ABY-高效混合协议安全的两方计算框架

ABY- a framework for efficient Mixed-Protocol secure two-party computation

摘要： 设计并实现了一个aby的混合协议框架，该框架有效地集合了算术共享、布尔共享和姚式的混淆电路的安全计算方案，并提供了安全双方计算的最佳实践解决方案 。 框架允许预先计算的不经意传输扩展在安全计算之间的转换。使用aby协议为三个示例应用构建了混合协议-隐私集合交集、生物特征匹配和模幂运算。 引言： 安全计算从80年代提出以来，已经引入了几种安全计算方案并且进行了反复优化，针对多种功能和部署场景产生了不同的安全计算协议和风格。这种多样性高效安全计算协议的开发对于非专家而言是一项具有挑战性的任务。希望根据自己的特定功能和可用资源选择一种有效的协议。尚且不清楚那种协议是有利的，需要根据自己的特定需求对每个方案进行原型化，然后才能够开始实施所选的方案。 贡献：提出一个新的框架，用于开发高效的混合协议，允许灵活的设计过程。aby的源代码可以在网站中直接获取。

Motivation

为了克服对有效函数表示依赖并提高其效率，前置工作将基于同态加密的安全计算协议与姚式电路结合，使用同态加密评估具有作为算术电路的有效表示的操作（加法和乘法）以及使用姚式电路评估具有作为布尔电路的有效操作比较。表明，使用混淆协议方法可以产生比仅使用单个协议更好的性能，因为同态加密和姚式电路协议之间转换的成本相对比较高昂 并且同态加密性能对着安全参数的增加而变差，因此混合协议仅比使用单一协议实现了相对较小的改进。

Contribution

• 提出了aby框架，支持三种不同类型的分享(arithmetic、boolean、yao)并允许三者之间做有效的转换 。
• 每种安全计算技术都使用了最新的优化和最佳实践来完成（Paillier打包技术、DGK生辰乘法三元组、OT协议）。
• 并对框架进行测试，使用基于OT的转换协议，不同共享之间的转换更加便宜且更加易于扩展。

Preliminaries

• 双方设置：双方都提供自己的私有输入然后计算出最后的结果，过程中不学习任何中间信息。
• 在半诚实对手上的安全性： 协议使用半诚实方对手模型，对手正确执行协议，试图在协议执行过程期间看到的信息中学习额外的信息。 ![[Pasted image 20220529145834.png]] 系统安全参数、公钥安全参数以及统计安全参数
• OT协议 发送者发送两个l-bit 长度的字符串（s0，s1），接受者输入一个比特c属于{0,1}得到sc作为输入，在该过程中，接受者不知道s1-c的值，当然发送者也不知道c的值是多少？ 论文使用ot来进行预计算，使用关联OT（C-OT）和随机 OT(R-OT) .在C-OT中，发送者输入一个相关函数f，得到一个消息对（m0，m1=f（m0））；在R-OT中，发送者没有输入，但是能够得到两个随机的消息(s0,s1)
• 算术共享### Arithmetic Sharing一个长度为l-bit的值被x分为在两个环z2l上值的和。基本上原理一致 使用同态加密生成乘法三元组 使用OT计算乘法三元组
• 布尔共享 和算术共享基本类似
• 姚式共享yao sharing garbler 和 evaluator 其中garbler 利用free-XOR和point-and-permute技术随机计算全局的字符串。

Sharing Conversions

• YAO TO Boolean Sharing(Y2B)：Yao使用了 point and permute技术，标签中包含了permutation bit
• Boolean to Yao Sharing（B2Y）
• arithmetic to yao sharing（a2y）
• Atirhmetic to boolean Sharing （a2b）
• Boolean to arithmetic sharing （b2a）
• yao to arithmetic sharing （y2a）

implement&benchmark

• 在乘法三元组的构造中，基于OT的构造协议比基于同态的构造协议，由于加密指数更短，密文大小更小，DGK在所有参数上逗比Paillier 更加有效，但是DGK的运行时间很大程度商取决于乘法三元组的位长，所以对于非常大的Paillier 更加可取 。 ![[Pasted image 20220529165842.png]]
• 在通信方面基于DGK的协议比基于OT的协议在更长的比特长度l=32,64上更加好，而对于短的比特长度，OT协议更好 ![[Pasted image 20220529165950.png]] 设置阶段的本地时间、云端时间、通信时间 ![[Pasted image 20220529170047.png]] 在线阶段的本地时间、云端时间和通信时间
• 图示可以看出，共享之间的转换成本之间非常小，甚至允许单个操作进行一轮完整的转换。
• 延迟：取决于部署场景的延迟
• 吞吐量：电路运算并行实例较高

Application

• 生物匹配 ：一方想要确定其生物特征样本是否与存储在另一方持有的数据库中的多个生物特征样本匹配，计算平方欧式距离确定这些距离中的最小值。
• 使用混合协议比使用单个协议的表现更好

缺点

该混合框架仅仅实现了具有半诚实方安全性的两方计算