什么是MPC
MPC 全称 Multi-Party Computation,即多方计算,是解决某些问题的协议(或者说方案)的总称。这些问题通常涉及多个参与方(party,例如多家公司),每个参与方持有一定的隐私数据(例如公司的财产),希望不公开这些数据,但又可以利用这些数据计算某一函数(例如求最大值:哪个公司财产最多),每个参与方获得相应的计算结果(可能相同,可能不同)。
我们经常听到“安全多方计算”或者“多方安全计算”,就是要求一个 MPC 的协议是安全的,安全性的基本要求:一是隐私性,即不能泄露任何一方的隐私数据;二是正确性,即保证计算的结果是正确的。此外,还有其他要求例如公平性、输入的独立性、保证输出送达等。通常我们提到 MPC 就是指安全 MPC,显然一个不安全的协议不会受到青睐。
MPC能干什么
MPC 具有广泛的实际应用潜力,从安全的统计分析,到更特定的领域,例如,电子政务,金融监管,生物医学计算,在保护数据安全的同时,实现联合数据分析、数据安全查询、数据可信交换等。
接下来,我们通过一个“比武招亲”故事介绍一下 MPC 的几个例子及相关概念(再次声明不传播任何价值观念!)。故事是这样的,地主家有个漂亮女儿,到了适婚年龄,地主想要找一良婿,便贴出了招亲告示。
1.百万富翁问题:MPC 的经典问题
告示一经张贴,便引来了很多男士。地主设置第一关:考察各位男士的收入情况。当然这些男士并不会乐意去公开自己的收入,怎么办?借助MPC整数比较协议。在不泄漏隐私的情况下可以比较收入的高低。
这一问题最早是由计算机科学家、图灵奖获得者姚期智教授通过百万富翁问题提出的:两个百万富翁和想知道他们谁更富有,但他们都不想让对方知道自己财富的任何信息。在双方都不公开财富信息的情况下,如何比较两个人的财富多少,并给出可信证明。姚教授通过混淆电路(garbling circle)给出了一种解决办法,近年来也有一些基于同态加密的方案提出,有兴趣的读者可以查阅相关资料。
最初百万富翁问题可以看作是两方计算,当扩展到多个富翁,就是我们经常听到的拍卖问题。多个参与方分别出价,出价最高(或最低)者即为拍卖的获胜者。MPC 可以很好的解决这一问题,计算出最高(低)值,但不泄露其他出价。
2.隐私集合求交(Private Set Intersection,PSI)
回到比武招亲的故事,地主给女儿招亲,当然要找一个兴趣爱好与女儿相投的男士。例如:礼、乐、射、御、书、数,等等。如何在不泄露彼此兴趣爱好的情况下,找出二人的共同爱好?这一问题可以通过 PSI 来解决。
PSI 是 MPC 的一个分支。PSI是指,参与双方在不泄露任何额外信息的情况下,得到双方持有的隐私数据的交集。在这里,额外的信息指的是除了双方的数据交集以外的任何信息。PSI 在现实场景中非常有用,比如在纵向联邦学习(机器学习)中做数据对齐,或是在社交软件中,通过通讯录做好友发现,计算广告的实际效果等。目前已有一些解决方案,例如利用不经意伪随机函数(Oblivious Pseudorandom Function),参与方利用自己的数据计算函数值,然后公开函数值进行比对即可。
3. 不经意传输(Oblivious Transfer,OT):MPC的重要组件
通过前两关,有一位候选人 Bob 挺到了最后,成为地主女婿的候选人。地主为 Bob 准备了两份生辰八字,一份是地主自己的,一份是地主夫人的。地主只能给 Bob 看其中一份,但是 Bob 并不想泄露自己看了地主还是地主夫人的生辰八字。
怎么办?可以借助 OT 协议。OT 可以保护 Bob 的隐私,Bob 选定其中一份查看,得不到关于另一份的任何信息,同时地主也不知道 Bob 到底看了哪一份。OT 是很多 MPC 方案的重要组成部分,例如前文提到的混淆电路,不经意伪随机函数。
我们给出一个解决办法。Bob 去邮局买两个带锁的邮筒,这两个邮筒除(锁)钥匙不同外,其他完全相同。请注意每个人都可以往邮筒里放信件,但是只有拥有钥匙的人才能开锁打开邮筒取出并查看信件(类似于密码里的public key加密)。
