Back to Home

Multi Party Computing với đồng cấu Paillier

Cryptography & Blockchain (24)

Trong kỷ nguyên số, dữ liệu là tài sản vô giá. Làm thế nào chúng ta có thể khai thác giá trị từ dữ liệu mà không làm lộ những thông tin nhạy cảm bên trong? Bài viết này mình xin giới thiệu Tính toán Đa bên Bảo mật (Multi-Party Computation - MPC)Mã hóa Đồng cấu (Homomorphic Encryption) như là một giải pháp.

Tính toán Đa bên Bảo mật (MPC) là gì?

Về cốt lõi, MPC là một lĩnh vực của mật mã học giải quyết bài toán sau:

Làm thế nào để một nhóm các bên (người, công ty, tổ chức) có thể cùng nhau tính toán một hàm số dựa trên các đầu vào riêng tư của họ, sao cho kết quả cuối cùng được tiết lộ cho mọi người, nhưng không một thông tin riêng tư nào bị rò rỉ trong suốt quá trình?

Ví dụ kinh điển là "Bài toán Lương trung bình": An, Bình, và Chi muốn biết mức lương trung bình của cả ba, nhưng không ai muốn nói cho người khác biết mình kiếm được bao nhiêu. MPC chính là giao thức cho phép họ tìm ra con số trung bình mà vẫn giữ kín tuyệt đối thu nhập cá nhân.

Mã hóa đồng cấu cộng tính Paillier

Hệ mã Paillier là một hệ mã bất đối xứng nổi tiếng với một đặc tính cực kỳ hữu ích: Tính đồng cấu cộng (Additively Homomorphic).

Tính chất này có thể được mô tả bằng một công thức kỳ diệu:

Nếu bạn có bản mã của hai thông điệp m1, m2 ký hiệu là E(m1) E(m2), bạn có thể nhân hai bản mã này lại với nhau để có được bản mã tổng của hai số đó

E(m1).E(m2)=E(m1+m2)E(m_1).E(m_2) = E(m_1+m_2)

Đây chính là chìa khóa để giải quyết bài toán tính lương trung bình. Mọi người sẽ mã hóa lương của mình, gửi các bản mã đến một nơi để nhân lại với nhau, và kết quả sẽ là bản mã của tổng lương, sẵn sàng để được giải mã.

Quy trình mã hóa Paillier

  1. Chọn hai số nguyên tố p,qp,q

  2. Tính n=pqn=pq

  3. Tính λ\lambda là bội số chung nhỏ nhất của (p1),(q1)(p-1), (q-1), nghĩa là λ=lcm(p1,q1)\lambda = lcm (p-1,q-1). Trường hợp đơn giản: λ=(p1)(q1)\lambda=(p-1)(q-1)

  4. Chọn gg: Một cách chọn đơn giản và phổ biến là g=n+1g=n+1

  5. Tính μ\mu: được tính bằng μ=(L(gλ(modn2)))1(modn)\mu = (L(g^{\lambda} \pmod{n^2}))^{-1} \pmod{n}, trong đó L(x,n)=(x1)/nL(x,n) = (x-1)/n

  6. Khóa công khai (n,g)(n,g), khóa bí mật (λ,μ)(\lambda, \mu)

Mã hóa

Để mã hóa một thông điệp mm thành bản mã CC

  1. Chọn số ngẫu nhiên 0<r<n0<r<n

  2. Tính bản mã C=gm.rn(modn2)C = g^m.r^n (\bmod n^2)

Sự tồn tại của rr nhằm đảm bảo mỗi lần mã hóa cùng một tin nhắn mm sẽ tạo ra một bản mã CC khác nhau.

Giải mã

Để giải mã, ta tính m=L(Cλ(modn2)).μ(modn)m = L(C^\lambda (\mod n^2)). \mu (\mod n)

Bàn luận về công thức giải mã

  • Bản mã: c=gmrn(modn2)c = g^m \cdot r^n \pmod{n^2}

  • Khóa bí mật: λ=lcm(p1,q1)\lambda = \text{lcm}(p-1, q-1), μ=(L(gλ(modn2)))1(modn)\mu = (L(g^{\lambda} \pmod{n^2}))^{-1} \pmod{n}

  • g=n+1g=n+1

Như vậy:

(1+n)m=(m0)1m+(m1)1m1n+(m2)1m2n2+(1+n)^m = \binom{m}{0} \cdot 1^m + \binom{m}{1} \cdot 1^{m-1} \cdot n + \binom{m}{2} \cdot 1^{m-2} \cdot n^2 + \dots

Khi tính theo (modn2)\pmod{n^2}, tất cả các số hạng chứa n2,n3,n^2, n^3, \dots đều bằng 00. Do đó:

(1+n)m1+mn(modn2)(1+n)^m \equiv 1 + m \cdot n \pmod{n^2}

Tiếp tục, đối với thành phần rn(modn2)r^n \pmod {n^2} ta có

rλ1(modn)r^\lambda \equiv 1 \pmod n

Theo định lý Carmichael (một dạng mở rộng của định lý Fermat nhỏ), với mọi rr nguyên tố cùng nhau với nn và , thì rλ1(modn)r^\lambda \equiv 1 \pmod n:

rnλ1(modn2)r^{n\lambda} \equiv 1 \pmod {n^2}

Đây là một tính chất nâng cao của nhóm nhân Zn2\mathbb Z^*_{n^2}

Tiếp tục, tính cλ(modn2)c^{\lambda} \pmod {n^2}:

cλ=(gmrn)λ=gmλrnλ(modn2)c^\lambda = (g^m \cdot r^n)^\lambda = g^{m\lambda} \cdot r^{n\lambda} \pmod{n^2}

