[发明专利]用预先计算数据改进多方计算中AES效率的系统和方法

说明书

提供了用预先计算数据改进多方计算中AES效率的系统和方法。一种利用密码技术的分布式计算机网络，其包括一个或多个处理器，其中一个或多个处理器被编程为接收秘密输入状态和一个或多个元组，用一个或多个元组掩蔽秘密输入状态并利用揭露来计算掩蔽输入，在掩蔽输入上计算六个乘法，计算两个秘密值的乘法以输出中间输出，掩蔽来自中间输出的第三秘密值并揭露第三秘密值以计算交互，利用交互来计算多方‑计算乘法，以及响应于计算多方‑计算乘法而输出最终秘密值。

技术领域

本公开涉及安全性，例如密码技术。此外，本公开可涉及用于密码技术的高级加密标准（AES）。

背景技术

安全多方计算（MPC）是密码技术中的一个领域，它为多方提供了可以在私有输入上联合计算函数的方法。在MPC中，各方获得了他们想要在其上计算函数的输入的一些“份额（share）”。MPC可以提供一种方式使输入对于MPC参与者保持私有。此外，许多公司使用MPC联合计算他们感兴趣的一些函数，而不公开他们的私有输入。

由于MPC可能允许系统在协议参与者之间“分发”信任，MPC的一个非常重要的应用可能是安全地保护长期秘密密钥。当原本很难以管理此类密钥的安全性时，这可能允许公司管理秘密。因此，可以通过分成份额来在参与者之间分发秘密密钥，使得当运行MPC协议需要时特定参与者子集可以加密或解密数据，而不揭露密钥。一种合期望的加密/解密机制是标准分组密码高级加密标准（AES）。

最有效的MPC协议之一称为SPDZ（安全多方计算）。SPDZ使用线性秘密共享方法，以便用私有方式共享函数输入。从信息论的角度来看，秘密共享算法可以看作是加密方法。SPDZ方法还使得有可能在MPC设置中进行AES计算。

AES可以是本领域已知的标准分组密码。AES在标准系统中的安全性和效率已得到认可，因为它是AES的快速标准软件和硬件实现，其中系统每秒可以加密/解密数百万128个块。然而，AES可能不是特别为MPC计算而设计的。MPC中的分组密码计算效率低于其普通实现，这可能是由于形成轮的非线性层造成的。例如，AES-128可能有10轮，每轮由16个Sbox计算组成，对应于每轮中仅有的非线性函数层。每个Sbox作用于128比特状态的字节。每轮中的所有其他函数都是线性的，并因此直接在MPC设置中实现，因为它们不需要交互。

AES-128输入和输出128比特，并且每层和每轮操作128比特。AES操作可以用两种不同的电路设计来表示：布尔电路和代数电路。布尔电路表示可以在比特级计算利用布尔门（与和异或）的所有操作。代数电路表示可以依赖于称为AES代数有限域或伽罗瓦域的算术结构，该结构在字节级别定义代数（输入和所有内部状态将被视为16字节）。

在其四个层之间，子字节层可以执行非线性操作。子字节（又称Sbox）层可以对每16个字节应用置换。实现Sbox置换的方式不止一种。最后，实现AES子字节意味着应用表示置换的16个Sbox操作。在MPC中，其余层的成本可以忽略不计。因此，下面的公开将讨论Sbox操作，这是下面仅有的非线性操作。