培根芝士的专栏

可交换加密（Commutative Encryption）如果一个加密算法是 commutative 的，那么另外，我们可以很容易地算出大多数对称加密方案（如DES和AES）都不是 commutative 的。1、SRASRA（Shamir、Rivest 和 Adleman。RSA 密码系统的创造者）是一种经典的通信加密。假设 Alice 和 Bob 共享两个大素数 p,q并计算相同的半素数n=pq。Alice 生成她的加密密钥e1 和解密密钥 d1，有。 Bob...

DH算法是一种密钥交换协议，它可以让双方在不泄漏密钥的情况下协商出一个密钥来。DH算法基于数学原理，比如小明和小红想要协商一个密钥，可以这么做： 小明先选一个素数和一个底数，例如，素数p=23，底数g=5（底数可以任选），再选择一个秘密整数a=6，计算A=(g^a mod p)=8，然后大声告诉小红：p=23，g=5，A=8；小红收到小明发来的p，g，A后，也选一个秘密整数b=15，然后计算B=(g^b mod p)=19，并大声告诉小明：B=19；小明自己计算出s=(B^a mod p)

隐私信息检索(Private Information Retrieval - PIR)技术是由Chor B等提出解决保护用户查询隐私的方案。主要目的是，保证查询用户在向服务器上的数据库提交查询请求，在用户查询隐私信息不被泄漏的条件下完成查询，即在过程中服务器不知道用户具体查询信息及检索出的数据项。基于隐私信息检索（PIR）的隐私保护方法案例：假定数据库是一个由n位二进制数组成的字符串S，如图所示。当用户对字符串S中的第i位查询字符Si进行查询时，如果直接进行查询，肯定会将Si值的相关信息泄露，造成隐私泄

去标识化的定义:通过去标识化计算,使其在不接触额外信息的情况下，达到无法识别个人信息主体的效果。直接标识符（direct identifier）:微数据中的属性,在特定环境下可以单独识别个人信息主体。准标识符（quasi-identifier）:微数据中的属性，结合其他属性可唯一识别个人信息主体。举个例子，身份证号、手机号等是直接标识符（direct identifier），而年龄、地址等是准标识符（quasi-identifier）。通过直接标识符，我们可以立即锁定某个人。常用的去

方案介绍协议详细推导流程本节将针对上一节的图进行数学公式的分析与推导，推导过程尽量详细，本章节的推导基本用到了上面介绍RSA方案中的公式，另外有兴趣的同学也可以自行看下数论里面的知识，进而完成整个PSI协议的推导。准备工作：Server侧的样本ID集合{hc1, hc2, …,hcv}，Client侧的样本ID集合{hs1, hs2, hsw} Server产生RSA加密的公钥与秘钥，秘钥保留在Server端，公钥（e，n）下发到Client端。 Full-Domain Hash H

在大数据的时代，很多机构需要面向公众或研究者发布其收集的数据，例如医疗数据，地区政务数据等。这些数据中往往包含了个人用户或企业用户的隐私数据，这要求发布机构在发布前对数据进行脱敏处理。K匿名算法是比较通用的一种数据脱敏方法。K匿名的基本概念为解决链接攻击所导致的隐私泄露问题，引入k-匿名 (k-anonymity) 方法。k-匿名通过概括（对数据进行更加概括、抽象的描述）和隐匿（不发布某些数据项）技术，发布精度较低的数据，使得同一个准标识符至少有k条记录，使观察者无法通过准标识符连接记录。.

不经意传输(Oblivious Transfer，OT)是一个密码学协议，目前被广泛的应用于安全多方计算（SMPC，Secure Multi-Party Computation）。它由 Rabin在 1981 年提出，之后被广泛应用于多方安全计算等领域。1-out-of-N OT设A方有一个列表，B方选​​​​​​，B通过i从A列表中选择一个元素，但A不能得到关于i的信息，B也只能得到。如果 n=2，就是典型的 1-out-of-2 不经意传输协议。不经意传输OT一个简单的实施流...