Áp dụng các kết quả thu được ta có:

  • gmλ=(1+n)mλ1+mλn(modn2)g^{m\lambda} = (1+n)^{m\lambda} \equiv 1 + m\lambda n \pmod{n^2}

  • rnλ1(modn2)r^{n\lambda} \equiv 1 \pmod{n^2}

Vậy:

cλ(1+mλn)11+mλn(modn2)c^\lambda \equiv (1 + m\lambda n) \cdot 1 \equiv 1 + m\lambda n \pmod{n^2}

Xét hàm L(u)=u1n\displaystyle L(u) = \frac {u-1} n với L(cλ(modn2))L(c^\lambda \pmod{n^2}) ta có:

L(cλ(modn2))=(1+mλn)1n=mλnn=mλ(modn)L(c^\lambda \pmod{n^2}) = \frac{(1 + m\lambda n) - 1}{n} = \frac{m\lambda n}{n} = m\lambda \pmod n

Tương tự:

L(gλ(modn2))=L((1+n)λ)=(1+λn)1n=λ(modn)L(g^\lambda \pmod{n^2}) = L((1+n)^\lambda) = \frac{(1+\lambda n)-1}{n} = \lambda \pmod n

μ=(L(gλ(modn2)))1(modn)\mu = (L(g^{\lambda} \pmod{n^2}))^{-1} \pmod{n}, do đó:

m=L(Cλ(modn2)).μ(modn)m=L(cλ(modn2))[L(gλ(modn2))]1μ(modn)m=(mλ)(λ)1m(modn)m = L(C^\lambda (\mod n^2)). \mu (\mod n)\\ m = L(c^\lambda \pmod{n^2}) \cdot \underbrace{\left[ L(g^\lambda \pmod{n^2}) \right]^{-1}}_{\mu} \pmod n \\ m = (m\lambda) \cdot (\lambda)^{-1} \equiv m \pmod n

Đây là lý do tại sao công thức giải mã lại như vậy.

Loại bỏ người thứ ba, không ai được cầm khóa bí mật

Trong quy trình cơ bản trên, có một điểm yếu: người nắm giữ Khóa Bí mật có thể giải mã mọi thứ. Để xây dựng một hệ thống thực sự an toàn, chúng ta cần phân tán khóa thành nhiều phần.

Tạo Khóa Phân tán (Distributed Key Generation - DKG)

Thay vì một người tạo và giữ toàn bộ Khóa Bí mật, tất cả các bên sẽ cùng tham gia vào một giao thức:

  1. Tạo ra một Khóa công khai (n,g)(n,g) chung cho cả nhóm

  2. Phân chia Khóa bí mật. Ví dụ, λ\lambda sẽ được chia ra thành các "mảnh" s1,s2,s_1,s_2,\dots sao cho λ=s1+s2+\lambda=s_1+s_2+\dots mỗi người sẽ chỉ giữ khóa sis_i của riêng mình và không hề biết các mảnh của người khác.

Lúc này không một cá nhân nào có đủ thông tin để tự mình giải mã.

Giải mã Ngưỡng (Threshold Decryption)

  1. Tính toán trên bản mã: Giống như trước, các bản mã của từng người (C1,C2,)(C_1, C_2, \dots) được nhân lại với nhau trong không gian công khai để có được bản mã của tổng: Csum=C1C2C3(modn2)C_{sum} = C_1 \cdot C_2 \cdot C_3\cdot \dots \pmod{n^2}

  2. Giải mã cục bộ: Mỗi người thứ ii sẽ lấy bản mã tổm CsumC_{sum} và dùng mảnh khóa bí mật sis_i của mình để tính một "mảnh giải mã cục bộ" PDi=Csumsi(modn2)PD_i = C_{sum}^{s_i} (\mod n^2)

Kết hợp để giải mã: Các mảnh giải mã cục bộ này được công khai và nhân lại với nhau. Phép toán này có một kết quả toán học rất đẹp:

T=PD1.PD2.PD3.(modn2)T=(Csums1).(Csums2).(Csums3).(modn2)T=(Csums1+s2+s3+)=Csumλ(modn2)\begin{align*} T &= PD_1.PD_2.PD_3. \dots (\bmod n^2)\\ T &= (C_{sum}^{s_1}).(C_{sum}^{s_2}).(C_{sum}^{s_3}). \dots (\bmod n^2) \\ T &= (C_{sum}^{s_1+s_2+s_3+\dots}) \\ &= C_{sum}^\lambda (\bmod n^2) \end{align*}

Giá trị TT chính là Csumλ(modn2)C_{sum}^{\lambda} \pmod{n^2} là bước tính toán cốt lõi trong công thức giải mã Paillier. Từ đây, bất kỳ ai cũng có thể áp dụng các bước cuối cùng của công thức giải mã để tìm ra tổng lương cuối cùng.

Bằng cách này, "bí mật" về tổng lương đã được tính toán thành công mà không một cá nhân nào có đủ quyền năng để xem trộm dữ liệu riêng tư của người khác. Đây chính là bản chất của một hệ thống MPC an toàn và không cần tin tưởng.

Demo

More from Cryptography & Blockchain

Comments

0/300

Leave name/email blank to comment anonymously

No comments yet. Be the first to comment!