提供的功能。

BGV方案在IBMResearch的HElib庫和新澤西理工學院的PALISADE庫/框架中實現。BFV在MicrosoftSEAL，PALISADE和FV-NFLlib庫中實現。CKKS在MicrosoftSEAL，HEAAN和HElib中實現。

雖然BGV，BFV和CKKS在理論上都允許對加密數據進行任意計算，但是在預先確定電路深度并選擇加密方案參數以實現計算的分層模式下，它們通常效率更高。

相反，TorusFHE方案對按位加密的輸入進行操作，并嘗試進行優化以實現任意計算。在需要按位加密輸入的情況下，例如在涉及加密數字比較，排序或類似非多項式運算的計算中，諸如TFHE之類的方案可能是最有效的解決方案。TFHE方案具有相同名稱的庫。

差分隱私??

差分隱私提供了輸出隱私的信息論概念。它的目標是通過發布數據庫上聚合計算的結果來量化和限制數據庫中各個記錄的信息量。總覽

差分隱私由Dwork等人于2006年首次引入。從歷史上看，差分隱私與統計信息披露控制和統計數據庫的文獻中研究的經典隱私模型有關。與其他專門的定義相比，差分隱私提供了更籠統的隱私概念，k-匿名性主要關注數據匿名化的上下文。

此外，差分隱私旨在避免先前定義隱私的嘗試所遭受的陷阱，尤其是在多次發布的情況下,以及當對手可以獲取輔助知識時。我們注意到，這樣的陷阱也影響了不太復雜的隱私保護嘗試，例如單獨匯總和添加臨時噪聲以匯總結果。

差異隱私指定了數據分析算法必須滿足的屬性，以便保護其輸入的隱私。從這個意義上講，差分隱私是一種隱私標準，而不是單個工具或算法。

差分隱私的屬性是用與現實世界不同的另外一套方法來表達，其中特定個人的輸入已從數據庫中刪除。差分隱私要求原算法和替代算法產生的輸出在統計上是無法區分的。作為算法的一個屬性，意味著無論數據庫是什么以及我們選擇刪除哪一條記錄，這種不可區分性都必須成立。

因此，差分隱私不是輸出的屬性，并且不能通過查看給定輸入數據庫上算法的輸出來直接測量。關于差分隱私定義的另一個關鍵說明是，不可區分性要求太強，無法由任何確定性算法來滿足。因此，隨機性是任何差分隱私算法設計中必不可少的組成部分。

除了一些不同的威脅模型之外，差分隱私背后的原理的多功能性和強壯性導致了其基本定義的多樣化。兩種最重要的威脅模型導致通常稱為本地差分隱私和curator差分隱私。

在本地模型中，在收集和匯總數據之前，每個人都將差分隱私直接應用于數據。在curator模型中，受信方從許多個人那里收集數據，然后運行差分隱私數據分析算法，并發布其輸出。我們注意到，curator模型可以與輸入隱私保護技術結合使用，其中MPC技術可以保護輸入數據。

有興趣的讀者應查閱Nissim等人的最新論文。有關差分隱私的更廣泛的非技術性介紹。此外，Dwork，Roth和Vadhan撰寫的專著從技術角度全面介紹了差異性隱私的基礎。

應用實例

差分隱私目前才有12年多的歷史，這使其成為隱私增強技術領域中的一個相對較新的技術。在過去的十年中，差分隱私的理論和算法方面的研究迅速增長。

在文獻中已經提出了一些在數據庫接口和合成數據發布方法方面的通用差分隱私系統，但是這些系統中幾乎沒有一個達到產品級實現。但是，由于差分隱私背后的原理引起的興趣以及對在線隱私的日益關注，導致了少量實際部署，通常針對特定應用使用ad-hoc算法。

差分隱私的兩個著名應用是它在GoogleChrome和Apple的iOS/OSX中的使用，以保護隱私的方式收集使用情況統計信息。這些應用程序遵循差分隱私的本地模型，在該模型中，每個用戶都將自己的數據私有化，然后再將其發送到集中式服務器進行分析。

例如，Chrome使用這種方法來發現經常訪問的頁面，以改善其緩存和預取功能，而iOS使用它來發現文本應用程序中經常使用的單詞和表情符號，以改善鍵入幫助中使用的語言模型。此外，微軟還宣布，他們在本地模型中采用差分隱私來從運行其操作系統的設備中收集遙測數據。

