Garbled Circuits介绍 - 4 混淆电路的优化

前面几章我们介绍了混淆电路的基本概念、基础知识和Yao的混淆电路协议（也就是通用的混淆电路框架），因此我们接下来详细的展示对它的优化。文章可能会有一些小错误，另外文章所有图例、参考文献、表格需要均接前面的章节。若需要查看前面几章请点击下面的链接：

Garbled Circuits介绍 - 1 引言

Garbled Circuits介绍 - 2 基础知识

Garbled Circuits介绍 - 3 Yao的混淆电路协议

4 混淆电路的优化

4.1普通方案

4.1.1混淆电路大小

由于通信信道的限制，混淆电路的大小通常是主要参数。很多研究都是致力于使混淆电路的大小降低，甚至愿意花费更昂贵的计算时间或者更弱的困难性假设来达到降低混淆电路大小的目的[44]。降低一个混淆电路的大小通常是降低每个门需要的密文数量。电路可以增长到包含数十亿个门，这意味着每个混淆电路可以有十亿字节的大小。

4.1.2 计算时间

计算时间与和过程的时间消耗有关。因此，目前的研究主要是使他们的时间消耗降低，当一方的CPU资源受到限制时，例如移动设备，计算时间可能更加重要[44]。

4.1.3 安全性

一个混淆方案必须确保第三章第二节提到的安全属性都成立，尽管有的时候真实性可能会被忽略。如果构建一个方案的困难性假设更强，那么这个方案也会更加安全[44]。

本章的其余部分主要讨论与混淆电路大小的优化相关的技术，在描述每种技术之后，将会有一个大小和计算时间的表格，用来与之前的技术进行比较。假设使用对称加密方案并用$edt$表示为用于加密/解密的时间，$ct$代表密文。

4.2 点置换混淆电路（Point and Permute)

$evaluator$需要知道哪个门的密文必须在计算过程中解密，但是不能允许他推断任何输入或输出的真值。最古老而又安全的方法是点置换混淆电路（Point and Permute，P&P），这是Beaver等人在[16]中提出的。

$Garbling$：

1.Alice和Bob想要计算图8 (a)中门的输出，其中a和b是输入，c是输出。

图8： (a)待计算门，(b)标签分配，(c)对输入标签重新排列密文。

2.Alice选择导线的掩蔽值，每个掩蔽值都有两个可能的标签之一（其中对于$a$可以为$A_0$或$A_1$，$b$可以为$B_0$或$B_2$，$c$可以为$C_0$或$C_1$），并且对于给定的导线，两个掩蔽值都有不同的标签（如图8的(b)所示）。标签需要是可以直接从掩蔽值获得的东西（如最后一个比特位）。例如，如果导线$a$的掩蔽值对应的真值$FALSE(A_0)$在最后一位上为0，那么真值$TRUE(A_1)$的掩蔽值在最后一位上必须为1。真值不能从掩蔽值的标签中获得。Alice用相应的输入掩蔽值加密门的可能输出掩蔽值$E_{A_0,B_0}(C_0)$，$E_{A_0,B_1}(C_1)$，$E_{A_1,B_0}(C_0)$和$E_{A_1,B_1}(C_0)$。

3.Alice根据输入标签重新排列密文，如图8的(c)所示。在计算过程中，Bob将根据输入标签知道他必须从哪个密文解密。通过这种方式，密文的顺序与导线真值无关，从而防止了任何信息泄漏。

在这种方法中，每个门需要传输的密文数为4。4个加密和1个解密是每个门的计算成本(见表2)。

表2：优化对比（P&P）

Method	Odd/ Even门大小	Odd/ Even门加密时间	Odd/ Even门解密时间
Classical[Yao86]	4 ct / 4 ct	4 edt / 4 edt	4 edt / 4 edt
P&P[BMR90]	4 ct / 4 ct	4 edt / 4 edt	1 edt / 1 edt

注：ct代表密文； edt：总加密和/或解密时间。

4.3 减少为3行密文混淆行的混淆电路（Garbled Row Reduction 3 Ciphertexts）

Naor等人在[9]就提出了一种比P&P更加聪明的方式，叫做减少为3行密文混淆行的混淆电路（Garbled Row Reduction 3 Ciphertexts ，GRR3）。它的详细介绍如下：

