《{安全生产管理}第十二章安全多方计算》由会员分享,可在线阅读,更多相关《{安全生产管理}第十二章安全多方计算(20页珍藏版)》请在金锄头文库上搜索。
1、第十二章 安全多方计算,杨秋伟 湖南大学 计算机与通信学院,安全多方计算:密码学家晚餐问题,David Chaum的密码学家晚餐问题 场景描述 三个密码学家(Alice Bob Carol)坐在他们最喜欢的三星级餐馆准备吃晚餐 业务逻辑 侍者通知他们晚餐需匿名支付账单 其中一个密码学家可能正在付账 可能已由美国国家安全局NSA付账 他们彼此尊重匿名付账的权利,但又需要知道是不是NSA在付账 系统目标 如何确定三者之一在付账同事又要保护付账者的匿名性?,安全多方计算:密码学家晚餐问题,David Chaum的密码学家晚餐问题 一个简单有效的解决方案 每个密码学家将菜单放置于左边而互相隔离开来 每
2、个人只能看到自己和右边密码学家的结果 每个密码学家在他和右边密码学家之间抛掷一枚硬币 每个密码学家广播她能看到的两枚硬币是同一面还是不同的一面 如果有一个密码学家付账,则他说相反的结果 判定结果 桌上说“不同”的人数为奇数某个密码学家在付账 桌上说“不同”的人数为偶数NSA在付账 如果某个密码学家在付账,另两人不能精确定位到该密码学家,安全多方计算:密码学家晚餐问题,假设密码学家Alice试图弄清其他哪个密码学家在付账 如果她看见两个不同的硬币 那么另外两个密码学家或者都说“相同”、或者都说“不同” 付账者是最靠近与未看见的硬币不同的那枚硬币的密码学家 如果她看见两个相同的硬币 那么另外两个密
3、码学家一个说“相同而另一个说“不同” 如果未看见的硬币与她看到的两枚硬币相同 说“不同”的密码学家是付账者 如果未看见的硬币与她看到的两枚硬币不同 说“相同”的密码学家是付账者,安全多方计算:密码学家晚餐问题,假设密码学家Alice试图弄清其他哪个密码学家在付账 无论如何Alice都需要知道Bob与Carol抛掷硬币的结果 Crypt(i),Coin(i)分别表示密码学家和掷币结果 Crypt(i)付款输出 = Coin(i-1) Coin(i) Crypt(i)没付款输出 = Coin(i-1) Coin(i) 1,安全多方计算:密码学家晚餐问题,安全多方计算:密码学家晚餐问题,“晚餐问题”
4、的延伸 两个密码学家的“晚餐问题”协议 他们会知道谁付的账 旁观者只知道其中某个人付账或者NSA付账,不能精确定位 任意数量的密码学家“晚餐问题”协议 全部坐成一个圈并在他们中抛掷硬币,安全多方计算:密码学家晚餐问题,“晚餐问题”的应用匿名消息广播 用户把他们自己排进一个逻辑圆圈 构造饭桌 在一定的时间间隔内,相邻的每对用户对他们之间抛掷硬币 使用一些公正的硬币抛掷协议防止窃听者 在每次抛掷之后每个用户说“相同”或“不同”,无条件的发送方和接受方不可追踪性,恶意的参与者不能读出报文,但他能通过在第三步撒谎来破坏系统,安全多方计算:平均工资问题,平均工资问题 场景描述 Alice、Bob、Car
5、ol和Dave四人在一起组织工作 业务需求 他们想了解平均工资 无仲裁者 系统目标 任何人不想让其他人知道自己的工资,安全多方计算:平均工资问题,平均工资问题的一种有效解决方案 Alice生成一个随机数,将其与自己的工资相加,用Bob的公钥加密发送给Bob Bob用自己的私钥解密,加进自己的工资,然后用Carol的公钥加密发送给Carol Carol用自己的私钥解密,加进自己的工资,然后用Dave的公钥加密发送给Dave,安全多方计算:平均工资问题,平均工资问题的一种有效解决方案 Dave用自己的私钥解密,加进自己的工资,然后用Alice的公钥加密发送给Alice Alice用自己的私钥解密,
