2022 年 7 月，《麻省理工科技评论》中国正式公布了 2022 年隐私计算科技创新人物入选者。

在此次入选者中，我们看到了秉持科研实用主义的研究学者，也看到了实现技术革新的应用型人物，还有实现产业鼎新局面的行业人士，他们求新远征，不断推进技术研究与行业应用崭新面貌。我们将陆续发出入选者的独家专访，走进他们的创新成果，分享他们对隐私计算的理解与经验。

数字经济繁荣发展的时代，各行各业沉淀的数据量不断扩张，其背后蕴含的巨大潜在价值也随着数据量与质的积累而愈发凸显。

隐私计算作为赋能数据利用流程的核心技术之一，正成为数据服务市场的底层基础设施，为数据流通创造条件并守护数据隐私和安全。

隐私计算的兴起在世界范围内不断延伸落地、在不同领域掀起了数字利用变革，也让一批以密码学、TEE、人工智能为攻坚方向的科研学者有了更多“用武之地”。陈宇便是其中一员。

陈宇的研究方向为理论密码学及应用，研究内容围绕基本密码组件展开。他的研究工作凝练出一系列新型密码原语，阐明了公钥加密的设计原理，发展了抗泄漏、抗篡改等极限安全密码体制的创新构造方法与技术，取得了一系列对公钥密码理论体系发展和完善具有重要意义的原创性成果。

2019 年起专注于应用密码学赋能隐私计算：面向分布式计算场景，提出层级签名加密、零知识证明友好的同态加密等多个创新密码方案，首次破解了长久以来密钥分离与重用策略无法两全的难题，率先设计出可监管审计的隐私保护密码货币。

聚焦两方安全计算的高频应用，带领团队设计出敏捷高效的隐私集合计算统一框架，在隐私集合求并方向取得了重要突破，设计出首个具有最优线性复杂度的协议，效率相比现有协议提升 1-2 个数量级。

陈宇持续活跃在科研一线，理论与实践并重，2022 年以第一作者身份在密码顶刊 Journal of Cryptology 发表不可延展函数方面的研究成果，是 JoC 创刊 35 年来中国大陆第一单位第一作者发表的首篇可证明安全公钥密码方向论文。[1]

▲图 | 《麻省理工科技评论》中国 2022 年隐私计算科技创新人物入选者陈宇

陈宇以密码理论研究见长，致力于应用可证明安全的前沿密码技术赋能隐私计算。谈及对做研究的初衷和追求，陈宇表示希望能做“顶天立地”的研究。“顶天，指理论方法推陈出新，处在国际前沿；立地，指研究成果能够落地应用，服务国计民生。”——这是陈宇坚持科研的初心，也是他活跃在隐私计算前沿的源动力。

茅塞顿开的瞬间

密码学是一个听起来就很有趣而神秘的学科，但看再多的“一文读懂”或者“五分钟入门”系列，也只是粗通皮毛，大部分人也就止步于此了。想要深耕于此，数学素养和缜密思维是必不可少的。

不过对于陈宇来说，密码学是他的兴趣所在。

2002 年，本科在读的陈宇开始学习密码学。那时的互联网远没有今天发达，获取相关资料也远没有今天便捷。但这没有消减陈宇的兴趣，密码入门类课程已经激起了他深入学习现代密码学的渴望。

回顾自己的科研之路，陈宇认为其中有两个最重要的进阶。

“从本科到研究生前期，我一直没搞懂现代密码学的核心思想——可证明安全，”他回忆道。“我知道它是贯穿现代密码学的主线，但苦于那时系统介绍可证明安全的资料极少。我就从 D.Boneh 和 M.Franklin 的经典论文 IBE from Weil Pairing 入手，但反复读了很多遍仍未掌握证明方法的关窍。”

2009 年，陈宇在国家留学基金委的资助下，获得了在爱尔兰都柏林城市大学密码实验室进行博士生联合培养的机会。一个午后，他向实验室法国同学 M.Charlemagne 请教论文的不解之处，他被同学一段话点醒，自此迎来了第一个进阶。

时至今日，陈宇已记不清谈话的具体内容，但那种茅塞顿开的感觉仍记忆犹新。

“就突然有一种醍醐灌顶的感觉，彻底理解了可证明安全的归约思想，”他说。“这对我博士阶段的密码学研究起到了非常大的推进作用，在门外徘徊了很久终于得门而入，之后陆续发表了多篇与可证明安全有关的论文。”

而另一个进阶出现在 2013 年。当时陈宇已在中科院信息安全国家重点实验室工作，恰逢零知识证明领域专家邓燚研究员回国任职，于是获得了向邓老师学习的宝贵机会，得窥密码学基础与前沿的深邃美妙。他的研究兴趣与视野深受邓老师的影响，研究对象开始偏向基本密码组件，并涉猎了零知识证明。

变化之年

在 2019 年之前，陈宇的研究主要围绕基本密码组件和密码协议展开。

他对函数的伪随机性、不可延展性、信息有损性和可编程性等多个密码学性质展开了系统而深入的研究，提出了一系列新型密码原语，横向探索密码原语之间的归约网络，纵向探索如何基于密码原语给出高级密码方案/协议的通用构造。