秘密共享（Secret Sharing，SS）是1979年由Shamir和Blakey提出的，并在此之后40多年秘密共享被广泛认识和深入的研究。秘密共享著名的(t，n)阈值方案如图所示：设秘密s被分成n个部分，每一部分被称为一个子秘密并由一个持有者持有，并且大于等于t个参与者所持有的子秘密可以重构(Reconstruction)秘密s，而少于t个参与者所持有的子秘密无法重构秘密并且无法获得秘密s的任何信息。秘密共享方案的三种实现技术：基于超平面几何的秘密共享，包括Blakley方案和Bric

差分隐私（Differential privacy）最早于2008年由Dwork 提出，通过严格的数学证明，使用随机应答（Randomized Response）方法确保数据集在输出信息时受单条记录的影响始终低于某个阈值，从而使第三方无法根据输出的变化判断单条记录的更改或增删，被认为是目前基于扰动的隐私保护方法中安全级别最高的方法。差分隐私保护的是数据源中一点微小的改动导致的隐私泄露问题。比如有一群人出去聚餐，那么其中某人是否是单身狗就属于差分隐私。差分隐私，顾名思义就是用来防范差分攻击的，举个简单

布隆过滤器（Bloom Filter）是由布隆（Burton Howard Bloom）在1970年提出的。它实际上是由一个很长的二进制向量和一系列随机映射函数组成，布隆过滤器可以用于检索一个元素是否在一个集合中。它的优点是空间效率和查询时间都远远超过一般的算法，缺点是有一定的误识别率（假正例False positives，即Bloom Filter报告某一元素存在于某集合中，但是实际上该元素并不在集合中）和删除困难，但是没有识别错误的情形（即假反例False negatives，如果某个元素确实没有在该集

隐私集合求交(Private Set Intersection，PSI)是指，参与双方在不泄露任何额外信息的情况下，得到双方持有数据的交集。在这里，额外的信息指的是除了双方的数据交集以外的任何信息。隐私保护集合交集协议允许持有各自集合的两方来共同计算两个集合的交集运算。在协议交互的最后，一方或是两方应该得到正确的交集，而且不会得到交集以外另一方集合中的任何信息。保护集合的隐私性是在很多场景下是自然甚至是必要的需求，比如当集合是某用户的通讯录或是某基因诊断服务用户的基因组，或是在纵向联邦学习中做数据对

零知识证明概念零知识证明(Zero—Knowledge Proof)，是由S.Goldwasser、S.Micali及C.Rackoff在20世纪80年代初提出的。它指的是证明者能够在不向验证者提供任何有用的信息的情况下，使验证者相信某个论断是正确的。通俗的来讲，就是既证明了自己想证明的事情，同时透露给验证者的信息为“零”。零知识证明实质上是一种涉及两方或更多方的协议，即两方或更多方完成一项任务所需采取的一系列步骤。证明者向验证者证明并使其相信自己知道或拥有某一消息，但证明过程不能向验证者泄漏任

混淆电路（Garbled Circuit）是一种密码学协议，由姚期智教授在80年代针对安全计算所提出的概念。其效果就是，当几个通信方需要一起输入某些数据，然后通过同一个函数计算出一个结果。但是通信的各方都不希望其他人知道自己的输入是什么，此时利用混淆电路协议即可完成目的。在这里关键词是“电路”，实际上所有可计算问题都可以转换为各个不同的电路，例如加法电路，比较电路，乘法电路等。而电路是由一个个门（gate）组成，例如与门，非门，或门，与非门等。混淆电路里的多方的共同计算是通过电路的方式来实现，例如下

同态加密（Homomorphic Encryption）是很久以前密码学界就提出来的一个问题。早在1978年，Ron Rivest, Leonard Adleman, 以及Michael L. Dertouzos就以银行为应用背景提出了这个概念。其中Ron Rivest和Leonard Adleman分别就是著名的RSA算法中的R和A。同态加密是基于数学难题的计算复杂性理论的密码学技术。对经过同态加密的数据进行处理得到一个输出，将这一输出进行解密，其结果与用同一方法处理未加密的原始数据得到的输出结果是一

1.多方安全计算的价值MPC是密码学的一个重要分支，旨在解决一组互不信任的参与方之间保护隐私的协同计算问题，为数据需求方提供不泄露原始数据前提下的多方协同计算能力。在目前个人数据毫无隐私的环境下，对数据进行确权并实现数据价值显得尤为重要。MPC就是实现此目的的计算协议，在整个计算协议执行过程中，用户对个人数据始终拥有控制权，只有计算逻辑是公开的。计算参与方只需参与计算协议，无需依赖第三方就能完成数据计算，并且参与各方拿到计算结果后也无法推断出原始数据。2.多方安全计算的来源多方安全计算（MP