安全多方计算(MPC)协议允许互不信任的参与方在不泄露各自输入的前提下,共同计算输入的函数值。共识协议则允许互不信任的参与方就一个公共输出达成一致。本文综述了共识如何助力构建能够容忍更多腐败节点并具备更高安全性的MPC协议。研究人员阐述了在有共识机制支持和无共识机制支持两种情形下分别可以实现的MPC成果,并对这些结果背后的原理进行了直观阐释。
本文围绕共识机制对安全多方计算(MPC)可行性与安全性的影响展开系统性综述,全文分为引言、模型与预备知识、同步环境下的MPC与共识、异步环境下的MPC与共识以及结论五个部分,具体内容如下:
1 引言
安全多方计算(MPC)与分布式共识均起源于20世纪80年代。MPC旨在解决互不信任的参与方如何在保护隐私的前提下协作计算任意函数的问题,而共识则致力于解决分布式节点在存在故障或恶意行为时的状态一致性问题。本文的核心论点是:共识机制通过确保参与方对协议执行结果或关键事件达成一致,能够显著增强MPC的安全性,特别是在抵御敌手导致的协议中止攻击方面发挥关键作用。文章指出,在没有共识支持的情况下,MPC协议往往难以实现强安全属性,而共识的引入可以有效提升协议的腐败容忍阈值与安全等级。
2 模型与预备知识
设定 :系统包含n个参与方,其中最多t个参与方可能被腐化(也称为恶意或拜占庭节点)。所有腐化方由同一个中心化敌手控制,该敌手可根据腐化方的联合视图决定其行为策略。诚实方指未被腐化的参与方。通信模型分为同步网络与异步网络:同步网络中通信按轮进行,每轮开始时发送的消息会在该轮结束前送达;异步网络中消息可被任意延迟但最终会被送达。敌手被假设为计算有界的,即运行多项式时间算法,部分协议依赖公钥基础设施(PKI)等密码学假设,但也存在不依赖计算假设的完美安全协议,本文不做此区分。
MPC安全性 :MPC协议的目标是让各参与方在仅获知自身输入与函数输出y = f(x1 ,...,xn )的前提下完成计算,其安全性通过理想世界与现实世界的不可区分性来定义。根据输出交付保障的强度,安全性可分为多个层级:保证输出交付(GOD)要求所有参与方必定获得输出;公平性要求要么所有方获得输出,要么无人获得;中止安全性进一步细分为可识别中止(IA)、一致中止(UA)和选择性中止(SA)。其中,GOD > 公平性 > UA > SA,且GOD > IA > UA > SA,公平性与IA之间不可比较。本文主要关注通用函数的MPC协议,即同一协议可计算任意可计算函数。
3 共识与同步MPC
同步MPC中最常用的共识原语是广播。广播协议需满足一致性(所有诚实方输出相同消息)和有效性(若发送方诚实,则输出为其真实意图发送的消息)。广播的存在与否直接决定了MPC的安全边界:
• 在诚实多数(t < n/2)场景下,借助广播可实现GOD;若无广播,即使是IA也无法实现(当t ≥ n/3时,因广播本身不可行)。值得注意的是,当t < n/3时,无需额外假设即可实现广播,因此相关不可能性结果仅适用于t ≥ n/3的情形。公平性在诚实多数下无需广播即可实现。
• 在多数腐化(t ≥ n/2)场景下,借助广播可实现任意腐败容忍度的IA;若无广播,仅能实现UA。更强的公平性甚至GOD在t > n/2时均不可能实现。
结果背后的直觉 :GOD级别的MPC可直接实现广播(广播是GOD-MPC的特例),因此广播不可行的场景必然无法实现GOD-MPC。IA级别的MPC也可间接实现广播:通过反复运行带IA的PKI设置协议并剔除被识别的腐化方,最终可建立PKI,进而实现任意腐败阈值下的广播(针对计算有界敌手)。相反,公平性与UA可在无广播的场景下通过可检测广播构造,后者是一种放松了广播要求的原语,允许参与方在中止的同时保持公平性,从而将GOD降级为公平性、IA降级为UA。
两轮MPC中的广播轮数 :两轮是实现MPC的最小轮数。在多数腐化场景下,实现IA需要两轮均为广播轮,实现UA仅需一轮广播;在少数腐化场景下,实现GOD仅需第一轮为广播轮,实现IA仅需第二轮为广播轮。
无广播下的特定函数 :通用函数的MPC受限于上述不可能性结果,但针对特定函数(如某些布尔函数),即使在多数腐化且无广播的情况下,仍可能实现GOD。
4 共识与异步MPC
异步MPC中,共识主要用于就计算所需的输入集合达成一致。由于异步网络无法区分“腐化方沉默”与“诚实方慢速”,参与方无法等待所有方输入,只能收集至少n-t个输入。为避免不同参与方因接收的输入集不同而计算出不同结果,异步MPC引入异步共识子集(ACS)协议,其基于可靠广播与拜占庭共识等基础原语构建。每个参与方将其认为已提交输入的参与方集合提交给ACS,最终所有诚实方就一个包含n-t个参与方的集合达成一致,并基于该集合的输入进行计算。
异步网络的共识协议最多容忍t < n/3个恶意方,因此异步MPC的腐败容忍上限也为t < n/3。现有工作主要聚焦于在该限制下实现GOD,探索更弱安全属性以提升腐败容忍度是未来的重要研究方向。
5 结论
本文总结了共识(特别是广播)对MPC安全性的关键影响:在同步网络中,广播有助于在最优腐败阈值下实现GOD和IA,而公平性和UA可在无广播时实现;异步MPC则主要通过共识协议就输入集合达成一致,以实现GOD为目标。研究结果揭示了共识与MPC之间的深刻联系,为设计高效、安全的分布式协议提供了理论基础。
打赏