研究的主线是通过凝练新型密码原语设计高效高安全高功能的密码方案，其应用价值体现在保障数据在各种复杂应用环境下“可用不可见”。

截至目前，陈宇以第一作者和通讯作者在 CRYPTO、ASIACRYPT、PKC、DCC、Journal of Cryptology 等密码方向的顶会顶刊上发表论文多篇，得到了国际同行的高度评价和持续跟踪引用。凭借在密码基础理论研究中取得的创新性成果, 获中国密码学会创新奖。

用陈宇的话说，2019 年是他的“变化之年”。时年他先以高级技术专家的身份加入蚂蚁金服，后回归学术圈加入山东大学，在网络空间安全学院出任教授至今。

山东大学网络空间安全学科的发展历史可追溯至上世纪 80 年代中期潘承洞院士成立密码研究小组，该研究小组培养了一批密码理论和密码数学杰出人才，包括国家密码管理局李宗兆局长、国际著名密码学家王小云院士、中国第一款经过国家密码管理局鉴定的商用 PKI 密码机设计者李大兴教授、著名数论学家刘建亚教授（山东大学副校长）等。

▲图 | 陈宇

2019 年，隐私计算逐渐成为学术界和工业界共同关注的新赛道，其中基于密码学的隐私计算解决方案经济灵活，且具备严格的可证明安全，应用前景广阔。

工作的更替和隐私计算的兴起促成了陈宇研究风格的转变。他的研究原本着重纯粹的理论研究，可以做到不写一行代码进行实验，只需要用数理逻辑完成方案的安全性论证。

当隐私计算风起之时，陈宇敏锐地意识到，是时候做出从顶天到立地的转变了。

“我曾以只写证明不写代码而自豪。但密码终究是应用性很强的一门学科，只有落到实处才能发挥最大价值。对于科研人员，改变研究风格并非易事，转变的过程离不开院长王小云院士和王美琴教授的大力支持。”陈宇特别强调道。

十年磨一剑，理论与应用齐头并进

自此以后，陈宇开始兼顾理论研究与实际应用：“就像是十年磨一剑，许多在中科院种下的理论种子，在山东大学开花结果”。

我们很明显地看到，在其近年的多项成果中，“Functions and Their Applications”近乎是每篇论文标题的主旋律。理论与应用齐头并进意味着，除了从数学角度证明提出的方案可行，还要用代码给出高效优雅的实现。这对学者理论功底和工程能力的要求极高。

陈宇在隐私计算方面的代表性成果是隐私分布式交易系统和隐私集合计算。

分布式交易系统是区块链科技在数字金融领域中的典型应用，其中的难点问题是设计隐私保护和监管审计机制，并且在两者之间达到合理平衡，即一方面保护合法用户的隐私与资产安全，一方面为权威机构提供监管审计的接口。这是区块链科技广泛应用的前提，也是一直困扰从业者的棘手难题。

为此，陈宇与合作者提出了层级签名加密方案 (HISE)，通过引入新颖的“公钥重用/私钥分层”密钥结构，在密钥重用和密钥分离策略之间达到了完美平衡——惟一公钥支持数字签名和公钥加密的双重功能，而私钥之间存在层级关系，从签名私钥可以单向派生出解密私钥，从而支持个体解密私钥的安全托管。

配合多证明者零知识证明（由上交郁昱教授团队与陈宇合作提出），陈宇设计出了可监管审计的隐私保护分布式交易系统通用框架。在实例化过程中，他设计并实现了零知识证明友好的加法同态公钥加密方案 twisted ElGamal，目前正在纳入蚂蚁集团开源密码算法库 BabaSSL 的进程中。

“这个新型同态加密方案的代码同时给出了当前对‘小区间椭圆曲线离散对数问题’的最佳工程实现，”陈宇补充说。“与谷歌隐私计算库 Private Join & Compute 中的实现相比，预计算表缩减 4 倍，求解速率提升 12 倍以上。”

隐私集合运算是多方安全计算的高频高价值应用，针对相关协议零散孤立的现状，陈宇带领团队提出了多询问反向隐私成员关系测试协议 (mqRPMT)，并以此为核心构建出可证明安全的隐私集合运算统一框架，可以广泛用于数据共享和挖掘领域。

通过创新地提出密码学键值映射 (CKVM)、不经意向量解密测试协议 (OVDM)、可交换弱伪随机函数 (cwPRF)、置换伪随机函数(pOPRF) 等一系列新型密码组件，他带领团队给出了 mqRPMT 在多种部署环境下的高效实例化，包括完整的代码实现和性能测评。

陈宇表示，基于mqRPMT的隐私集合求并协议在各种部署环境下均具备显著的优势，通信开销在不同集合规模下有9-300 倍的缩减，计算效率在广域网环境下有 2-120 倍的提升。

陈宇的一系列研究成果，其影响力不仅存在于密码学领域，还可以拓展到区块链、数字金融、机器学习、数据挖掘、医疗等多个新兴产业，在数据安全和隐私保护领域发挥重要价值。

谈到未来的研究方向，陈宇计划深入探索简洁快速的零知识证明。

“密码学让我感到一种难以言传的神奇，它总能以数学的力量完成看似不可能完成的任务。这种神奇感带来的兴趣推动着我不断前行，乐于探索，”陈宇总结道。

参考资料：

1.YuChen, Baodong Qin, Jiang Zhang, Yi Deng, Sherman S. M. Chow. Non-Malleable Functions and Their Applications.Journal of Cryptology, Vol.35(11), pp.1–41.

2.https://yuchen1024.github.io/