$Garbling$：

1.Alice和Bob想要计算图9中门的输出。

图9：减少为3行密文混淆行的混淆电路

2.Alice按标签顺序选择第一个输出的掩蔽值，它产生的密文的所有位都是0（即，最后解密所有的0 ，$C_1\leftarrow E_{A_0,B_1}^{-1}(0^n)$）。最后得到的掩盖值依然是伪随机的。

3.由于不需要发送第一个密文，每个门发送3个密文就足够了。

尽管GRR3产生的混淆电路比P&P产生的混淆电路更小，但它对计算量的影响很小，因为少的那加密被对第一个密文的解密代替。

表3：优化对比（GRR3）

Method	Odd/ Even门大小	Odd/ Even门加密时间	Odd/ Even门解密时间
Classical[Yao86]	4 ct / 4 ct	4 edt / 4 edt	4 edt / 4 edt
P&P[BMR90]	4 ct / 4 ct	4 edt / 4 edt	1 edt / 1 edt
GRR3[NPS99]	3 ct / 3 ct	4 edt / 4 edt	1 edt / 1 edt

注：ct代表密文； edt：总加密和/或解密时间。

4.4 免费的异或门（Free XOR）

免费异或门技术是混淆电路技术中最大的飞跃之一，由Kolesnikov和Schneider在[45]中提出。它基本上消除了对任意密文传输和$XOR$门的任意计算的需要。这个函数可以被编译成其他门的数量最小的形式，通常其他门是$AND$门，因为$（XOR，AND）$门是图灵完备（在可计算性理论中，一个数据操作规则系统(如计算机指令集、编程语言或元胞自动机) 可以用来模拟任何图灵机的话则被认为是图灵完备的，或者是通用的。这意味着该系统能够识别或决定其他数据操作规则集。）的。它的详细介绍如下：
Garbling：
1.Alice和Bob想要计算图10 (a)中$XOR$门的输出。

图 10：（a）普通的$XOR$门；（b）用偏移量表示其掩盖值的$XOR$门；（c）导线上掩盖值使用相同的偏移量的$XOR$门；（d）使用了免费异或门技术的$XOR$门

2.在导线$a$中，$TRUE$的掩盖值可以写成在代表$FALSE$的掩盖值$A$异或上一个${\Delta }_A$，它是一个与$A$和$B$具有相同位数的随机值，如图10 (b)所示。最后代表$FALSE$的掩盖值为$A$，代表$TRUE$的掩盖值为$A\oplus {\Delta }_A$。Alice也用同样的方式写出了$b$和$c$的掩盖值。

3.Alice把所有导线中掩盖值的偏移量都设置成$\Delta$，如图10 (ｃ)所示。即使一个电路中有多个门，所有的导线也必须使用相同的偏移量，只有这样才能应用免费异或门技术。偏移量使秘密的，只有$garbler$知道。

4.Alice在输出中为$FALSE$选择掩盖值，该掩盖值为输入中两个$FALSE$的掩盖值的异或，如图10 (ｄ)所示。这使得为$XOR$门传输任何密文变得不必要。

$Evaluating$：

5.Bob只需异或输入的掩盖值就可以计算输出的掩盖值。

$AND$门使用GRR3的方式加密，最后只需传输3个密文。标签仍然存在，密文必须按顺序排列。对于给定的导线，偏移量的选择必须使两个掩盖值具有不同的标签（即，如果标签是最后一位，它的$lsb$必须是1）。由于输入和输出使用相同的偏移量，因此需要对所使用的加密方案使用[46]进行循环假设。

免费异或门技术，使异或门在$garbler$和$evaluator$方的传输和计算中完全免费。这产生了巨大的影响，不仅使$XOR$门免费，而且允许以增加$XOR$门为代价最小化其他门的数量。

图11：在免费异或门技术中除$XOR$门外的其余门加密

表4：优化对比（Free XOR）

Method	Odd/ Even门大小	Odd/ Even门加密时间	Odd/ Even门解密时间
Classical[Yao86]	4 ct / 4 ct	4 edt / 4 edt	4 edt / 4 edt
P&P[BMR90]	4 ct / 4 ct	4 edt / 4 edt	1 edt / 1 edt
GRR3[NPS99]	3 ct / 3 ct	4 edt / 4 edt	1 edt / 1 edt
Free XOR[KS08]+GRR3	3 ct / free	4 edt / free	1 edt / free

