Reference-Request
具有輸出隱私的乘法三方協議
假設這個簡單的協議包含三方: $ X $ (帶秘密輸入 $ x $ ), $ Y $ (帶秘密輸入 $ y $ ), 和 $ Z $ (無輸入)。假設我們正在使用來自有限域的元素進行操作。
目標是在協議執行後, $ Z $ 知道 $ x\cdot y $ 但不是 $ x $ 也不 $ y $ , 和 $ X $ 和 $ Y $ 什麼都學不到。這可以被認為類似於安全多方計算中的輸出隱私。很清楚為什麼我們需要輸出隱私:如果 $ X $ 學習 $ x\cdot y $ , 他可以計算 $ y $ (反之亦然)。
初始方法可以基於使用致盲因子。 $ X $ 給 $ b\cdot x $ 至 $ Y $ 和 $ b $ 至 $ Z $ , 對於隨機抽樣 $ b $ ; 下一個, $ Y $ 給 $ (b\cdot x)\cdot y $ 至 $ Z $ ; 最後, $ Z $ 移除 $ b $ 獲得 $ x\cdot y $ . 該解決方案假定所有各方都是誠實的。
關於如何提出更好的解決方案的任何其他想法或參考?我敢肯定,SMC 社區應該已經解決了類似的問題。
首先,我假設各方的輸入來自一個乘法組。如果它們在一個環中,並且您還希望乘以零,那麼事情會變得更加困難。在這種情況下,即使在半誠實的情況下,您描述的協議也不安全。
您描述的協議在惡意情況下已經是安全的。 $ X $ 隨機給出 $ b $ 至 $ Z $ 和 $ bx $ 至 $ Y $ . $ Y $ 給 $ (bx)y $ 至 $ Z $ , 誰計算 $ b^{-1}(bxy) $ .
- 如果 $ X $ 是腐敗的,他發送了一些 $ b $ 至 $ Z $ 和 $ c $ 至 $ Y $ . 這對誠實的各方達到了與誠實地輸入輸入相同的效果 $ b^{-1} c $ 在理想世界中,所以它是可模擬的/不是攻擊。
- 如果 $ Y $ 是腐敗的,她得到 $ c = bx $ 從 $ X $ 並給出 $ d $ 至 $ Z $ . 訊息 $ c $ 從 $ X $ 是均勻分佈的,所以這個消息是可模擬的而不知道 $ X $ 的輸入。此外, $ Y $ 的行為對誠實的各方產生了與誠實地執行輸入相同的效果 $ d c^{-1} $ ,所以它是可模擬的/不是攻擊。
- 如果 $ Z $ 是腐敗的,他無能為力,因為他所做的只是接收消息。
- 如果 $ Z $ 腐敗並與其中之一勾結 $ {X,Y} $ ,那麼在理想世界中,他們可以完整地推斷出誠實方的輸入。所以沒有什麼可隱瞞的。
- 如果 $ X $ 和 $ Y $ 勾結,然後 $ X $ 發送 $ b $ 至 $ Z $ 和 $ Y $ 發送 $ d $ 至 $ Z $ . 這對誠實的一方達到了與他們誠實地使用輸入執行相同的效果 $ 1 $ 和 $ b^{-1} d $ .