一文搞懂百万富翁问题

两个百万富翁Alice和Bob想知道他们两个谁更富有，但他们都不想让对方及其他第三方知道自己财富的任何信息，这是由中国计算机科学家、2000年图灵奖获得者姚启智教授于1982年在论文《Protocols for secure computations》中提出的姚氏百万富翁问题，开创了密码学研究的新领域：安全多方计算(Secure Multi-party Computation)。

1. 解决方案

假设两个百万富翁$A$和$B$的财产在$1$到$10$之间，$A$为$4$，$B$为$9$。

• $A$选择$10$个相同的个盒子，按照顺序代表$1$到$10$：
  
• $A$用自己财产的数字与盒子的数字进行比较，如果小于该数字，则放一个黑球，若大于等于则放一个蓝球。

• $A$将盒子上锁，并按$1$到$10$的顺序发交给$B$。

• $B$选择自己财产的数字对应的箱子，即第$9$个盒子，然后交个$A$。

• 由$A$打开盒子，共同判定结果：蓝球，因此$B$更富有。

现实中，上述方案一般通过密码学工具实现。

2. 协议描述

姚氏百万富翁问题可形式化描述为:对两个秘密输入$i$和$j$，判断函数值$f(i,j)=i-j\le 0$还是 $f(i,j)=i-j\ge 0$。

假定$1\le i,j\le N$。为了在不让任何第三方参与的情况下比较$i$和$j$的大小，又不向对方泄漏各自的数值，则可执行如下的协议:

• step1：$A$和$B$共同协商一种公钥加密体制($E$为加密算法，$D$为解密算法)。

• step2：$A$随机选择一个大随机数$x$,用B的公钥加密得$E(x)$，然后将$E(x)-i$发送给$B$。

• step3：$B$首先计算$N$个数$$y_u=D(E(x)-i+u),u=1,2,...,N$$然后随机选择大素数$p$，再计算$N$个数$$z_u\equiv y_u\mathrm{mod}p,u=1,2,\dots ,N$$接着验证对于所有的$0\le a\ne b\le N-1$是否都满足$\Vert z_a-z_b|\ge 2$，若不满足，则重新选择大素数$p$重新验证。 最后，$B$将$p$及以下的$N$个数串发送给$A$:$$z_1,z_2,...,z_j,z_{j+1}+1,z_{j+2}+1,\dots ,z_N+1$$.- step4：设$A$收到$N$个数串的第$i$个数$z_i\equiv x\mathrm{mod}p$，则结论是$i\le j$；否$i\ge j$。

• step5：$A$ 将结果告诉 $B$。

3. 协议说明

(1) 由于$z_i\equiv y_i\mathrm{mod}p\equiv D(E(x)-i+i)\equiv x\mathrm{mod}p$，因此
当且仅当$i\le j$时,数列$z_1,z_2,...,z_j,z_{j+1}+1,z_{j+2}+1,\dots ,z_N+1$中才存在数$z_i\equiv x\mathrm{mod}p$；否则该数列中任何数模$p$都不与$x$同余，此时$i>j$。该步骤是协议的核心步骤，通过构造数列，实现了$i$与$j$大小的判断，类似于放置黑球与蓝球。

但该协议无法判断出$i=j$的情况，是该协议的一个缺点，后续相关研究对此进行了改进。

(2)要求$z_n$中的任何两个数$z_a,z_b$满足$\Vert z_a-z_b|\ge 2$是为了保证$B$发送给$A$的$N$个数的数列$z_1,z_2,...,z_j,z_{j+1}+1,z_{j+2}+1,\dots ,z_N+1$中任意两个数不同,一般称这样的数列为“好数列”。因为若数列中存在两个数$z_m=z_n，m<n$，则$A$可以判断出$B$的秘密数大致范围为$m\le j<n$。

(3)A比B先知晓了最终的结果，若$A$欺骗$B$告诉他相反的结论，则该协议是不公平的。为了增加公平性,$B$可以要求与$A$交换角色,即原来$A$执行的步骤现由$B$执行,而由$B$执行的步骤改由$A$执行。这样$B$也可以首先得出结论。

(4)协议只涉及两方的安全计算,可将上述协议推广到任意多方的安全计算协议。

4. 协议举例

设$A$和$B$两个百万富翁的财富，$A$的财富是$900$万，$B$的财富是$400$万，都不超过$1000$万。即$A$和$B$的秘密数分别为$i=9$和$j=4$，$N=10$。

• step1：$A$和$B$选定RSA公钥算法对数据加密，其中$n=221$，$B$的公钥$35$，私钥$11$。

• step2：$A$随机选择整数$x=92$，计算$E(x)\equiv 92^{35}\mathrm{mod}221=105$，然后把 $E(x)-i=105-9=96$发送给B。

• step3：对$u=1,2,\dots ,10$，$B$分别计算$$y_u=D(E(x)-i+u)=D(96+u)$$即$$y_1=D(96+1)\equiv 97^{11}\mathrm{mod}221=193$$$$y_2=D(96+2)\equiv 98^{11}\mathrm{mod}221=106$$$$y_3=D(96+3)\equiv 99^{11}\mathrm{mod}221=44$$$$y_4=D(96+4)\equiv 100^{11}\mathrm{mod}221=94$$$$y_5=D(96+5)\equiv 101^{11}\mathrm{mod}221=186$$$$y_6=D(96+6)\equiv 102^{11}\mathrm{mod}221=136$$$$y_7=D(96+7)\equiv 103^{11}\mathrm{mod}221=103$$$$y_8=D(96+8)\equiv 104^{11}\mathrm{mod}221=195$$$$\underline{y_9=D(96+9)\equiv 105^{11}\mathrm{mod}221=92}$$$$y_{10}=D(96+10)\equiv 106^{11}\mathrm{mod}221=98$$

取素数$p=109$，计算$$z_u\equiv y_u\mathrm{mod}p\equiv y_u\mathrm{mod}109,u=1,2,\dots ,10$$得
$$z_1\equiv y_1\mathrm{mod}109\equiv 193\mathrm{mod}109=84$$$$z_2\equiv y_2\mathrm{mod}109\equiv 106\mathrm{mod}109=106$$$$z_3\equiv y_3\mathrm{mod}109\equiv 44\mathrm{mod}109=44$$$$z_4\equiv y_4\mathrm{mod}109\equiv 94\mathrm{mod}109=94$$$$z_5\equiv y_5\mathrm{mod}109\equiv 186\mathrm{mod}109=77$$$$z_6\equiv y_6\mathrm{mod}109\equiv 136\mathrm{mod}109=27$$$$z_7\equiv y_7\mathrm{mod}109\equiv 103\mathrm{mod}109=103$$$$z_8\equiv y_8\mathrm{mod}109\equiv 195\mathrm{mod}109=86$$$$\underline{z_9\equiv y_9\mathrm{mod}109\equiv 92\mathrm{mod}109=92}$$$$z_{10}\equiv y_{10}\mathrm{mod}109\equiv 98\mathrm{mod}109=98$$

$B$对数列进行验证，并将$p=109$及以下数列发送给$A$$$z_1=84,z_2=106,z_3=44,z_4=94,z_5+1=78,z_6+1=28,z_7+1=104,z_8+1=87,\underline{z_9+1=93},z_{10}+1=99$$

• step4：$A$检查该数列中的第$9$个数是$93$，由于$93\ne 92\mathrm{mod}109$，因此$i>j$，即$A$比$B$更富有。

• step5：$A$ 将结果告诉 $B$。