姚氏亂碼電路中惡意亂碼如何危害評估者的輸入

假設我們有一個電路，它輸出 Alice 的輸入和 Bob 的輸入（其中 Alice 是亂碼者，Bob 是評估者）串聯的 sha256 雜湊值。

我試圖了解當惡意破壞電路以將 Bob 的輸入的至少一位洩漏到輸出中時，Alice 可以採用哪些方法。（在我的情況下，電路的輸出是否錯誤並不重要，只是 Bob 的輸入沒有洩漏）

檢查JIGG的原始碼，我看到 Bob 從 Alice 那裡收到了電路中所有與門的亂碼真值表。他不需要 XOR 門的真值表（我假設是因為 FreeXOR）。

我是否正確假設“操縱”AND真值表是Alice影響輸出的唯一迴旋餘地。無論與與門的輸入線如何，是否可以將其設置為始終輸出例如 0？

我確實閱讀了Pragmatic MPC的整個“惡意安全”一章，但它沒有涵蓋我的具體問題，只是順便提到“惡意生成的亂碼電路的輸出可能洩漏超過 P 2 同意透露的內容（例如， P 2 的整個輸入）。” 然後這本書繼續解釋如何防禦惡意亂碼，它沒有解釋亂碼器如何準確地操縱電路以洩漏輸入。

這實際上取決於使用哪種亂碼方案。使用最先進的半門方案（此處），您的問題已成為 Dupin、Pointcheval 和 Bidan 的論文的主題，可在此處找到。底線是：任何此類攻擊都等於在原始電路中任意添加或刪除非門。這是否可以用來完全洩漏輸入取決於用於實現散列函式的確切電路（並且找出確切答案可能非常棘手，因為這個布爾電路可能很複雜）。

（如論文所示，存在一些電路，這些攻擊可證明不是問題，但標準雜湊函式似乎不太可能出現這種情況）

引用自：https://crypto.stackexchange.com/questions/92133