Multiparty-Computation

相當於物理帽子+搖晃?

  • March 7, 2013

我想要一個多方協議,至少在誠實但好奇的模型中是安全的,但希望在其他情況下也能做到以下幾點: $ {P_1, P_2, \ldots P_n} $ 輸入一個值 $ v_i $ , 和集合 $ v_i $ 的計算方式是這樣的,沒有人知道哪一方貢獻了哪一方 $ v_i $ . 在現實世界中,這可以通過將折疊的紙片放入帽子中來完成,但我無法想出一個好的搜尋詞。參考是最讚賞的。

您可以使用混合網路解決此問題。

範例協議:

  1. 各方共同選擇一個公鑰/私鑰對,以便所有人共享隨機密鑰 $ n $ 派對。(這是門檻值加密,對此有標準協議。)
  2. 每一方 $ P_i $ 加密他/她的價值 $ v_i $ 在步驟 1 中選擇的公鑰下。他/她廣播這個密文 $ E(v_i) $ . 現在大家都知道了 $ E(v_1),\dots,E(v_n) $ .
  3. 聚會 $ P_1 $ 使用重新加密混合網路來洗牌和重新隨機化 $ n $ 密文。聚會 $ P_1 $ 使用零知識證明來證明他/她誠實地執行了此步驟(即,混洗後的密文解密為與原始密文相同的一組值)。他/她廣播結果和零知識證明。(有這方面的標準協議。)
  4. 聚會 $ P_2 $ 做同樣的事情:他/她使用重新加密混合網路來隨機化和重新隨機化 $ n $ 步驟 3 產生的密文。
  5. 等等。每一方依次對前一方的結果執行自己的重新加密混合。在這結束時,派對 $ P_n $ 已經廣播了一組密文 $ C_1,\dots,C_n $ 這是一個洗牌和重新隨機化的版本 $ E(v_1),\dots,E(v_n) $ .
  6. 現在所有 $ n $ 各方使用門限解密協議共同解密密文 $ C_1,\dots,C_n $ 並廣播結果。結果,每個人都學習了價值觀 $ v_1,\dots,v_n $ ,但是按照無法連結到每個值的發起者的打亂/置換順序。

這應該滿足您的目標。我認為它提供了人們所希望的盡可能多的安全性:如果一方是誠實的,她可以驗證協議結果的完整性;而如果 $ k $ 各方誠實和 $ n-k $ 當事人是不誠實的,那麼不誠實的當事人就會學習 $ k $ 貢獻的值 $ k $ 誠實的各方,但無法將其中的哪一個聯繫起來 $ k $ 價值觀來自哪個誠實的一方。

引用自:https://crypto.stackexchange.com/questions/6613