隐私保护数字疫苗护照技术解析

### 隐私保护数字疫苗护照技术解析 #### 1. 相关概念介绍 在隐私保护的数字领域，有两个重要的概念：PIR-with-Default和Private Matching。 ##### 1.1 PIR-with-Default PIR-with-Default是PIR的一种变体。在这个系统中，服务器维护一组键值对 \(P = (x_1, v_1), \ldots, (y_n, v_n)\)，其中 \(y_i\) 是不同的值，\(v_i\) 是伪随机值，还有一个默认的伪随机值 \(w\)。当客户端提交一个项目 \(x\) 时，如果 \(x = v_i\)，则客户端会收到 \(v_i\)，否则会收到默认值 \(w\)，并且每次查询都需要刷新默认值 \(w\)。这个变体在隐私连接和计算场景中有应用。它的构造和keyword - PIR类似，但在PIR.Answer过程中需要输入 \(P\) 和 \(w\)，PIR.Extract返回一个值 \(v\)。该协议效率很高，能在220大小的数据库上进行28次默认查找，通信成本为7MB，在线计算时间为2.43毫秒。 ##### 1.2 Private Matching Private Matching是一个双方通信协议，发送者持有输入字符串 \(m_0\)，接收者持有输入字符串 \(m_1\)。协议的目标是让接收者确定 \(m_0\) 是否等于 \(m_1\)，同时保证发送者不会了解到 \(m_1\) 的任何信息。接收者得到一个表示相等结果的单比特输出，没有额外信息泄露。该概念在隐私集合交集协议中起着关键作用。高效执行一批Private Matching实例可以使用不经意传输（OT）扩展技术，但某些系统需要一次执行一个实例，因此会采用基于DH的PM方案。 #### 2. 数字疫苗护照系统概述 数字疫苗护照的目的是验证持有手机的个人（客户端）是否针对特定疾病进行了疫苗接种。这里介绍的PPass系统包含三个主要过程： - **RegistrationRequest(\(\kappa\), inf) → \(\sigma\)**：客户端C向卫生当局A提交证书请求，A验证客户端是否接种疫苗，若接种则生成有效疫苗证书 \(\sigma\) 并返回给客户端C，同时向云服务器H发送某些匿名信息。 - **TokenGeneration(\(\sigma\), n) → \(\{tok_1, \ldots, tok_n\}\)**：客户端C与云服务器H协作生成n个疫苗接种令牌。客户端提供疫苗证书 \(\sigma\) 并指定数量n，最终生成n个令牌。 - **TokenRedeem(\(tok_t\), inf) → \(\{0, 1\}\)**：在时间t，客户端C兑换令牌 \(tok_t\)。该协议输入为令牌 \(tok_t\) 和客户端信息（如果需要）。可选地，服务提供商S与云服务器H交互以验证 \(tok_t\) 的有效性及其与令牌持有者的关联，输出可能返回给客户端C。令牌兑换后即失效。 下面是PPass系统的主要流程mermaid图： ```mermaid graph LR classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px; classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A([客户端C]):::startend -->|提交证书请求| B(卫生当局A):::process B -->|生成证书\(\sigma\)| A B -->|发送匿名信息| C(云服务器H):::process A -->|提供\(\sigma\)和n| C C -->|生成n个令牌| A A -->|兑换令牌\(tok_t\)| D(服务提供商S):::process D -->|验证| C C -->|返回结果| D D -->|返回结果| A ``` #### 3. PIR-based Construction（在线验证） ##### 3.1 技术概述 最初考虑的蓝图解决方案是客户端C从当局A获得疫苗证书 \(\sigma\)，访问场所时向服务出示证书，服务与当局安全通信以验证证书。但此方案存在安全和性能问题，如多个受损服务可能关联同一客户端的令牌，当局进行令牌验证的计算量过大。 为满足疫苗护照系统的安全标准，对蓝图方案进行改进。通过计算伪随机函数 \(tok \leftarrow F(\sigma, t)\) 生成可兑换令牌，其中 \(t\) 是令牌的兑换时间，这样生成的令牌不可关联且可单独兑换。对于某些场所，每个令牌可关联客户端ID的加密信息以防止他人盗用。 当局A可以将计算任务委托给不可信的云服务器H。如果疫苗证书 \(\sigma\) 由随机密钥 \(r\) 和客户端信息计算得出，只要 \(r\) 只有当局A知道，向H透露 \(\sigma\) 不会泄露隐私。云服务器H可以根据 \(\sigma\) 生成有效令牌列表 \(T\)，当局A还会向H发送 \(m = g^{H(I_1)}\) 用于匿名化用户标识。 服务S验证令牌有效性时，可使用Keyword - PIR。服务S发送PIR请求 \(PIR.Query(pk, tok) \rightarrow k\)，从云服务器H接收 \(PIR.Answer(pk, k, T) \rightarrow c\)，通过 \(PIR.Ex