VOLE+OKVS的PSI技术落地应用

学习&转载文章：技术创新〡VOLE+OKVS的PSI技术落地应用

神谱科技基于VOLE+OKVS设计了两方PSI和多方PSI协议，并已应用于Seceum系列隐私计算产品中。

Seceum并无开源。

多方PSI

隐私集合求交(Private Set Intersection, PSI)允许一组互不信任的私有集拥有方共同计算私有集的交集，各私有集拥有方除获得交集外得不到任何额外信息。目前PSI的研究在保证集合隐私性和协议正确性上取得了巨大的成功，但将PSI协议部署在实际应用场景中仍存在大量有待优化的地方。我们不仅需要实现PSI的理想功能，还需要考虑PSI协议的高效性和实用性。

图1：隐私集合求交协议四要素

两方PSI协议通过对安全框架(公钥、不经意传输扩展（OTE）、伪随机相关生成器（PRF）)和数据打包技术(多项式（PE）、PaXoS、OKVS)的更新使得协议的性能得到了突破性提升。最高效的PSI协议在\(2^{20}\)规模的数据集下运行时间仅需0.37s，通信开销仅为集合大小的187倍。两方PSI协议已部署于一些实际应用场景，例如隐私联系人查找、在线广告效益等。然而在实际应用场景中各隐私保护应用程序更希望多参与方，有些厂商通过参与方两两调用两方PSI协议计算多方交集，虽然合规且高效但违背了隐私集合求交的第二要素“隐私性”。

多方PSI的隐私性要求各个参与方仅能获得参与方共同的交集结果，而不能获得其它任何额外的隐私信息。显然，两两求交的方式暴露了更多的额外信息从而破坏了多方PSI的隐私性。神谱科技首先调研了现有的多方PSI协议发现，早期的多方PSI协议由于通信轮数多、通信负载高、参与方合谋、网络结构复杂等问题导致多方PSI协议难以实际部署应用。最近学者们提出通过指定中心方（leader方）的星型网络结构使得通信轮数仅为常数轮,通信负载和计算开销仅和最大集合大小呈线性关系，实现了针对百万数据集高效且实用的的多方PSI协议。

图2：隐私集合求交示范图

问题

• 指定方（leader方）往往是具有高存储和计算性能的服务器，其他方是通信和计算能力受限的终端设备，而现有高效的多方PSI协议要求每一个终端设备执行与服务器集合大小呈线性的繁重的密集计算和通信开销。（即要求每一方都能进行密集计算和高存储）
• 现有多方PSI协议要求参与方的集合大小相似不能很好的转化为参与方的集合大小相差悬殊的情况。（即只有交集大的时候求交效率更高！）
• 多方PSI协议允许参与方共同计算交集，最终在计算结束时一方获得交集或多方获得交集，除了交集外什么也得不到。但以上多方PSI协议仅中心方获得交集结果，无法实现多方获得交集结果，即无法实现一个公平的多方PSI协议(公平PSI协议：如果一方得到交集，那么其他参与方也应该得到交集)（即leader方获取交集后，再告知其他方）
• 以上多方PSI协议的通信轮数较高，意味着实际部署应用时因网络带宽条件限制而面临极大的挑战，甚至无法真正部署应用。

方法

针对以上问题，通过对现有技术的深入调研和公开代码的实验性对比，最终选择伪随机生成器(PCG\VOLE)作为加密原语，矩阵-不经意键值对存储(OKVS)作为数据打包技术，并对上述VOLE的代码进行了深度优化，首次实现极其高效的OKVS代码。通过剖析VOLE的特性结合OKVS，设计了两种高效的多方PSI协议以解决上述发现的问题，即简洁性多方PSI（Laconic MP-PSI）和公平性多方PSI（Fairness MP-PSI）。

Laconic MP-PSI：（指定方获得交集）和多个小输入集的参与方执行多方PSI协议，指定方除得到多方交集结果外无法获得任何额外信息，参与方无法获取任何额外信息。同时，指定方和参与方的交互轮数仅两轮通信，参与方的通信和计算开销仅与自己的输入集合大小相关而非与指定方的输入集合大小相关。神谱科技构建了第一个简洁性多方PSI协议（Laconic MP-PSI），是第一个实现仅需要两轮通信的多方PSI协议，且总的通信开销和计算量仅和客户端的集合大小有关而与服务器的集合大小无关。实验对比Laconic MP-PSI协议无论在通信轮数、通信开销还是运行时间上都优于现有公开的多方PSI协议。

Fairness MP-PSI：（多个参与方获得交集）结果而非仅指定方获得交集结果。其更符合真实的应用场景，并且和最先进的MP-PSI协议具有同等通信轮数、通信量以及计算开销。

主要工作：

1、设计一种新的密码学组件：密钥同态PPRF，该组件满足\(F_{k_1+k_2}(x)=F_{k_1}(x)+F_{k_2}(x)\)，并证明其安全性。

真会起名～

2、提出了第一个Laconic MP-PSI协议,只需要两轮通信。总的通信开销和工作只和客户端的集合大小有关而和服务器的集合大小无关。Laconic PSI在工业界更具欢迎，具有百万数据集的服务器和多个资源受限的小集合的客户端学习它们的交集，不可能进行多轮交互，通信复杂度也不与大集合的大小相关。每一方仅需LPN扩展计算一次即可。

LPN问题？

3、提出了第一个Fairness MP-PSI协议,所有客户端均可获得交集结果，保持和最先进的MP-PSI协议同等通信和计算开销实现公平的求交协议。每一方仅需LPN扩展计算一次即可。

4、基于C++实现了MP-PSI协议，并给出了与现有MP-PSI协议的通信和运行时间比较。SeceumFL v3.0是业界第一个将基于VOLE+OKVS的多方PSI协议应用在产品中的联邦学习系统。

以上改进没找到对应论文～

参考论文

1、VOLE-PSI: Fast OPRF and Circuit-PSI from Vector-OLE-2021

2、Efficient Linear Multiparty PSI and Extensions to Circuit/Quorum PSI-2021

3、Efficient Scalable Multi-Party Private Set Intersection Using Oblivious PRF-2021

4、Efficient Scalable Multiparty Private Set-Intersection via Garbled Bloom Filters-2018

5、Practical Multi-party Private Set Intersection from Symmetric-Key Techniques-2017

6、PSImple: Practical Multiparty Maliciously-Secure Private Set Intersection-2021

7、Scalable Multi-Party Private Set-Intersection-2017

8、Simple, Fast Malicious Multiparty Private Set Intersection-2021

9、PSI from PaXoS: Fast, Malicious Private Set Intersection-2020