注：ct代表密文； edt：总加密和/或解密时间。

4.5 减少为2行密文混淆行的混淆电路（Garbled Row Reduction 2 Ciphertexts）

Pinkas等人为了减少传输密文的数量，在[27]中提出了一种名为减少为2行密文混淆行的混淆电路（Garbled Row Reduction 2 Ciphertexts，GRR2）的方法。GRR2是基于Shamir的秘密共享，特别适用于在$AND$门数较多的情况下对电路进行缩小。它的详细介绍如下：

$Garbling$：
1.Alice和Bob想要计算图12 (a)中奇数门的输出。

图 12：(a)被混淆的奇数门；(b)从$K_1$、$K_2$、$K_3$和$K_4$得到的两个多项式的图。

2.Alice通过所有可能的输入组合解密所有0来计算$K_1$、$K_2$、$K_3$和$K_4$（即$K_1\leftarrow E_{A_0,B_0}^{-1}(0^n)$，$K_2\leftarrow E_{A_0,B_1}^{-1}(0^n)$，$K_3\leftarrow E_{A_1,B_0}^{-1}(0^n)$，$K_4\leftarrow E_{A_1,B_1}^{-1}(0^n)$）。

3.Alice使用相同输出的行(在本例中为第1、3、4行)绘制一个2次多项式$P(x)$(如图12 (b)中的红色抛物线)。

4.Alice还使用剩下的行(这里是第2行)、$P(5)$和$P(6)$绘制了另一个2次多项式$Q(x)$(如图12 (b)中的蓝色抛物线)。

$Evaluating$：

5.Alice只发送$P(5)$和$P(6)$的交点。Bob将使用他在输入中获得的掩盖值解密所有0来获得另一个点。他只能得到其中一个多项式，但是不知道是哪个。输出掩盖值将是这个多项式在$x=0$时的值（即，$C_0=P(0)$和$C_1=Q(0)$ ）。

这个方案中的位置可能泄露了信息。此外，由于导线掩盖值不是选择的，而是计算的伪随机值，因此不可能直接使用P&P技术。因此，Pinkas等人建议为每条导线增加一个位的外部值。外部值与标签一样，与对应的$TRUE$和$FALSE$真值不相关。外部值用于排序。为了计算一个门的输出的外部值，需要发送额外的4个$M_r$比特。然后，$evaluator$只需对输入掩盖值的第一位和相关的$M_r$位进行异或运算，就可以找到输出的外部值。由于他不知道输入导线的其他真值的掩盖值，所以他无法找到其他输出的外部值。

$Garbling$：
1.对于偶数门，与奇数门情况下类似，Alice同样地计算$K_1$、$K_2$、$K_3$和$K_4$，按照外部值的顺序。

2.与前面的过程有些不同，她画出两个一阶多项式，每个一阶多项式都经过对应于相同输出值的两个点。例如，如果$K_1$和$K_3$都是对应真值为$TURE$的行，那么她画出经过$(1,K_1)$和$(3,K_3)$的和经过$(2,K_2)$和$(4,K_4)$的$Q(x)$。Alice发送$P(5)$和$Q(5)$，以及额外的4个$M_r$位。她确保$P(5)$和$Q(5)$的排序是根据门的输出的外部值，就像使用标签位一样，这样$evaluator$就知道使用哪一个。

$Evaluating$：
3.$evaluator$使用输入的掩盖值来解密所有0。因为有两个点在手，所以它可以绘制出一阶多项式，输出掩盖值将是这个一阶多项式在$x=0$时的值。

参考Shamir的秘密共享，每个门需要发送两个长度为$t$的值和4个$M_r$比特，共$(2t+4)$位。为了简单起见，我们可以把它看成每个门有两个密文。

虽然GRR2有助于减小奇数门的大小，它有一个主要的缺点就是与免费异或门技术不兼容。这是因为用GRR2技术的门的输出掩盖值是伪随机数，不能设置为相同的偏移量。

表5：优化对比（GRR2）

Method	Odd/ Even门大小	Odd/ Even门加密时间	Odd/ Even门解密时间
Classical[Yao86]	4 ct / 4 ct	4 edt / 4 edt	4 edt / 4 edt
P&P[BMR90]	4 ct / 4 ct	4 edt / 4 edt	1 edt / 1 edt
GRR3[NPS99]	3 ct / 3 ct	4 edt / 4 edt	1 edt / 1 edt
Free XOR[KS08]+GRR3	3 ct / free	4 edt / free	1 edt / free
GRR2[PSSW09]	2 ct / 2 ct	4 edt / 4 edt	1 edt / 1 edt

