引言——密碼學(xué)發(fā)展簡史

談隱私計算，繞不開密碼學(xué)。

關(guān)于保密的需求，最早可以追溯到約公元前1500年的美索不達米亞。那時，人們主要使用筆和紙，或簡單的機械輔助工具來進行加密。

密碼棒——一種早期的加密工具[1]

這個階段，一般稱之為經(jīng)典密碼學(xué)，或古典密碼學(xué)。

古典密碼學(xué)

“

如果需要保密，信中便用暗號，也即是改變字母順序，使局外人無法組成一個單詞。如果想要讀懂和理解它們的意思，得用第4個字母置換第一個字母，即以D代A，余此類推。 ——蘇維托尼烏斯，羅馬十二帝王傳

凱撒密碼[2]

其中比較有特點的，就是以凱撒密碼為代表的換位加密。這類密碼通常易于破解，以維吉尼亞密碼為代表的多表置換密碼出現(xiàn)，大幅降低了被頻率分析和攻擊的風(fēng)險。

凱撒密碼在一次加密中的的偏移量是相同的，比如都是A->D，B->E，偏移量固定為3，而維吉尼亞密碼的偏移量需要查表來決定。

 

比如明文是： ATTACKATDOWN

密鑰采用一個單詞不斷重復(fù)組成，比如 LEMON

密鑰長這樣： LEMONLEMONLE

整個加密過程，看明文第一個字母A，對應(yīng)密鑰第一個字母L，那我們就查L行的A列，得到密文L；第二個字母T，對應(yīng)密鑰第二個字母E，那就查E行的T列，得到密文X；第三個字母T，對應(yīng)密鑰第三個字母M，那就查M行的T列，得到密文F，以此類推。

我們可以得到密文： LXFOPVEFRNHR

近代密碼學(xué)

進入20世紀，復(fù)雜機械和電動機械被發(fā)明出來，更有效和復(fù)雜的加密方法應(yīng)運而生。

最有代表性的，就是圖靈領(lǐng)銜破解的Enigma密碼機。

 

Enigma密碼機[3]

Enigma的核心原理仍然是多表替代，只不過借助機械使得這個過程半自動化，更加高效。

并且，三個轉(zhuǎn)子、不同方向、不同相對位置、連接板上的字母換序等多種條件組合之下，共有一億億種可能性（沒寫錯，一億億）。

在圖靈破譯Enigma之前，雷耶夫斯基首次將嚴格的數(shù)學(xué)化方法應(yīng)用到密碼破譯領(lǐng)域，他領(lǐng)銜的波蘭三杰破解了大量德軍密碼，成為圖靈偉大成就的基礎(chǔ)。

 

現(xiàn)代密碼學(xué)

19世紀40年代，現(xiàn)代信息學(xué)之父香農(nóng)的《密碼學(xué)數(shù)學(xué)理論》被認為是開啟了現(xiàn)代密碼學(xué)時代。

我在香農(nóng)的維基百科詞條里，還發(fā)現(xiàn)他和圖靈曾經(jīng)有過一段夢幻聯(lián)動。

“

1943年，香農(nóng)有機會和英國數(shù)學(xué)家和密碼學(xué)家艾倫·圖靈合作。圖靈被派到華盛頓和美國海軍交流破譯德國的北大西洋潛艇艦隊密碼的成果，并在貝爾實驗室待了一段時間。香農(nóng)和圖靈在一個自助餐廳見面。圖靈向香農(nóng)介紹了現(xiàn)在被稱為“通用圖靈機”的概念。香農(nóng)對此很感興趣，因為圖靈機的概念和香農(nóng)自己的很多想法相吻合。

 

隨后，香農(nóng)證明了一次性密鑰（cryptographic one-time pad）是無法被破譯的。香農(nóng)同時證明了一個無法被破譯的密碼系統(tǒng)的密鑰必須有以下特征：完全隨機；不能重復(fù)使用；保密；和明文一樣長。 [4]

