详情请看:Private Set Intersection from PCG
分享论文《Private Set Intersection from Pseudorandom Correlation Generators》,目前仅在Cryptology ePrint Archive上预印刷。
该文涉及Cuckoo hashing、Oblivious key-value stores(OKVS)、IKNP类-OTE、Vector oblivious linear evaluation(VOLE)、PSI等密码原语。主要工作分为两部分:
1.用CH PSI击败OKVS PSI,或“KKRT反击”。也就是对KKRT16中的BaRK-OPRF进行了替换,从基于IKNP类-OTE替换为基于PCG类-OTE.以往基于PCG的PSI协议都是结合OKVS,本文发现PCG对基于Cuckoo hash的PSI减少通信开销的影响更深,并由此引来了一系列的优化. 比如通过置换hash减少哈希表中的元素大小,比如广义Cuckoo hash, 减少发送方往接收方发送的消息. 本文还发现KKRT16的安全分析中有一个错误,修复错误需要引入一个新的相关稳健性概念。
介绍步骤如下:
-
PSI功能介绍
-
KKRT:BaRK-OPRF介绍---安全性分析---相关鲁棒性修正---基于BaRK-OPRF的PSI构建
-
CH+PCG=PSI:PCG概念介绍---PCG(VOLE)协议---基于VOLE的BaRK-OPRF构建---正确性分析---KKRT-Bark-OPRF与PCG-BaRK-OPRF比较。
-
CH+PCG=PSI优化: 基于置换hash优化---基于广义Cuckoo hashing优化---membership Bark-OPRF ---通信开销分析---结论
2.标准模型中的高效PSI:本文的第二个贡献,设计了一个新的“基于多项式的”PSI协议。为实现上述基于多项式的PSI,我们引入了subfield ring-OLE相关的PCG概念,并展示了如何将其进行有效实例化。建立在该PCG上的新PSI协议,它具有以下特性:
·安全特性: 与KKRT框架不一样,基于多项式的PSI框架并不需要 random oracle model或tailor-made correlation-robustness assumptions,仅需要具有不可约多项式的多项式环上的ring-LPN假设。因此我们基于PCG的PSI建立在 standard model上。且恶意安全的代价仅限制在PCG的分布式短种子生成上。
·高效特性:非常低的通信量,只比ROM-based PSI[RS21]稍微大一点。虽然使用了多项式插值,但计算效率仍然很快,具体来说协议只需要:
-----receiver: a single degree-n polynomial interpolation,one FFT over a polynomial ring with degree-2n polynomials, 3 multiplications of degree-n polynomials
-----sender: a single degree-n polynomial interpolation, one FFT over a polynomial ring with degree-2n polynomials, 2 multiplications of degree-n polynomials,a single n-multipoint polynomial evaluation
·Batch non-interactive PSI.:具有集合X的客户端C可以广播其数据集的编码,然后接收每个服务器 的集合 的编码,最后本地计算交集 . 具体流程如下:
1.在预处理阶段,C与每个服务器进行交互,在每次交互中使用O(logn)通信和计算,通信轮数很少。
2.然后,C执行单个 () 成本的本地计算,并广播单个2ℓn大小的X的编码 。
3.每个服务器 可在任一时间,发送一个单消息 ,长为 ,使用O(n)计算。
4.最终,给定X和 ,客户端运行一个O(n)成本的解码过程恢复 .
当服务器数量增加时,我们的批处理PSI协议可以为客户机带来非常大的节省,与每个服务器单独执行PSI协议相比,并提供了一个即使是最好的基于ROM的PSI协议也具有竞争力的解决方案。在此设置中,每个PSI实例的通信减少到 表示服务器数量。
介绍步骤如下:
-
基于多项式和PCG的恶意PSI协议
-
批量非交互式PSI协议