注：ct代表密文； edt：总加密和/或解密时间。

4.6 灵活的异或门技术（FleXOR）

免费异或门技术和GRR2技术不兼容的情况可能会因为$XOR$门和$AND$门比例的不同，产生不同的适用情况。为了避免这一情况的发生，Kolesnikov等人在[44]提出了灵活的异或门技术（fleXOR）。FleXOR可以减少异或门的密文数量，即使它的导线有不同的偏移量。使用该技术，$XOR$门大多数情况下需要1个或更少的密文。只有当异或门的输出导线的掩盖值与其输入导线的偏移量不同时，才可能花费2个密文。实际上，在大多数情况下，可以选择输出导线的掩盖值，使其具有至少一个与输入导线相同的偏移量。

$Garbling$：

1.Alice和Bob想要计算如图13（a）所示的$XOR$门的输出。

图13：（a）在输入和输出中具有不同偏移量的异或门；（b）一个用来改变导线的偏移量缓冲门；（c）一个异或门，其输入偏移量由两个假想的缓冲门改变为其输出偏移量；（d）一个异或门，其其中一个输入偏移量通过一个假想的缓冲门改变为其输出偏移量。

2.一个思路是将输入导线与输出导线的偏移量变成相同的，也就是将${\Delta }_A$，${\Delta }_B$变为${\Delta }_C$，那么异或门将会是免费的。图13中（b）描述一个可用于改变导线偏移量的假想缓冲门。Alice用相应的输入加密输出的掩盖值，即$E_A(A^{\ast })$和$E_{A\oplus {\Delta }_1}(A^{\ast }\oplus {\Delta }_2)$。她使用P&P技术给它们排序，并且因为可以是任意随机值，所以她可以使排序中的第一个全为0。因此，缓冲门只发送一个密码文本就足够了。

3.对于一个$XOR$门，Alice最多需要两个假想的缓冲门来将输入导线的偏移量变成与输出导线相同的偏移量，如图13（c）所示。

4.大多数情况下，每个$XOR$门只需一个假想的缓冲区就足够了，因为Alice可以让输出的偏移量与其中一个输入的偏移量相同，如图13（d）所示。如果输入和输出具有相同的偏移量，则$XOR$门是免费的。

fleXOR技术能够与GRR2结合来减少$AND$门的密文数量。Kolesnikov等人提出的结合方案见图14。

图14中的算法中使用的符号与图7中所示的算法类似。$XORGates(f)$表示$f$中$XOR$门的集合。$C_{X_i}$表示导线的外部值，它的掩盖值是$X_i$。$V_{ij}$表示与$ij$阶相关的插值使用的值。$m_{ij}$表示用于掩盖外部值的一位比特值。$X_{ai}$表示导线$a$上的掩盖值，$i$为外部值。$W_{ai}$表示导线$a$上的真值，$i$为外部值。$c_{ij}$表示为计算门的输出的外部值而发送的位，$ij$是来自输入外部值的顺序。

图14：由Kolesnikov等人在[44]中提出的fleXOR与GRR2结合方案

表6：优化对比（FleXOR）

Method	Odd/ Even门大小	Odd/ Even门加密时间	Odd/ Even门解密时间
Classical[Yao86]	4 ct / 4 ct	4 edt / 4 edt	4 edt / 4 edt
P&P[BMR90]	4 ct / 4 ct	4 edt / 4 edt	1 edt / 1 edt
GRR3[NPS99]	3 ct / 3 ct	4 edt / 4 edt	1 edt / 1 edt
Free XOR[KS08]+GRR3	3 ct / free	4 edt / free	1 edt / free
GRR2[PSSW09]	2 ct / 2 ct	4 edt / 4 edt	1 edt / 1 edt
FleXOR[KMR14]	2 ct / {0,1,2} ct	4 edt / {0,2,4} edt	1 edt / {0,1,2} edt

注：ct代表密文； edt：总加密和/或解密时间。

4.7 半门技术（Half Gates）

由Zahur等人在[43]中提出的半门技术，证明了$AND$门只需发送2个密文就够了，而$XOR$门是免费的。和上文提到的免费异或门技术一样，整个电路导线持有相同偏移。它基于这样一种思想，即如果其中一方知道$AND$门的一根输入导线上的真值，它只需发送一个密文就够了。方法将一个$AND$门分为两个$AND$门，其中一方知道一根输入导线上的真值。这个方法的名字来自这个除法。