1976年 Diffie 和 Hellman 的公鑰密碼的思想提出，是現(xiàn)代密碼學(xué)的里程碑。兩位也在2015年因為提出公鑰密碼思想獲得圖靈獎。

 

公鑰密碼學(xué)也就是非對稱密碼學(xué)，在此之前，加密和解密一直使用同一個密鑰（即對稱加密）。

對稱加密的問題在于，私鑰一旦暴露，密文就不再安全，而假想一個場景，A和B想要針對一段文字進行加密，則必須把密鑰通過不安全的通道進行傳輸。

當(dāng)然，可以通過迪菲赫爾曼秘鑰交換協(xié)議（沒錯，也是上面兩位發(fā)明的）來交換私鑰，但是仍然有可能被中間人攻擊獲取秘鑰。

非對稱加密由于可以傳輸公鑰，在傳輸密鑰環(huán)節(jié)更加安全，但是由于算法更加復(fù)雜，運算效率比對稱加密要低。

有了非對稱加密的基礎(chǔ)，現(xiàn)代密碼學(xué)開始飛速發(fā)展。

時間來到1982年，姚期智院士提出了著名的百萬富翁問題，開創(chuàng)了多方安全計算這一密碼學(xué)的新分支。

多方安全計算

億萬富翁Alice和Bob，想知道誰更有錢，但是又不想暴露自己具體有多少資產(chǎn)，應(yīng)該怎么辦呢？

這就是百萬富翁問題。一般而言，最佳解法是通過不經(jīng)意傳輸。

不經(jīng)意傳輸（Oblivious Transfer）

我和張三打牌，但是我牌技不佳，總是輸，為了讓游戲更公平一點，我可以看張三一張牌的大小，但是我不想讓張三知道我看的是哪一張，不然他可以有選擇的出那張牌，導(dǎo)致我還是輸。

這時，我們就可以通過不經(jīng)意傳輸?shù)姆椒ǎ瑏磉_到我看了一張牌，但是張三不知道我看的是哪張這個效果。

實用中，常常簡化為1-2不經(jīng)意傳輸，即發(fā)送者發(fā)送2條消息給接受者，接收者只得到其中一條，但發(fā)送方并不知道接收者得到了哪一條。

假設(shè)Alice有兩個密文m0和m1（兩張牌），Bob想獲取其中一個。

1. Alice生成兩個RSA公私鑰對，將兩個公鑰p0和p1發(fā)給Bob；
2. Bob生成一個隨機數(shù)，并用p0或p1中的任一個加密這個隨機數(shù)（想要m0就用p0，要m1就用p1)，并將密文結(jié)果發(fā)送給Alice；
3. Alice用p0和p1對應(yīng)的私鑰分別解開密文，得到兩個結(jié)果k0和k1，注意，其中一個就是Bob真正的隨機數(shù)，另一個不是，但是Alice不知道哪一個才是。拿到k0和k1后，用k0和m0進行異或，用k1和m1異或，得到e0,e1，發(fā)送給Bob；
4. Bob用之前生成的隨機數(shù)，分別于e0和e1進行異或，其中一條就是Alice的密文，另一條則是一個無意義的隨機數(shù)。[5]

有點繞？繼續(xù)看：我們假設(shè)Bob想要的是m0，他用p0加密了隨機數(shù)x，得到p0(x)。

Alice用p0的私鑰解開這個數(shù)，就得到了x，然后與m0異或，得到e0=m0⊕x，以及另一個隨機數(shù)和m1異或的結(jié)果，發(fā)給Bob。

Bob拿到了e0和e1，和自己之前的隨機數(shù)x異或，x⊕e0 = x ⊕ m0 ⊕ x = m0，這樣，他就拿到了m0。

那我們?nèi)绾斡貌唤?jīng)意傳輸來解決百萬富翁問題呢？

這里數(shù)據(jù)玩家來簡化一下問題，假設(shè)兩人的資產(chǎn)都在億級別，但是又不超過十億。

Alice取十個一模一樣的盒子，按1~10的順序排好，但是不能做記號，代表1~10億，按照自己的資產(chǎn)規(guī)模分別往里面放入黑桃，紅心和方塊花色的撲克牌（撲克牌都用A）。

