41、高效公平安全多方计算与海绵基认证加密中关联数据的融合方法

高效公平安全多方计算与海绵基认证加密中关联数据的融合方法

在当今的密码学领域，安全多方计算（SMPC）和认证加密（AE）是两个重要的研究方向。本文将深入探讨高效公平的安全多方计算以及如何将关联数据融入海绵基认证加密方案中。

高效公平安全多方计算

假设有 (n) 个参与者想要计算一个函数 (\varphi(w_1, \cdots, w_n) = (\varphi_1(w_1, \cdots, w_n), \cdots, \varphi_n(w_1, \cdots, w_n)))，其中 (w_i) 是参与者 (P_i) 的输入，(\varphi_i = \varphi_i(w_1, \cdots, w_n)) 是其输出。
- 步骤一：随机选择份额并输入 SMPC 协议
- (P_i) 随机选择一个份额 (x_i \in Z_p)。
- (P_i) 将其份额 (x_i) 和输入 (w_i) 提供给一个 SMPC 协议，该协议输出功能 (\psi) 的计算结果。其中 (\psi_i(z_1, z_2, \cdots, z_n) = (E_i(\varphi_i(w_1, \cdots, w_n)), {g^{x_j}} {1\leq j\leq n})) 是输出，(z_i = (w_i, x_i)) 是 (P_i) 的输入。
- 加密 (E_i) 使用密钥 (h = g^{\sum {j = 1}^{n} x_j}) 进行，具体为 (E_i(\varphi_i(w_1, \cdots, w_n)) = (g^{r_i}, \varphi_i h^{r_i}))，其中 (r_i \in Z_p) 是电路随机选择的数字（也可以作为电路的输入）。
- 期望在公平交换发生之前，每个人都能得知 (\psi) 的输出。如果在 SMPC 协议结束时，某些参与者没有收到其输出，则不进行公平交换，任何一方都无法解密并得知其输出。
- 步骤二：执行 MFE 协议的第三阶段
- 如果所有人都从 SMPC 协议中收到了输出，则使用从 (\psi) 的输出中获得的 (g^{x_i}) 值作为验证份额，(x_i) 值作为其秘密份额，执行 MFE 协议的第三阶段。
- (a_i) 和 (b_i) 值从 (E_i) 中获得。
- 每个函数输出都用所有份额进行加密，但对于参与者 (P_i)，她无需向任何其他参与者提供 (f_i) 的解密份额。此外，与完全拓扑结构中向每个其他参与者提供 (n) 个解密份额不同，她只需向每个 (P_j) 提供一个解密份额 (a_{x_i}^j)。因此，这里的 MFE 第三阶段是一个更高效的版本。

公平交换协议的第一阶段和第二阶段在修改后的 SMPC 协议期间已经完成，因为参与者获得了用其份额加密的输出的加密结果。由于 SMPC 协议是安全的，它保证输出正确的密文，因此不需要进一步验证。我们也不需要对 (x_i) 值进行承诺，因为 SMPC 协议也确保了输入的独立性。所以，参与者只需要执行第三阶段。

在交换结束时，每个参与者只能解密自己的输出，因为他们不会披露自己的解密份额。如果 SMPC 需要对称功能，可以计算 (\psi(z_1, z_2, \cdots, z_n) = {E_i(\varphi_i(w_1, \cdots, w_n)), g^{x_i}}_{1\leq i\leq n})，由于 (P_i) 不会向任何其他人提供 (f_i) 的解密份额，每个参与者仍然只能解密自己的输出。因此，可以使用对称功能的 SMPC 协议来公平地计算非对称功能。

我们的方法在执行不公平 SMPC 时的开销最小。尽管输入和输出大小额外扩展了 (O(n)) 个值，并且电路扩展以执行加密，但这些都是最小的要求，特别是如果底层 SMPC 协议基于算术电路（如 [7,46]）。在这种情况下，执行 ElGamal 加密和创建验证值 (g^{x_i}) 非常容易。之后，为了实现公平性，我们只增加了两轮交互（即 MFE 的第三阶段，消息更小）。

以下是不同公平 SMPC 解决方案的比较：
| 解决方案 | 技术 | TTP | 轮数 | 证明技术 |
| — | — | — | — | — |
| [23] | 渐进释放 | 否 | (O(\lambda)) | NFS |
| [11] | 比特币 | 是 | 常数 ✓ | NFS |
| [1] | 比特币 | 是 | 常数 ✓ | NFS |
| 我们的方法 | MFE | 是 | 常数 ✓ | FS ✓ |