在差分隱私的curator模型中，最著名的用法是美國人口普查局，他們計劃在發布即將到來的2020年人口普查結果時使用它。這是由于研究表明，沒有差分隱私提供的那種保護，有時即使從不同粒度級別的聚合中釋放出來，有時也有可能從人口普查數據中恢復有關個人的準確信息。

對手模型和安全性爭論

差分隱私為個人向數據庫提供敏感數據并且能夠執行查詢，提供了數學上的保證。保證的形式是對個人數據的風險進行控制，即對于刪除數據庫的任何單個記錄而言的查詢，不受成員資格和重建攻擊的影響。

換句話說，差分隱私為用戶向數據庫提供數據提供了令人信服的論據，因為它保證了查詢結果將非常相似，而不管用戶是否加入數據庫。這種質量可以防止攻擊者允許對手查詢數據庫并獲得無限制的附加知識。

差分隱私能夠抵抗如此強大的攻擊者的事實可能是違反直覺的，但實際上遵守了以下事實：差分隱私量化了算法的泄漏，而不是數據的屬性。

從技術上講，差分隱私的形式化是說，如果觀察此發布的對手將無法確定數據庫中是否存在任何特定記錄，則用于發布數據庫查詢結果的機制將具有不同的隱私性。

這種保證具有統計上的意義：由于差分隱私要求必須對數據分析算法進行隨機化，因此，當記錄為以下任意一種時，將根據輸出的概率分布之間的相似性來衡量對手是否能夠確定數據庫中是否存在記錄。

數據庫中存在或缺少對該相似性度量進行數字化參數化，參數值較小，表示更強的隱私保護。盡管這些值具有非常精確的統計解釋，但是并沒有通用的應用不可知配方來選擇這些參數的適當值-差分隱私可用性的當前限制之一。

如上所述，即使在對手可以訪問任意側邊知識的情況下，差分隱私仍可提供隱私。另外，不需要對對手的計算能力進行任何假設。使用差分隱私的確切威脅模型取決于強加于系統的信任假設。這導致了上述的本地模型和curator模型，不同之處在于后者假定受信方將收集要分析的數據并使用差異性隱私發布此類分析的結果，而前者對實體收集不做任何信任假設數據。

使用技術的成本

對于不提供輸出隱私的相同問題的解決方案，使用差分隱私的主要成本是準確性方面的損失。通常，此成本取決于所需的隱私級別，可用數據量以及威脅模型。

此外，差分隱私的成本還受到發布信息量的影響。例如，發布很少的關于數據集的統計信息通常比發布更復雜的對象更準確。

此外，激勵差分隱私定義的一個重要發現是，人們不能希望無限期地查詢數據庫而不會最終揭示數據庫的大部分內容。這使得查詢不固定的部署對于差分隱私應用程序而言尤其具有挑戰性。

在計算方面，與非隱私替代方案相比，差分隱私通常只會導致復雜度的適度增加。但是，還有一些重要的問題，導致最著名精度的差分隱私算法會遇到擴展性問題難以解決。

可用性

目前還沒有免費的或可商購的通用且可立即投入生產的產品。

由哈佛大學領導的隱私工具項目開發的私有數據共享接口實現了一種通用方法，可提供對敏感數據集的差異私有訪問。PSI專注于社會科學中的典型用例，允許研究人員上傳敏感數據集，發布具有差分隱私的一組選定統計信息，并允許其他研究人員針對數據集創建自己的差分隱私查詢。該工具帶有圖形用戶界面，該界面可指導數據所有者進行發布過程，幫助他們創建適當的隱私預算，并從大量隨時可用的統計信息中進行選擇。

差分隱私專注于輸出隱私：一種防止對輸出數據觀察而泄露輸入數據的方法。因此，傳統的密碼安全性論點不適用于差分隱私，因為信息泄漏取決于對數據提出哪些問題以及詢問它們的頻率。

因此，在數據所有者是唯一查詢者并且僅發布受差分隱私保護的聚合結果的環境中，差分隱私可能是相當安全且易于理解的。但是，在其他用戶可以進行查詢的環境中，數據所有者必須建立隱私預算-這是差分隱私研究生態系統的一部分，目前人們對此知之甚少。

Tags：MPC區塊鏈ChainAINCMPCO價格區塊鏈運用的技術中不包括哪一項項Fas ChainABChain

PEPE幣