如果盒子編號小于自己的資產(chǎn)規(guī)模，則放入黑桃，如果相等，則放入紅心，如果編號大于自己的資產(chǎn)規(guī)模，則放入方塊。

把十個盒子都加鎖，并且交給Bob；

Bob根據(jù)自己的資產(chǎn)規(guī)模，選擇其中一個箱子加上自己的鎖，并把其他箱子都銷毀。

最后，Bob把這個雙重加鎖的箱子給回Alice。

Alice拿到箱子，不知道這具體是哪一個箱子，因為沒有編號。

兩人分別開鎖，看里面的撲克牌花色，如果是黑桃，說明Alice更加富有，紅心，兩人相等，方塊，則Bob更加富有。[6]

當(dāng)然，兩人的資產(chǎn)規(guī)模不太可能是整數(shù)，如果正好相等，可以再比千萬級的資產(chǎn)，只要不斷重復(fù)上述過程即可。

這樣，通過不經(jīng)意傳輸，我們就實現(xiàn)了多方安全計算，即數(shù)據(jù)的可用不可見。

隱私計算發(fā)展現(xiàn)狀

隱私計算到底是什么

隱私計算是多種技術(shù)的統(tǒng)稱，目的是為了讓多個數(shù)據(jù)擁有者，在不暴露數(shù)據(jù)本身的前提下，實現(xiàn)數(shù)據(jù)的共享、互通、計算、建模，最終產(chǎn)生超出自身數(shù)據(jù)的價值，同時保證數(shù)據(jù)不泄露給其他參與方。

一圖看懂隱私計算發(fā)展[7]

隱私計算是一套復(fù)雜的技術(shù)體系，包含了硬件、密碼學(xué)、分布式機器學(xué)習(xí)等多種底層技術(shù)。

目前大家基本的共識，是隱私計算包含三大技術(shù)路線，即：可行執(zhí)行環(huán)境TEE，多方安全計算MPC，以及聯(lián)邦學(xué)習(xí)FL。

隱私計算技術(shù)棧[8]

隱私計算賽道為何突然火熱？

其核心是數(shù)字經(jīng)濟的發(fā)展，數(shù)據(jù)要素重要性的確立和數(shù)據(jù)基礎(chǔ)設(shè)施、數(shù)據(jù)法律法規(guī)、數(shù)據(jù)交易生態(tài)不夠完善之間的矛盾導(dǎo)致的。

究其原因，在于數(shù)據(jù)擁有方對于數(shù)據(jù)不能給，不敢給，不愿給。

不能給

政府機構(gòu)、醫(yī)院、中小金融機構(gòu)，基礎(chǔ)設(shè)施不夠完善，信息化還沒有做好，業(yè)務(wù)還沒有數(shù)據(jù)化，數(shù)據(jù)沉淀還不夠多。

哪怕已經(jīng)有一些數(shù)據(jù)，但分布于不同的部門，存儲于不同的基礎(chǔ)架構(gòu)，手工臺賬和Excel并存，更不用談數(shù)據(jù)治理、規(guī)范、標(biāo)準(zhǔn)和數(shù)據(jù)打通及數(shù)據(jù)服務(wù)了。

近幾年，多方面因素的共同作用下，現(xiàn)狀已經(jīng)有所改善。

不敢給

基礎(chǔ)設(shè)施具備以后，又迎來了越來越嚴格的合規(guī)和監(jiān)管，個人隱私保護等法規(guī)的逐步健全，也使得原來那種野蠻生長的，明文傳輸?shù)拿魑膫鬏攤€人隱私數(shù)據(jù)的商業(yè)模式漸漸的行不通了。

 