从表中可以看出，我们的优势在于效率，不需要外部支付机制，并且通过理想/真实模拟一起证明了安全性和公平性。

MFE 协议性能和隐私分析

• 消息复杂度 ：在 MFE 中，每个参与者 (P_i) 准备一个可验证加密和一个可验证托管，并将它们发送给 (n - 1) 个参与者。验证这些信息是高效的，因为它们所显示的关系可以使用基于离散对数的诚实验证者零知识三步知识证明来证明。最后，(P_i) 向 (n - 1) 个参与者发送包含解密份额的消息，同样带有高效的知识证明。因此，对于每个参与者 (P_i)，他发送的消息数量为 (O(n))。由于有 (n) 个参与者，总消息复杂度为 (O(n^2))。需要注意的是，不需要广播这些消息，只需确保在进一步操作之前收到所有上一步的消息，就足以保证安全性。与以前的工作相比，MFE 更加高效，实现了最优的渐近效率。
• TTP 职责和隐私保护 ：当存在恶意参与者或遭受网络故障的参与者时，MFE 协议最迟在 (t_2) 之后立即结束。在最坏的情况下，(n) 个参与者会联系 TTP，因此减少 TTP 的工作量非常重要。TTP 的职责包括检查其记录中的某些列表，验证来自一些参与者的高效零知识知识证明（取决于投诉列表的大小），以及解密可验证托管。这些操作都是高效的。此外，对 TTP 的隐私得到了保护。TTP 只了解一些解密份额，但由于他从未获得加密项目，因此无法解密交换项目的加密结果。
• 加密方案选择 ：为了简化演示，我们使用了 ElGamal 门限加密。实际上，任何门限加密方案，如 Pailler 密码系统、Franklin 和 Haber 的密码系统或 Damgard - Jurik 密码系统都可以使用。
• 公平性定义 ：我们的 MFE 协议实现了“要么整个拓扑结构得到满足，要么不交换任何项目”的直观公平性定义，适用于任何拓扑结构。这种强公平性定义要求交换依赖于所有参与者，因此需要二次数量的消息。

公平 MPC 的开销

我们的公平性解决方案在现有不公平 SMPC 协议之上的开销包括增加的输入/输出大小，以及额外的加密和验证份额计算。如果底层 SMPC 协议使用算术电路（如 [7,17,46]），则只需要 (O(n)) 次额外的指数运算，这不会显著扩展电路大小。如果使用布尔电路，电路大小的增加会比算术电路更多，但与相关工作相比仍然是可以容忍的。

[23] 使用渐进释放来实现公平性，但这会给协议带来许多额外的轮数和消息。每一轮，每个参与者通过广播释放他的项目。最近基于比特币的方法（如 [1,11]）也需要在比特币网络中进行广播，这增加了消息复杂度。我们的方法只需要恒定数量的轮数和 (O(n^2)) 条消息。需要再次强调的是，这些在渐近意义上是最优的，因为公平 SMPC 需要完整的拓扑结构。

海绵基认证加密中关联数据的融合

在认证加密领域，当发明一种新的认证加密（AE）方案时，可能会面临处理关联数据的问题。问题在于如何有效地对关联数据 (A) 和消息 (M) 进行认证，其中 (A) 需要明文发送，(M) 需要加密。

现有方法及其问题

• “头”和“尾”方法 ：许多现有的海绵基 AE 方案，如 SpongeWrap，采用“头”方法处理关联数据 (A)，即一次性处理 (A \parallel M)，(A) 采用海绵模式，(M) 采用双工模式。几乎所有的 CAESAR 候选方案都遵循这种“头”方法，只有 NORX 同时接受“头”和“尾”，即 (A_1 \parallel M \parallel A_2)。
  • 潜在问题 ：“头”方法的一个潜在缺点是，在开始加密之前，整个头部 (A) 需要“可用”。虽然在典型的数据包头部情况下这个问题不存在，但在处理关联数据的相对到达时间时，这是一个需要解决的问题。“尾”方法也不能从根本上解决这个问题。此外，“头”和“尾”方法效率不高，大约需要 (\lceil(|A| + |M|)/r\rceil) 次底层置换调用。
• 其他现有解决方案 ：对于像 OCB 这样认证和加密紧密集成的“单通”机制的方案，Rogaway 提出了两种解决方案：随机数窃取和密文转换。随机数窃取适用于 (A) 能“适应”随机数输入可接受大小（较大）和实际使用的随机数大小（较小）之间的差距的情况，此时可以将 (N \parallel A) 输入到随机数输入中。密文转换则通过使用密钥哈希函数压缩 (A)，并将哈希值异或到密文 (C) 或标签 (T) 上，适用于任意大小的 (A)。

本文提出的方法

• 并发吸收 ：这是一种海绵结构独有的新颖方法。其优点在于效率高，置换调用次数减少到 (\max{|A|/c, |M|/r})，其中 (|\cdot|) 表示比特长度，(c) 表示容量大小（以比特为单位），(r) 表示速率大小。特别是当 (A) 的大小相对较小时，即 (|A|/c \leq |M|/r)，则不需要额外的置换调用来处理 (A)。
• 密文转换 ：这是 Rogaway 在 2002 年提出的一种通用技术，本文将其具体化为一种海绵基 AE 方案。海绵基密文转换的优点是可以独立于 (A) 的相对到达时间开始加密消息 (M)。通过使用类似的技术，“头”和“尾”方法的效率也可以得到提高。

值得注意的是，所有这些方法都具有很高的安全性。密钥长度用 (\kappa) 表示，所有方法在理想模型中针对尊重随机数的对手都能实现 (\min{2^{(r + c)/2}, 2^{c/r}, 2^{\kappa}}) 的安全性，这是 Jovanovic 等人在 2014 年针对传统的“头”和“尾”方法所证明的。

