网络无关的多方安全计算与统计安全

### 网络无关的多方安全计算与统计安全 #### 1. 线性秘密共享随机值生成协议 在网络计算中，生成线性秘密共享的随机值是一项重要任务。协议 $\Pi_{Rand}$ 能在不同网络环境下实现这一目标。 - **协议时间**：$T_{Rand} = T_{MDVSS} = T_{SVM} + T_{Auth} + 2T_{BC} + 6T_{BA}$，且 $L \geq 1$。 - **正确性**： - **同步网络**：除了概率为 $O(n^3 \cdot \epsilon_{ICP})$ 的情况外，在时间 $T_{Rand}$ 时，存在值 $r^{(1)}, \ldots, r^{(L)}$，它们以 IC 签名进行线性秘密共享，核心集为 $GW_1, \ldots, GW_{|Z_s|}$。 - **异步网络**：除了概率为 $O(n^3 \cdot \epsilon_{ICP})$ 的情况外，存在值 $r^{(1)}, \ldots, r^{(L)}$，它们几乎肯定以 IC 签名进行线性秘密共享，核心集为 $GW_1, \ldots, GW_{|Z_s|}$。 - **隐私性**：无论网络类型如何，对手的视图与 $r^{(1)}, \ldots, r^{(L)}$ 无关。 - **通信复杂度**：该协议产生 $O(|Z_s|^2 \cdot L \cdot n^9 \cdot \log |F| \cdot |\sigma|)$ 比特的通信量，此外还有 $O(|Z_s| + n)$ 个 $\Pi_{BA}$ 实例。 #### 2. 三元组生成的网络无关协议 此协议用于生成随机且私密的乘法三元组，这些三元组以 IC 签名进行线性秘密共享。它基于几个子协议，下面详细介绍。 ##### 2.1 生成带 IC 签名的值的线性秘密共享 在协议 $\Pi_{LSh}$ 中，有一个指定的经销商 $D \in P$，其有私有输入 $s$。还有一个随机值 $r \in F$，它以 IC 签名进行线性秘密共享，核心集为 $GW_1, \ldots, GW_{|Z_s|}$，且在协议开始时 $D$ 并不知道 $r$ 的值。 - **协议步骤**： 1. 让 $D$ 重构值 $r$。 2. $D$ 使用 $r$ 作为一次性密码本（OTP），公开 $s$ 的 OTP 加密。 3. 各方利用秘密共享的线性性质，从 OTP 加密中本地移除 OTP。 ##### 2.2 非鲁棒乘法协议 协议 $\Pi_{BasicMult}$ 接收输入 $a$ 和 $b$，它们以 IC 签名进行线性秘密共享，核心集为 $GW_1, \ldots, GW_{|Z_s|}$，还有一个公开已知的子集 $G_D \subset P$，其中仅包含腐败方。 - **输出**：各方输出 $c$ 的线性秘密共享，核心集为 $GW_1, \ldots, GW_{|Z_s|}$。 - **正确性**：如果 $P \setminus G_D$ 中的所有方都诚实行为，则 $c = a \cdot b$；否则 $c = a \cdot b + \delta$，其中 $\delta \neq 0$。 - **隐私性**：对手在协议中不会了解到关于 $a$ 和 $b$ 的任何额外信息。 ##### 2.3 带作弊者识别的随机三元组生成 协议 $\Pi_{RandMultCI}$ 接收迭代号 $iter$ 和一个公开已知的腐败方子集 $G_D$。 - **输出**： - 如果 $P \setminus G_D$ 中的所有方都诚实行为，则输出一个随机的线性秘密共享乘法三元组，核心集为 $GW_1, \ldots, GW_{|Z_s|}$。 - 否则，诚实方以高概率识别出一个新的腐败方，并将其添加到 $G_D$ 中。 - **协议阶段**： 1. 各方联合生成一对随机值，以 IC 签名进行线性秘密共享，核心集为 $GW_1, \ldots, GW_{|Z_s|}$。 2. 各方运行 $\Pi_{BasicMult}$ 实例，计算第一阶段生成的一对秘密共享随机值的乘积。 3. 各方运行概率测试（“牺牲技巧”），检查 $\Pi_{BasicMult}$ 实例中是否发生作弊。 ##### 2.4 乘法三元组生成协议 协议 $\Pi_{TripGen}$ 基于上述协议，各方迭代运行 $\Pi_{RandMultCI}$ 实例，直到找到一个未检测到作弊的实例。每次失败的实例都会更新 $G_D$ 集，最多进行 $(t + 1)$ 次迭代，其中 $t$ 是 $Z_s$ 中最大子集的基数。 #### 3. 有和无广播的孤立输出功能的安全计算 ##### 3.1 引言 孤立输出安全计算允许单个实体对分布在多个相互不信任方之间的输入计算函数，同时保证安全性，包括正确性、隐私性和保证输出交付（全安全）。在没有广播或诚实多数的情况下，全安全的多方计算通常是不可能的。本文研究了在有广播但无诚实多数，或无广播但有单个腐败方的情况下，哪些孤立输出三方功能可以进行全安全计算。 ##### 3.2 主要贡献 - **六边形论证的重新解释**：通过利用各方视图之间的相关性，将原本依赖协议性的六边形论证扩展到孤立输出设置中。 - **有趣函数族的特征描述**： - **无输入输出接收方（NIORP）功能**：定义了核心分区（CORE 分区），并给出了 NIORP 功能可以在点对点模型中