怎么給才合規(guī)，怎么拿才合規(guī)，太多的反面案例讓大家有點畏首畏尾，寧可少做，不可做錯。

而隱私計算，正是讓大家敢于進行數(shù)據(jù)共享和交易的一劑良藥。

不愿給

大家都意識到數(shù)據(jù)的重要性，所以把數(shù)據(jù)看作自己最重要的資產(chǎn)，不愿意和其他機構(gòu)分享數(shù)據(jù)。

別說其他機構(gòu)了，就是在某些金融機構(gòu)內(nèi)部，不同部門之間的數(shù)據(jù)想要打通也得費一番功夫。

隱私計算的核心。能力在于讓數(shù)據(jù)可用不可見，讓數(shù)據(jù)不動模型動。

希望能夠讓各方在數(shù)據(jù)不離開本地數(shù)據(jù)庫的前提下，完成數(shù)據(jù)的交互，碰撞和建模。

所以，隱私計算在數(shù)據(jù)基礎(chǔ)設(shè)施逐漸完善，解決大家不能給的前提下，一方面保護了傳輸?shù)臄?shù)據(jù)的私密性，解決大家不敢給的困境，另一方面保護了數(shù)據(jù)所有機構(gòu)的資產(chǎn)安全，打消大家不愿給的顧慮，是兼顧當(dāng)下解決數(shù)字經(jīng)濟發(fā)展和隱私保護的最佳方案。

隱私計算發(fā)展痛點

產(chǎn)品和技術(shù)不夠成熟

產(chǎn)品由于涉及到眾多技術(shù)棧，使得整個產(chǎn)品形態(tài)非常復(fù)雜，考慮到隱私計算的實際應(yīng)用場景，可能需要部署在防火墻內(nèi)、私有云、DMZ區(qū)，存在跨網(wǎng)絡(luò)交互，涉及防火墻策略等復(fù)雜的部署方案，使得整個產(chǎn)品的實施交付更為復(fù)雜，還沒有形成相對標(biāo)準(zhǔn)的產(chǎn)品套件。

此外，多方安全計算由于大量使用密碼學(xué)算法，使得性能降低。比如，生成一個RSA的密鑰對，通常就涉及大整數(shù)的素數(shù)分解，需要的計算量極大。

根據(jù)信通院的測試，40萬行樣本x900列特征的縱向聯(lián)邦學(xué)習(xí)建模比明文慢數(shù)十倍甚至百倍，并且隨著規(guī)模增加，這個倍數(shù)還會放大。

隱私計算存在性能瓶頸[9]

此外，隱私計算中有很多假設(shè)被大家習(xí)以為常了，認為假設(shè)一定成立。

比如，聯(lián)邦學(xué)習(xí)假設(shè)梯度無法推斷出有用的信息，然而這個假設(shè)很難被證明，事實上，反例已經(jīng)出現(xiàn)： 梯度會泄漏訓(xùn)練數(shù)據(jù)？MIT新方法從梯度竊取訓(xùn)練數(shù)據(jù)只需幾步。

就算無法推斷出原始數(shù)據(jù)，一些具有統(tǒng)計意義的數(shù)據(jù)，難道就不會造成數(shù)據(jù)擁有方的損害嗎？比如交易總量，比如客戶總數(shù)，比如客戶性別比……

更加致命的假設(shè)，是隱私計算中，我們通常假設(shè)所有節(jié)點都是“半誠實”的，也就是，大家雖然有機會獲取對方泄露的數(shù)據(jù)，但還是遵守約定。[10]

然而實踐中，等到相關(guān)技術(shù)逐漸被大家掌握，所有節(jié)點還能夠保持“半誠實”嗎？如果大家都是惡意節(jié)點，大家都“投毒”（摻入假數(shù)據(jù)），隱私計算還可靠嗎？

客戶接受程度低

由于產(chǎn)品原理太過復(fù)雜，很難給客戶解釋清楚，最難的是，如何自證。

經(jīng)過一套復(fù)雜的方案設(shè)計，你如何證明隱私計算平臺沒有獲取到客戶的明文，或者，至少不能還原或推斷出有用的信息？

就算給客戶解釋清楚了，客戶也沒辦法給監(jiān)管解釋清楚。

監(jiān)管真的認可這類方案嗎？做成了項目，收益有多少，能否覆蓋監(jiān)管成本？畢竟，項目上線以后，肯定會引起監(jiān)管關(guān)注，三天兩頭監(jiān)管現(xiàn)場檢查，無數(shù)的材料、匯報、解釋……沒有機構(gòu)愿意承受。