综上所述，通过对高效公平安全多方计算和海绵基认证加密中关联数据融合方法的研究，我们提出了一些改进现有方案的方法，这些方法在效率、公平性和安全性方面都具有一定的优势。在未来的密码学应用中，这些方法有望得到更广泛的应用和进一步的发展。

高效公平安全多方计算与海绵基认证加密中关联数据的融合方法

并发吸收方法详解

并发吸收是海绵结构独有的方法，其核心在于利用海绵结构的特性，高效地处理关联数据 (A) 和消息 (M)。下面通过一个流程图来展示其大致流程：

graph TD;
    A[开始] --> B[初始化海绵状态];
    B --> C{判断 |A|/c <= |M|/r};
    C -- 是 --> D[按速率 r 处理 M，同时用容量 c 吸收 A];
    C -- 否 --> E[按容量 c 吸收 A，同时按速率 r 处理 M];
    D --> F[完成处理，生成标签和密文];
    E --> F;
    F --> G[结束];

在这个流程中，首先初始化海绵状态，这是进行后续操作的基础。然后比较 (|A|) 和 (M) 的相对大小，根据比较结果决定是优先处理 (M) 还是 (A)。当 (|A|/c \leq |M|/r) 时，按速率 (r) 处理 (M)，同时利用容量 (c) 吸收 (A)，这样可以避免额外的置换调用来专门处理 (A)。反之，则按容量 (c) 吸收 (A)，同时按速率 (r) 处理 (M)。最后完成处理，生成标签和密文。

密文转换方法的具体实现

密文转换方法将 Rogaway 的通用技术具体化为海绵基 AE 方案。以下是其具体的操作步骤：
1. 压缩关联数据 (A) ：使用一个密钥哈希函数 (H(K, A)) 对关联数据 (A) 进行压缩，得到一个哈希值 (h)。这里的 (K) 是加密密钥。
2. 异或操作 ：将哈希值 (h) 异或到密文 (C) 或标签 (T) 上。具体选择异或到密文还是标签上，可以根据具体的应用场景和需求来决定。
3. 生成最终结果 ：经过异或操作后，得到最终的密文 (C’) 或标签 (T’)。

通过这种方式，密文转换方法可以独立于 (A) 的相对到达时间开始加密消息 (M)，提高了方案的灵活性。

不同方法的性能对比

为了更直观地比较不同方法的性能，我们列出以下表格：
| 方法 | 置换调用次数 | 对 (A) 到达时间的要求 | 安全性 |
| — | — | — | — |
| “头”和“尾”方法 | (\lceil(|A| + |M|)/r\rceil) | 较高，“头”方法需 (A) 先全部可用，“尾”方法也有一定限制 | (\min{2^{(r + c)/2}, 2^{c/r}, 2^{\kappa}}) |
| 并发吸收方法 | (\max{|A|/c, |M|/r}) | 较低，可与 (M) 处理并发 | (\min{2^{(r + c)/2}, 2^{c/r}, 2^{\kappa}}) |
| 密文转换方法 | 取决于哈希函数和异或操作 | 低，可独立于 (A) 到达时间开始加密 (M) | (\min{2^{(r + c)/2}, 2^{c/r}, 2^{\kappa}}) |

从表格中可以看出，并发吸收方法在置换调用次数上具有明显优势，特别是当 (A) 相对较小时。密文转换方法则在对 (A) 到达时间的要求上表现出色，提供了更高的灵活性。

实际应用中的考虑因素

在实际应用中，选择合适的方法需要考虑多个因素：
1. 关联数据 (A) 的大小 ：如果 (A) 相对较小，并发吸收方法可能是一个不错的选择，因为它可以减少置换调用次数，提高效率。
2. 关联数据 (A) 的到达时间 ：如果 (A) 的到达时间不确定，密文转换方法可以独立于 (A) 的到达时间开始加密 (M)，更适合这种场景。
3. 安全性要求 ：所有方法都能实现较高的安全性，但在一些对安全性要求极高的场景中，可能需要进一步评估不同方法在特定攻击模型下的表现。

总结

本文深入探讨了高效公平安全多方计算和海绵基认证加密中关联数据的融合方法。在安全多方计算方面，通过改进 MFE 协议的第三阶段，实现了更高效的公平交换，减少了不必要的验证和承诺步骤，同时保证了每个参与者只能解密自己的输出。在海绵基认证加密中，针对现有“头”和“尾”方法的问题，提出了并发吸收和密文转换两种新方法，这两种方法在效率和灵活性上都有显著提升，并且都能保证较高的安全性。

在未来的研究和应用中，可以进一步探索这些方法的优化空间，例如结合更多的密码学技术来提高安全性和效率，或者将这些方法应用到更多的实际场景中，如物联网、云计算等领域，以满足不同场景下对安全和效率的需求。同时，也需要关注新出现的攻击模型和安全威胁，不断改进和完善这些方法，确保其在复杂的网络环境中依然可靠。