技术前沿丨日本研究人员开发出了新数据加密方法？

Original 开放隐私计算开放隐私计算 2024-01-09

近日，英国老牌科技杂志《ComputerWeekly》上登了一篇文章《Japan researchers develop new data encryption method》，日本研究人员开发出了新的数据加密方法？

点进去一看信息源于IEEE Access第10卷上发表的一项研究（https://ieeexplore.ieee.org/document/9950474），日本东京理科大学的Keiichi Iwamura教授和助理教授 Ahmad A. Aminuddin发布了一种新的数据处理方法，可以比传统方法更快、成本更低地对加密数据进行计算，同时提高安全性。

仔细看了这篇论文，发现它属于众多密码技术里基于秘密共享的一种创新，既然有基于SS的，那么肯定也有基于同态加密的，甚至两者结合的创新和实践。

本文将针对这三个方向的创新实践做个简单的盘点。

01现有的技术和挑战

在数字时代，我们每天都在和数据打交道，这些数据在个人设备和云端之间不断流转，驱动着各种各样的业务，也驱动着我们的生活。不过，随着隐私和安全越来越受到人们的重视，安全且高效的处理这些数据也在变得越来越重要，自然解决这个问题的技术也正在不断被关注。目前能够用于计算敏感数据同时，还能保护隐私的密码技术主要有两种——同态加密和秘密共享。同态加密（HE）允许在密文上执行计算，而不需要解密数据。这意味着，即使攻击者获得了密文，他们也无法访问原始数据或计算结果。它主要涉及在单个服务器上对加密数据执行计算，所以虽然方法简单明了，但计算量会很大。而且如果由单个组织管理服务器，则当所需数量的数据落入攻击者手中时，数据泄露的风险更高。秘密共享（SS）是指将一个秘密信息(例如一个口令)分成多个部分，分配给多个参与方，只有当一定数量的参与方合作才能够重构出原始秘密信息。这种方法看起来速度快且计算效率高，因为加密数据或秘密输入被分割并分布在多个服务器上，每个服务器对其数据片段执行计算（例如乘法），最后使用计算结果重建原始数据。但不同的服务器相互通信需要一个快速通信网络，这个网络的部署也就成为了一个难题。这就引出了一个重要的问题：有没有一种方法可以在计算和通信之间达成一个折衷呢？

02
不同方向的探索
从两种技术出现到现在的几十年里，各种优化技术不断出现，大家都在做这方面的尝试，每一家都有各自的结合思路，有具体场景下的技术组合，也有单纯技术理论上进行突破。有从同态加密出发不断做出的技术优化，也有从秘密共享方向做出的创新，还有想要兼具两者优势的实践。
01 同态加密方向

同态加密技术经过近几十年的发展，从最开始的半同态方案到全同态方案陆续提出，更好地满足不同应用场景的复杂计算需求，但由于计算资源开销太大，计算效率问题仍然是目前限制其在实际场景中大规模应用的重要因素。半同态加密能够高效计算，并能支持无限次加法或乘法，目前在隐私计算技术方案中应用较为广泛，成为隐私计算的一个重要基础组件，可辅助完成多种隐私计算功能，例如隐私保护的数据聚合、秘密共享中乘法三元组生成、构造不经意传输协议等特定的隐私保护协议、门限签名、隐私集合求交等。但同时半同态加密因为只支持加法或乘法单一计算，较难实现复杂算法，应用面受限。某些场景虽然通过泰勒展开等方式逼近某个函数来实现复杂计算，但会造成计算精度的损失和计算效率的降低。而全同态加密能够同时支持无限次的加法和乘法，因而能够支持任意的函数更好满足多样性应用场景需求，但全同态加密目前的实现路径主要基于自举，普遍存在效率低的问题，使得全同态加密几乎无法在实际生产环境应用。近年来，学术界致力于研究从密码学层面提高同态加密的效率，例如针对全同态的自举效率问题，AlperinSheriff和Peikert提出的利用对称群和置换矩阵构造快速自举一个比特的同态加密方案，Ducas和Micciancio将该技术扩展到环上实现性能的进一步提升等。虽然目前通过算法优化，同态加密的性能有了很大的优化，但同态加密的计算复杂度仍然很高，与明文的操作仍有很大的性能差异，性能优化仍有很大的提升空间。与此同时，在产业界除了通过秘密学技术的优化来提升同态加密的性能，也在尝试通过与硬件结合的方式进行加速，以尽快提升同态加密在不同应用场景的可用性。同态加密通过密码学技术以密文的方式进行计算，不可避免地引入大量的计算开销，面对大数据量的应用场景，传统的CPU的计算能力难以满足实际应用的高性能要求，而FPGA是可以根据需求对底层电路结构进行设计更新的芯片，通过使用FPGA内部逻辑资源构建计算电路，例化大量计算引擎，可以提高计算并发度，实现指定算法的加速计算。目前，产业界已经研究基于FPGA的同态加密加速方案来大幅度提高计算效率，并已取得显著成果，能够提升5倍以上的同态加密计算性能。
02秘密共享方向