還有，真的不會“用力過猛”嗎？以金融行業(yè)為例，如果大家都完成了“斷直連”，所有數(shù)據(jù)源都從合規(guī)的出口接入，還有必要套上隱私計算的殼子嗎？

此外，就算大家都接受了，還存在對原有業(yè)務(wù)流程的大改造，以及對性能的潛在影響。

原有流程下，企業(yè)內(nèi)部數(shù)據(jù)與外部數(shù)據(jù)融合后，經(jīng)過特征工程，在決策引擎內(nèi)完成模型加工并輸出結(jié)果。

在隱私計算的方案下，企業(yè)內(nèi)部數(shù)據(jù)需要先加密，進入隱私計算產(chǎn)品，再與外部數(shù)據(jù)進行計算，最后的結(jié)果通過決策引擎輸出，返回給業(yè)務(wù)系統(tǒng)繼續(xù)后續(xù)流程。 [11]

這套流程，涉及多個系統(tǒng)改造，涉及多個部門參與，是否會影響其他業(yè)務(wù)或產(chǎn)品，是否涉及整體架構(gòu)的變更，是否涉及網(wǎng)絡(luò)架構(gòu)調(diào)整，性能是否能夠滿足秒級反饋，這些都是未知數(shù)。

尚未形成完整解決方案

數(shù)據(jù)安全需要端到端的全流程防護，從客戶授權(quán)、采集、加工、融合、應(yīng)用的全流程，都是需要防護的。如果僅僅只在某一個環(huán)節(jié)應(yīng)用隱私計算技術(shù)，而其他環(huán)節(jié)仍然明文來往，則沒有達到實質(zhì)上的效果。

目前的隱私計算方案，大多集中在數(shù)據(jù)的融合環(huán)節(jié)，針對不同數(shù)據(jù)所有方的數(shù)據(jù)，在融合時確保數(shù)據(jù)可用不可見，但是在其他環(huán)節(jié)很少涉足，也缺少相應(yīng)的方案。

而很多客戶，對于隱私保護很焦慮，但是缺少一攬子方案，包括客戶授權(quán)協(xié)議，數(shù)據(jù)存儲，數(shù)據(jù)生命周期管理，數(shù)據(jù)權(quán)限控制等等，如果缺少相應(yīng)方案，客戶仍然難以下定決心。

此外，與行業(yè)內(nèi)的數(shù)據(jù)源尚未打通，導(dǎo)致一個項目，要和兩方甚至三方從0開始磨合，設(shè)計方案，聯(lián)調(diào)測試等等。

如果與某一數(shù)據(jù)源形成合作方案，又面臨另一個問題，即不同的隱私計算產(chǎn)品不互通，導(dǎo)致新的孤島形成。

展望未來

盡管有不少問題，但是隱私計算仍然是大勢所趨。

針對以上的痛點，目前隱私計算行業(yè)也在積極應(yīng)對和調(diào)整。

多種技術(shù)路線融合，異構(gòu)平臺互通

三種技術(shù)路線各有所長，MPC應(yīng)用場景最廣，隱匿查詢、隱私求交、不經(jīng)意傳輸?shù)燃夹g(shù)，廣泛應(yīng)用于多種場景中，但是由于各類加密算法的復(fù)雜性，導(dǎo)致性能存在瓶頸；FL在聯(lián)合建模場景最為常用，然而梯度交換時，時常需要采用同態(tài)加密等手段增強安全性；TEE交付模式太重，仍需探索軟硬結(jié)合的交付模式。

事實上，在一個隱私計算項目中，多種技術(shù)結(jié)合的模式也很常見。例如，在縱向聯(lián)邦學(xué)習(xí)場景中，通常需要雙方通過隱私求交框定交集結(jié)果；針對某些場景計算效率太低的情況，也經(jīng)常需要采用硬件加速卡來提升性能，這也倒逼MPC的供應(yīng)商研究軟硬一體的解決方案。

