被動完美安全下的2方AND計算

在 Ivan Damagard 寫的名為“安全多方計算和秘密共享”的書中，在第三章的最後，他提供了一個證據，證明了為什麼不可能在一個腐敗方的完美和被動安全下安全地計算 2 方 AND 函式。

有人可以幫我提供一個直覺的解釋，說明為什麼以上是真的。我無法掌握 Damgard 提供的解決方案。我也找不到與此相關的任何其他資源。

證明背後的直覺如下。由於當 P2 的輸入為 0 時 AND 的輸出等於 0，因此當 P1 的輸入為 0 和 P2 的輸入為 1 時，成績單的分佈是相同的。同樣，方向相反。因此，P1 為 1 且 P2 為 0 時的可能轉錄本集合等於兩者都為 0 時的可能轉錄本集，當 P1 為 0 且 P2 為 1 時的可能轉錄本集合等於兩者都為 0 時的可能轉錄本集合.

在證明中，他們進一步表明，當雙方都有 1 時，上述轉錄集的交集是轉錄集的一個子集（僅通過定義如何定義轉錄本）。

因此，雙方都有 0 時的成績單集合是雙方都有 1 時的成績單集合的子集。

證明繼續論證這些記錄集之間的交集實際上必須為空（因為您不能同時輸出 0 和 1）。但是，我實際上認為當他們證明時證明已經完成 $ T(1,0) \cap T(0,1) \subset T(1,1) $ . 為了看到這一點，讓 $ t\in T(1,0) $ ; 根據我們現在所說的，這也表明 $ t\in T(1,1) $ . 由於 P1 的輸出由其輸入和轉錄決定，因此它在兩種情況下輸出相同的位。這與正確性相矛盾。

（我就此事與 Ivan Damgård 和 Jesper Nielsen 都發了電子郵件；感謝他們的幫助。）

引用自：https://crypto.stackexchange.com/questions/34010