近期东京理科大学的这个论文，就是一次在秘密共享方向上进行多种技术融合的尝试。东京理科大学的 Keiichi Iwamura 和 Ahmad Aminuddin 设计的这种新的计算方法，所有计算都可以在单个服务器上执行，而不需要大量的计算能力。这个方法利用可信第三方（Trusted Third Party，简称TTP ）提出了一种安全计算方法，使用了( k , n ) 门限秘密共享。( k , n ) 门限秘密共享将秘密信息分成n份无意义的子秘密，只有拥有至少k份子秘密才能恢复秘密信息，有效提升了安全性。

这种方法允许对加密数据进行分散计算的同时，仍然在单个服务器上执行。TTP生成一些随机数用作掩码，数据方利用掩码加密后发送给服务器，服务器通过和TTP交互来完成计算，这样所有的计算都集中在了服务器端。不过服务器和TTP交互这一步仍然存在安全隐患，所以研究人员也提出可以用可信执行环境 (TEE) 代替 TTP 的作用，用 CPU 中的 TEE 替换 TTP 来消除这种隐患。这个方案是东京理科大学基于秘密共享的一次创新，不过随机数加密本质上还是简单的一次一密的模式，在应用上会有所局限，特别是对于计算函数的选择上，限制会很多。
03 同态加密+秘密共享

基于HE的技术，通常计算量比较大，通信量稍微小一些；而基于SS的技术，计算量较小，而通信量很大。因此，将两者结合达到计算和通信的折衷平衡，成为了另一个主流的思路。比如来自阿里安全双子座实验室的洪澄博士团队近期也有一篇论文《Cheetah: Lean and Fast Secure Two-Party Deep Neural Network Inference》。他们通过仔细设计DNN, 基于格的同态加密、VOLE类型的不经意传输和秘密共享, 提出了一个2PC-NN推理系统Cheetah, 比CCS'20的CrypTFlow2开销小的多, 计算效率更快, 通信效率更高。主要优势：

基于格的同态加密的协议可在不进行任何昂贵同态rotation操作的情况下评估线性层;
提出了非线性函数的几个精简且通信高效的原语.

这个方案在ResNet50神经网络下在WAN进行端到端安全推理需要不到2.5分钟和2.3G通信量, 分别优于CrypTFlow2约5.6倍和12.9倍。

03
未来的方向
随着近年来国内外对数据安全和隐私保护的需求越来越高，同态加密技术正在进行不断优化和突破，开始走向商用阶段，在云计算和隐私计算等场景中被逐步应用。实现密文间的多种计算功能，对于保护敏感数据跨域计算过程的安全具有重要意义。
在金融、医疗、政务等跨机构间的联合查询、联合统计、联合建模、联合预测等多种落地场景下。同态加密技术的应用正在不断被更新和优化，同时也应用于联邦学习、隐匿查询、安全求交等技术方案作为一个底层支撑密码学技术组件，满足更广泛的多样性应用需求，扩展到更大、更复杂的实际业务场景范围。所以同态加密技术的性能提升这条路，还需要更多的人，更多的创新出现。未来会有多种可能：