【隐私计算笔谈】MPC系列专题（十五）：三方复制秘密分享

【隐私计算笔谈】MPC系列专题（十五）：三方复制秘密分享

三方复制秘密分享

复制秘密共享（ three-party replicated secret sharing ），是另一种秘密共享技术。本次科普要介绍的是Araki等人的半诚实的三方复制秘密共享协议，用于在三方环境下的安全多方计算和秘密共享，可以容忍最多一个腐化用户，其相比于Shamir(2, 3)来说有非常小的通信量和计算量。

首先介绍在布尔电路下的情景，假设参与者分别为 Alice、Bob和Candy，三者的序号分别记为1、2、3。在复制秘密共享中，一个单比特的秘密𝑥会被生成为三个子秘密𝑥₁,𝑥₂,𝑥₃，且𝑥=𝑥₁⊕𝑥₂⊕𝑥₃。具体方式为：秘密分享者首先生成三个随机数𝑎₁,𝑎₂,𝑎₃，并且满足𝑎₁⊕𝑎₂⊕𝑎₃=0。让子秘密𝑥₁=𝑎₃⊕𝑥，𝑥₂=𝑎₁⊕𝑥，子秘密𝑥₃=𝑎₂⊕𝑥。则𝑥₁⊕𝑥₂⊕𝑥₃=𝑎₁⊕𝑎₂⊕𝑎₃⊕𝑥⊕𝑥⊕𝑥=𝑥。让Alice、Bob和Candy分别持有(𝑎₁,𝑥₁), (𝑎₂,𝑥₂), (𝑎₃,𝑥₃)，将这种秘密分享方式简记为[𝑥]。满足限制条件𝑎₁⊕𝑎₂⊕𝑎₃=0下生成随机数𝑎₁,𝑎₂,𝑎₃的具体方式之后再进行介绍。在这种情况下，任意两个参与者合谋就可以恢复出秘密𝑥，如Bob和Candy合谋，则Candy可以利用自己手中的𝑥₃和Bob手中的𝑎₂，计算𝑥₃⊕𝑎₂=𝑎₂⊕𝑥⊕𝑎₂=𝑥。

在安全多方计算中，只要实现了多方加法和多方乘法，即可实现完备。因此接下来开始介绍该三方复制秘密共享协议实现多方加法和多方乘法的方式。此时Alice已经持有了(𝑎₁,𝑥₁), (𝑏₁,𝑦₁)，Bob持有了(𝑎₂,𝑥₂), (𝑏₂,𝑦₂)， Candy持有了(𝑎₃,𝑥₃), (𝑏₃,𝑦₃)。

首先是XOR（加法）的实现方式：要计算 [𝑧]=[𝑥+𝑦]，Alice、Bob和Candy只需要分别本地计算𝑥_𝑖+𝑦_𝑖,𝑖∈{ 1,2,3}即可。以Alice为例，因为𝑥₁=𝑎₃⊕𝑥，𝑦₁=𝑏₃⊕𝑦，则𝑥₁⊕𝑦₁=𝑎₃⊕𝑥⊕𝑏₃⊕𝑦=(𝑎₃⊕𝑏₃)⊕(𝑥⊕𝑦)=(𝑎₃⊕𝑏₃)⊕𝑧，若将𝑎₁⊕𝑏₁记为𝑐₁，𝑎₂⊕𝑏₂记为𝑐₂，𝑎₃⊕𝑏₃记为𝑐₃，则Alice、Bob和Candy在分别完成本地计算𝑥_𝑖+𝑦_𝑖,𝑖∈{ 1,2,3}后，Alice可以得到𝑧₁=𝑐₃⊕𝑧，