Bob 将邮筒贴上标签:一个贴“岳父”,一个贴“岳母”。如果 Bob 想要看岳父的生辰八字就把贴有岳父标签的邮筒的钥匙留下,把贴有岳母标签的邮筒的钥匙破坏扔掉。否则,如果想看岳母的生辰八字就只留下贴有岳母标签的邮筒的钥匙。然后将两个邮筒交给地主。地主收到邮筒后将自己的生辰八字放入贴有岳父标签的邮筒,将自己夫人的生辰八字放入贴有岳母标签的邮筒,然后把邮筒还给 Bob。Bob 找个没人的小树林,用自己留下的钥匙打开相应的邮筒就可以得到自己想要看的生辰八字。因为 Bob 只有一把钥匙,所以只能看到他想要看的生辰八字。对于地主来说,其不知道 Bob 留了哪一吧钥匙,当然也就不知道 Bob 到底查看了谁的生辰八字。
聪明的你一定会问如果 Bob 作弊,把两个钥匙都留下怎么办,这将是另外一个问题,密码学里会有更强的工具要求 Bob 遵守规则,此处不再讲述。
4.门限密码学:MPC的重要分支,实现权力分割、去中心化的有效工具
故事结局很美好,地主纳得良婿,Bob 抱得美人归。
那么小两口的财产归谁管呢?交给地主?交给地主女儿还是Bob自己管?如果一个人管,那么 Ta 就成了财富聚集中心,就会成为坏人的靶点。如何去中心化,实现权力分割呢?可以采用门限密码学。
门限密码学也是 MPC 的一个重要分支。在门限密码中,一项任务(如解密、签名)的完成不能一个人说了算,而是一部分共同决定的,相当于委员会共同决议。参与决议这一部分成员可能是是全体成员,也可能只是其中一部分,这个界限被称为门限(threshold),如果成员数量少于这个门限,则任务无法执行。门限密码一个重要组件叫做秘密分享 secret sharing,顾名思义,把秘密分割成多个片段分别进行保管,每次需要门限个片段才能恢复出秘密。
回到我们的故事,Bob 可以把财产存入银行卡,然后采用(2,2)的门限秘密分享,将银行卡密码进行分割成两份,两个人每人持有一份。每次花钱需要两口子共同确认,一个人取不出钱。或者可以购买一个具有两把锁的保险柜,每个人持有一把钥匙,只有两个人合作才能打开保险柜。
考虑到实际应用,(2,2)秘密分享会存在一个问题,如果有一方忘记自己的密码片段或者丢一把钥匙怎么办,那岂不是银行卡、保险柜打不开了么(当然可以去银行找回)。考虑这种情况,Bob 可以采用(2,3)的秘密分享,将密码分割成三份,两口子每人一份,放在银行一份。三份中有两份存在且正确就可以恢复出原来的密码。
我们考虑一般的(t,n)门限密码:秘密被分割成 n 个片段,只有大于或者等于 t 个片段才能恢复出原始秘密,此处要求 t 不能大于 n。在门限加密方案中,用于解密的密钥被分割成 n 个片段,每次解密时需要至少 t 个片段。在门限签名中,用于签名的密钥被分割成 n 个片段,至少需要 t 个片段才能生成一个正确的签名。这种门限方案提高了系统的安全性和可靠性。一个坏蛋要想破坏这个系统需要窃取 t 个片段。而且即使系统中有 t-1 个片段丢失也不会破坏整个系统的安全性。(当然如果t大于n的一半,t-1 个片段丢失会导致系统无法正常输出结果而停止运行,但是不会泄漏原始的秘密)。
随着区块链、数字货币的流行,MPC 也越来越受到开发者的青睐。在区块链世界里, private key (一长串无序数字,可视为一把私有的钥匙)控制着一切。 private key 完全控制你的资产,例如,比特币,NFT 等等,一旦丢失或者被盗,后果不堪设想,尤其是行业大佬(每年都会有由于 private key 丢失遗忘导致的比特币丢失),当然对于穷鬼来说后果不太严重。区块链不像中心化的可信银行机构,密码丢失可以挂失、冻结或找回。区块链网络里没有可以相信的(中心)节点,因此保护好 private key 是一件十分重要的事情。
为了解决密钥管理的问题,区块链wallet应运而生。最初的wallet为了帮助用户恢复,备份 private key ,会在创建wallet时提供 12~24 个单词作为助记词,例如 apple、cat;助记词没有什么特殊意义,只是帮助用户记忆。它不像 private key 那样是一串无规律的数字。利用助记词可以导出用户的所有 private key (一个用户可以有不止一个 private key ,可以视为有多个账号)。但是实际上,记住这些助记词也不是一件容易的事情。六位数字的银行卡密码都记不住何况是十几个单词!