6、减去原来的随机数得到工资总和 Alice将工资总和除以人数得到平均工资,宣布结果,协议假定所有的参与者是诚实的,如果不诚实则平均工资错误 Alice可以谎报结果(她作为了“名义上”的集成者),安全多方计算:平均工资问题,平均工资问题的一种有效解决方案 比特承诺可以解决“Alice谎报”缺陷 运用比特承诺协议让Alice向Bob传送他的随机数 协议结束后,Bob可以获知Alice的工资,安全多方计算:终身伴侣问题,终身伴侣问题 场景描述 Alice、Bob都在寻找终身伴侣相亲(非诚勿扰、我们约会吧) 业务需求(兴趣爱好) Alice:KTV、逛街、劲乐团 Bob:NBA、足球、聚会、宅 系统目标
7、 对自己的择偶要求难为情含蓄表达、意会、不表达 找一个趣味相投的终身伴侣,安全多方计算:终身伴侣问题,终身伴侣问题的一种有效解决方案 使用一个单向函数,Alice将她的择偶要求m,HASH得到一个8位数字的字符串h(m) Alice用这8位数字作为电话号码拨号,并留言 如果电话号码无效,Alice给这个电话号码申请一个单向函数直到她找到一个与她有相同择偶要求的人 Alice告诉Bob她为她的择偶要求申请一个单向函数的次数 Bob用和Alice相同次数的HASH他的择偶要求 他也用这个8位数字作为电话号码,试图听取留言 有留言,则配对成功,安全多方计算:终身伴侣问题,终身伴侣问题的一种有效解决方
8、案 Bob可以进行“选择明文攻击” 可以HASH一般的择偶要求 拨打所得的电话号码,以窃听留言 只有在不可能得到足够多的明文消息的情况下该协议安全,安全多方计算:其它几个经典应用场景,示例一 Alice认为自己得了某种遗传疾病,想验证自己的想法 她知道Bob有一个关于疾病的DNA模型的数据库 如果她把自己的DNA样品寄给Bob Bob可以给出她的DNA的诊断结果 Alice又不想别人知道这是她的隐私,安全多方计算:其它几个经典应用场景,示例二 A公司决定扩展在某些地区的市场份额来获取丰厚的回报 A公司也注意到B公司也在扩展一些地区的市场份额 两个公司都不想在相同地区互相竞争 信息的泄露可能会导
9、致公司很大的损失 比如另一家对手公司知道A和B公司的扩展地区,提前行动占领市场 又比如房地产公司知道A和B公司的扩展计划,提前提高当地的房租等等 在不泄露市场地区位置信息的情况下知道市场是否有重叠,安全多方计算:其它几个经典应用场景,示例三 两个金融组织计划为了共同的利益决定互相合作一个项目 每个组织都想自己的需求获得满足 他们的需求都是他们自己专有的数据,没人愿意透露给其它方,甚至是“信任”的第三方 那么他们如何在保护数据私密性的前提下合作项目呢?,安全多方计算:基本概念,多方计算问题 一组参与者希望共同计算某个约定的函数 函数的输入参数有多个 每个参与者提供函数的一个输入 安全多方计算问题(Secure Multi-party Computation) 引入安全因素 其中每个人都知道这个函数的值 除了函数的输出外,没有人知道关于任何其它成员输入的任何事情,安全多方计算:基本概念,来自于经典应用场景的启发 安全多方计算的基本特征 两方或多方参与者基于他们各自私密输入的计算 彼此都不想其它方知道自己的输入信息 问题变成了在保护输入数据私密性的前提下如何实现这种计算? 安全多方计算问题在一个分布网络上计算基于任何输入的任何概率函数 每个输入方在这个分布网络上都拥有一个输入 该分布网络要确保输入的独立性、计算的正确性 除了各自的输入外,不透露其它任何可用于推导其它输入和输出的信息,
