帶有扭曲的非互動式安全計算？

非互動式安全計算 (NISC)（由本文介紹，隨後由其他人介紹）是安全 2PC/MPC 的變體，定義為以下設置：

Alice 發布了 f(*, y) 的加密版本，這樣 Bob 或任何知道某個 x 的人都可以構造一條消息 m，向 Alice 揭示 f(x, y)（無需與 Alice 進行任何其他互動）。

然而，如果我理解正確的話，在目前的提議中，如果我理解正確的話，如果沒有 Alice 的幫助，Bob 將無法學習 f(x, y)。但這正是我想要的。與 NISC 文獻相比，Bob 的 x 和 f(x, y) 的隱私對我來說都不重要。只是 y 的隱私很重要。有誰知道這是否可能/已經在某處提出？

如果 Alice 是唯一說話的人，但 Bob 可以學習輸出，那麼協議必須洩漏的不僅僅是 $ f(x,y) $ . 看：

Halevi、Lindell、Pinkas：Web 上的安全計算：無需同時互動的計算

本質上，Bob 可以選擇許多不同的 $ y_i $ 值並重新執行協議以學習許多不同的 $ f(x,y_i) $ 輸出。由於 Bob 在協議中從不說話，他可以在沒有 Alice 的參與的情況下“在他的腦海中”做這一切。所以你能期望的最好的結果是協議不會洩露給 Bob，而不是洩露給 Bob 的剩餘函式的預言機 $ f(x,\cdot) $ .

對於某些功能 $ f $ ，實現這種“最好的”洩漏是不可能的。論文的定理2.3有一個例子（其中 $ f $ 是一個偽隨機函式並且 $ x $ 是它的種子）。對於其他功能，“最好的”洩漏相當於只是給出 $ x $ 在明確。因此，您可以從這種有限互動模型中獲得什麼並不總是很清楚。

引用自：https://crypto.stackexchange.com/questions/91697