相當於物理帽子+搖晃？

我想要一個多方協議，至少在誠實但好奇的模型中是安全的，但希望在其他情況下也能做到以下幾點： $ {P_1, P_2, \ldots P_n} $ 輸入一個值 $ v_i $ , 和集合 $ v_i $ 的計算方式是這樣的，沒有人知道哪一方貢獻了哪一方 $ v_i $ . 在現實世界中，這可以通過將折疊的紙片放入帽子中來完成，但我無法想出一個好的搜尋詞。參考是最讚賞的。

您可以使用混合網路解決此問題。

範例協議：

1. 各方共同選擇一個公鑰/私鑰對，以便所有人共享隨機密鑰 $ n $ 派對。（這是門檻值加密，對此有標準協議。）
2. 每一方 $ P_i $ 加密他/她的價值 $ v_i $ 在步驟 1 中選擇的公鑰下。他/她廣播這個密文 $ E(v_i) $ . 現在大家都知道了 $ E(v_1),\dots,E(v_n) $ .
3. 聚會 $ P_1 $ 使用重新加密混合網路來洗牌和重新隨機化 $ n $ 密文。聚會 $ P_1 $ 使用零知識證明來證明他/她誠實地執行了此步驟（即，混洗後的密文解密為與原始密文相同的一組值）。他/她廣播結果和零知識證明。（有這方面的標準協議。）
4. 聚會 $ P_2 $ 做同樣的事情：他/她使用重新加密混合網路來隨機化和重新隨機化 $ n $ 步驟 3 產生的密文。
5. 等等。每一方依次對前一方的結果執行自己的重新加密混合。在這結束時，派對 $ P_n $ 已經廣播了一組密文 $ C_1,\dots,C_n $ 這是一個洗牌和重新隨機化的版本 $ E(v_1),\dots,E(v_n) $ .
6. 現在所有 $ n $ 各方使用門限解密協議共同解密密文 $ C_1,\dots,C_n $ 並廣播結果。結果，每個人都學習了價值觀 $ v_1,\dots,v_n $ ，但是按照無法連結到每個值的發起者的打亂/置換順序。

這應該滿足您的目標。我認為它提供了人們所希望的盡可能多的安全性：如果一方是誠實的，她可以驗證協議結果的完整性；而如果 $ k $ 各方誠實和 $ n-k $ 當事人是不誠實的，那麼不誠實的當事人就會學習 $ k $ 貢獻的值 $ k $ 誠實的各方，但無法將其中的哪一個聯繫起來 $ k $ 價值觀來自哪個誠實的一方。

引用自：https://crypto.stackexchange.com/questions/6613