SMPC-安全多方计算开篇姚82

一、姚氏百万富翁问题

假定，Alice有$i$百万，Bob有$j$百万，且$1<i,j<10$，比较两人谁更富有，同时不泄露两人的财富大小。

1、姚82解决方案

$M$：$N$比特非负整数集合
$Q_N$：$M$到$M$的一一映射函数集
$E_a$：$Q_N$中随机选择的元素作为Alice的公钥

1. Bob随机选择一个$N$比特整数$x$，使用Alice公钥计算$k=E_a(x)$；
2. Bob把$k-j+1$发送给Alice；
3. Alice使用自己的私钥计算$y_u=D_a(k-j+u),u=1,2,...,10$；
4. Alice随机生成一个$N/2$比特的素数$p$，计算$z_u=y_u(modp)$，如果所有$z_u$在$modp$下相差至少$2$，停止；否则的话随机生成另一个素数，重复计算直到所有$z_u$在$modp$下相差至少$2$；$p,z_u$代表了最终的数据集；
5. Alice将素数$p$和$modp$下的$z_1,z_2,...,z_i,z_{i+1}+1,...,z_{10}+1$发送给Bob；
6. Bob查看第$j$个数字，如果$z_j=x(modp)$，那么$i\ge j$；否则，$i<j$；
7. Bob将结果告知Alice。

2、几点理解

1、Alice角度

1. 首先，Alice不会知道Bob的财富$j$，Bob发送过来的是$k-j+1$，$k$是$N$比特非负整数，$j$是藏在其中，无法逆推出$j$。当然，通过最后Bob告知的比较结果，Alice可以推断出$j$的范围。
2. 其次，Bob拥有$D_a(s)$的值，即自己随机选择的一个$N$比特整数$x$，其中$s$是位于$k-j+1$到$k-j+10$之间的某个值。$E_a$也是随机的，因此这十种结果也是等概率随机的，Alice推断出Bob选择的随机数的概率是$1/10$。

2、Bob角度

1. Bob只知道$x=D_a(k-j+j)=y_j$及$z_j=y_j(modp)$，因此Bob在收到Alice发的10个数时，只有一个数字是等于$x$或者$x+1$，其他九个数字将是毫无意义。他无法知道$z_u$是$z_u$还是$z_u+1$，从而无法判断是$z_i$的位置。
2. 如果，Bob在得出比较结果之后，想要做更多的计算来获取额外的信息。比如说，Bob尝试选取另一个随机数$t$满足$E_a(t)=k-j+9$，那么假设Bob找到了这样的$t$，那么他就会知道$y_9=t$及$z_9$，从而推断出是否$i\ge 9$。这就是Bob不该获取到的额外的信息。因此就要求各参与方仅仅只能执行协议内的计算。
3. 当然，Bob在得出最终比较结果后，在将结果传递给Alice时欺骗了她，告知了错误的结果。这个在姚82中也提出了相应的理论。

3、其他解决方案

在姚82中，提及另外两种基于不同方法的方案：

1. 基于满足交换性的单向函数，$E_a{E}_b(x)=E_b{E}_a(x)$；
2. 基于Goldwasser提出的概率加密方法。

二、通用问题模型