Brave Software 开发人员创建了一个名为 FrodoPIR 的新的以隐私为中心的数据库查询系统,它可以从服务器检索数据,而不会泄露用户查询的内容。
Brave 计划在即将推出的内置于 Brave 浏览器的泄露凭据检查器中使用 FrodoPIR,以根据已知数据转储检查用户名和密码,而无需向服务器公开已检查的对。
开发人员指出,FrodoPIR 的设计宗旨是在任何用例场景中都具有成本效益和多功能性,使其成为除了检查凭据之外的广泛数据检索案例的理想选择。
此外,与现有解决方案相比,Brave 的私有数据库访问方案更具成本效益,实施起来更简单,也更容易扩展。
作为其速度的一个例子,对于一个包含 100 万个 1KB 元素的数据库,FrodoPIR 需要不到一秒的时间来响应客户端查询,服务器响应大小膨胀系数低于 3.6 倍,并且响应 100,000 个客户端的成本仅为 1 美元查询。
FrodoPIR 的工作原理
FrodoPIR 的功能分为两个阶段,一个是进行准备工作的离线阶段,另一个是对服务器进行“隐藏”查询的在线阶段。
在离线阶段,服务器将数据库解释为线性矩阵,将其大小缩小约 170 倍,然后应用压缩并将结果作为公共参数提供。
客户端下载这些参数并计算预处理查询集。
客户端在在线阶段选择合适的查询参数来生成加密的查询向量。
收到查询后,服务器将其与它的数据库矩阵相乘,并用一个答案进行响应,以确定该查询是否在数据库中具有匹配项。
最后,客户端接收响应并使用相同的预处理查询参数对其进行解密以生成私有查询。
“每个客户端查询都是一个嘈杂的向量,对服务器来说是随机出现的,” Brave 解释道。
“服务器永远不会知道您正在查询哪个值,但它会返回正确的答案(无论它是否包含在数据库中)。”
除了 Brave Browser 计划中的密码检查器外,该帖子还提到 FrodoPIR 方案还可用于证书透明度和吊销检查、流式传输和安全浏览。
有关 FrodoPIR 工作原理的更多技术细节,您还可以查看Brave Software 团队发布的这篇论文(FrodoPIR:Simple, Scalable, Single-Server Private Information Retrieval - Alex Davidson.pdf )。
论文下载:https://www.modb.pro/doc/95317
文章来源:https://www.bleepingcomputer.com/news/security/brave-launches-frodopir-a-privacy-focused-database-query-system/