事實上也可以看到，不少大廠已經(jīng)開始推出隱私計算一體機。因為基于硬件的TEE是可以和MPC以及FL無沖突銜接的，并且會提升兩者的性能。

此外，多個隱私計算平臺互聯(lián)互通時，肯定會遇到底層打通的問題，軟硬一體的方案肯定更加強勢，會要求其他各方兼容自己的硬件體系。

互聯(lián)互通也是隱私計算繞不開的話題，本就為了打通數(shù)據(jù)孤島而進行的努力，由于不同平臺的協(xié)議和標(biāo)準(zhǔn)不互通，形成了新的孤島。

而要解決互聯(lián)互通的問題，最大的難點在于，以誰的為準(zhǔn)來進行互聯(lián)互通，或者說，以什么標(biāo)準(zhǔn)來進行互聯(lián)互通，這就依賴于行業(yè)標(biāo)準(zhǔn)的建立。

行業(yè)標(biāo)準(zhǔn)加速建立

行業(yè)標(biāo)準(zhǔn)加速建立[12]

中立第三方機構(gòu)、聯(lián)盟積極推進各類行業(yè)標(biāo)準(zhǔn)的建立，如信通院、北京金融科技產(chǎn)業(yè)聯(lián)盟等。

符合標(biāo)準(zhǔn)的產(chǎn)品，相當(dāng)于得到權(quán)威機構(gòu)認證，可以降低市場的認知成本，加快產(chǎn)品的交付落地，同時，同一標(biāo)準(zhǔn)的產(chǎn)品也是可以互聯(lián)互通的。反過來，會促使行業(yè)玩家力爭符合標(biāo)準(zhǔn)，完成認證，從而推進行業(yè)更加標(biāo)準(zhǔn)化、規(guī)范化的良性發(fā)展。

相信，隨著標(biāo)準(zhǔn)的不斷完善，生態(tài)的逐步繁榮，隱私計算的未來不可限量。

參考資料

[1]

密碼學(xué)歷史: https://zh.wikipedia.org/wiki/%E5%AF%86%E7%A0%81%E5%AD%A6%E5%8E%86%E5%8F%B2

[2]

凱撒密碼: https://zh.wikipedia.org/wiki/%E5%87%B1%E6%92%92%E5%AF%86%E7%A2%BC

[3]

密碼學(xué)發(fā)展簡史: https://github.com/guoshijiang/cryptography/blob/master/history/README.md

[4]

克勞德·香農(nóng): https://zh.wikipedia.org/wiki/%E5%85%8B%E5%8A%B3%E5%BE%B7%C2%B7%E9%A6%99%E5%86%9C

[5]

【聯(lián)邦學(xué)習(xí)之旅】04 不經(jīng)意傳輸、秘密共享、密鑰交換與差分隱私: https://wdxtub.com/flt/flt-04/2020/12/03/

[6]

百萬富翁問題的一個簡單解釋：: https://www.jianshu.com/p/5a220e95cee2

[7]

一圖看懂隱私計算發(fā)展: http://hqsxw.net/202107194407.html

[8]

WAIC 2021 | 翼方健數(shù)張霖濤：隱私安全計算如何助力形成數(shù)據(jù)和計算互聯(lián)網(wǎng): https://www.sohu.com/a/480974753_129720

[9]

信通院發(fā)布2021年隱私計算行業(yè)觀察: https://www.secrss.com/articles/37491

[10]

探索 | 聯(lián)邦學(xué)習(xí)概念辨析與金融應(yīng)用思考: https://mp.weixin.qq.com/s/wj24yoqlO94ThXzEodPNJg

[11]

隱私計算公司開拓金融業(yè)的意見與建議: https://mp.weixin.qq.com/s/rmeHCQUUsVIrbgE2w-6mGA

[12]

可信隱私計算安全標(biāo)準(zhǔn)和測試解讀: https://www.secrss.com/articles/37557