一个替代方法就是委托给第三方管理,例如交易平台。虽然区块链几乎不可能被破解,但是大量资金注入第三方会使其成为黑客攻击的靶点。事实上中心化交易平台是脆弱的,很容易成为目标,请看以下案例:
2016 年 8 月 2 日,Bitfinex 交易平台损失了 7200 万美元。
2018 年 1 月 26 日,日本最大的交易平台 Coincheck 损失了 5.32 亿美元。
2018 年 6 月 30 日,韩国最大的交易平台 Bithumb 损失了 3100 万美元。
MPC 技术可以一定程度上缓解密钥管理的困难问题,同时保证较好的安全性。采用 MPC 特别是门限签名技术,用户 private key 以分布式形式生成,全程不会出现完整的 private key ,从根本上降低了 private key 泄漏的风险。每个服务器只存储 private key 的一个片段,避免某一个或某几个服务器被攻击而造成的损失,同时各个服务器可以定期更新存储的片段,提高安全性。
越来越多的公司开始为用户着想,基于 MPC 构建安全的数字wallet,既可以为用户提供更加友好的体验:用户无需自己管理 private key ,无需助记词,通过已有的社交软件如微信、支付宝、邮箱等即可登录,体验区块链的乐趣;又可以提供更强的安全性, private key 分片多地存储,除用户外任何人无法获得完整的 private key (用户可以提出申请,核验身份后可以导出 private key )。
考虑这样一个情况,采用(2,3)形式的秘密分享,将 3 个片段分别存储在百度,阿里,腾讯三家的服务器上,任何两家同时参与可以生成一个合理签名。一个攻击者需要同时破坏两家的服务器才能窃取你的 private key ,这种概率还是比较低的。当然,这三家也不会为了你那几百、几千、甚至几万的资产,去合谋破坏你的 private key 。
此外,多重签名也是与门限签名很类似的一种 MPC 技术。不同于门限签名只有一个 private key ,多重签名有多个 private key ,每次签名需要一定数量的(门限个) private key 分别签署同一笔交易,验证签名需要逐一验证每个签名。可以这样理解:(2,2)-门限签名需要两个领导合作才能得到一个正确签名,(2,2)-多重签名需要两个领导分别签名,拥有 2 个签名才算有效。
类似地,还有仅采用秘密共享的方案。与门限签名十分类似。利用秘密共享,将 private key 进行分割,然后分别存储。签名时先恢复出完整 private key ,利用 private key 进行签名。而在门限签名中, private key 是分布式生成的,全程不可见,每个服务器存储一个片段,签名时每个服务器利用自己的片段进行签名,最终得到一个正确签名。门限签名不会泄漏 private key ,而秘密共享需要每次恢复 private key ,会增大泄漏 private key 的风险。
以下,我们给出一个中心化wallet方案(依赖可信中心进行 private key 保管/委托)和基于上述三种技术(门限签名,多重签名,秘密共享)的 MPC 去中心化wallet方案的对比。