$A$，$B$，$C$，$C_1$和$C_2$是导线$a$，$b$，$c$（$AND$门的输出），$c_1$（$garbler$方半门的输出），$c_2$（$evaluator$方半门的输出）的掩盖值。$\Delta$表示公共偏移量。

$Garbling$：

1.Alice和Bob想要计算一个$AND$门的输出，其输入导线为$a$，$b$。

2.一个$AND$门可以写作两个$AND$门的异或，如下等式，$r$是一个随机选择的位，只有Alice知道。Alice选择它作为$B$的标签位，$B$是导线$b$上$FALSE$的掩盖值。

$$a\wedge b=(a\wedge r)\oplus [a\wedge (b\oplus r)]$$

$GarblingHalfGate$：

3.$a\wedge r$是$garbler$方的半门，$a\wedge (b\oplus r)$而是$evaluator$方的半门。为了计算$garbler$方的半门的输出，即$c_1\leftarrow a\wedge r$，Alice需要发送$E_B(C_1)$和$E_{B\oplus \Delta }(C_1\oplus r\Delta )$。因为她知道$r$的值，所以仅需两个输入结合即可求出。她根据$b$的标签位对密文进行排序。也可以使用GRR3技术使第一行的密文全为0。她通过解密第一个密文得到的值来计算第二个密文。因此，只发送1个密文就足够了。

4.在计算$garbler$方的半门期间，Bob根据导线$b$上掩盖值的标签位对相关密码文本进行解密。因为是通过标签进行排序的，所以他不知道$b$的真值。

$EvaluatorHalfGate$：

5.对于$evaluator$方的半门，Alice需要让Bob知道$q=b\oplus r$，而不知道$b$或$r$。实际上，它是Bob在导线$b$上得到的掩盖值的标签位。这是为什么一开始被选$r$为的标签位的主要原因。

6.为了计算$c_2\leftarrow a\wedge q$，Alice根据$r$的不同有两种不同的做法。如果$r$是$FALSE$，Alice严格按照这个顺序发送两个密文$E_B(C_2)$和$E_{B\oplus \Delta }(C_2\oplus r\Delta )$。否则，Alice严格按照这个顺序发送$E_{B\oplus \Delta }(C_2)$和$E_B(C_2\oplus r\Delta )$。并且，第一个密文可以全部为0，第二密文可以从中计算出来。因此，仅向$evaluator$半门发送一个密文就足够了。

7.如果Bob获得的值为$FALSE$，他使用导线$b$上的掩盖值来解密第一个密文，求出$evaluator$半门输出的掩蔽值。否则，导线$b$上的值来解密第二个密文，并且用导线$a$上的掩盖值异或结果，得到半门的输出掩盖值。

$evaluator$不知道$a$，$b$，$r$或$c_2$（仅当$q=1$时，否则他知道$c_2$）的真值。最后，半门的结果必须异或，以获得$AND$门的最终输出。

使用半门技术，一个$AND$门花费2个密文，$XOR$门是免费的。从电路大小的角度看，半门技术是目前发展起来的方法中最优的。Zahur等人也证明了进一步减小$AND$门的大小是不可能的。

表7：优化对比（Half Gate）

Method	Odd/ Even门大小	Odd/ Even门加密时间	Odd/ Even门解密时间
Classical[Yao86]	4 ct / 4 ct	4 edt / 4 edt	4 edt / 4 edt
P&P[BMR90]	4 ct / 4 ct	4 edt / 4 edt	1 edt / 1 edt
GRR3[NPS99]	3 ct / 3 ct	4 edt / 4 edt	1 edt / 1 edt
Free XOR[KS08]+GRR3	3 ct / free	4 edt / free	1 edt / free
GRR2[PSSW09]	2 ct / 2 ct	4 edt / 4 edt	1 edt / 1 edt
FleXOR[KMR14]	2 ct / {0,1,2} ct	4 edt / {0,2,4} edt	1 edt / {0,1,2} edt
Half Gates[ZRE15]	2 ct / free	4 edt / free	2 edt / free

注：ct代表密文； edt：总加密和/或解密时间。

完整的半门技术如下：

对于一个布尔电路$f$，电路中的每根导线都有一个数字索引。输入导线、输出导线、$XOR$门输出导线的集合使用$Inputs(f)$，$Outputs(f)$和$XORGates(f)$表示。这些函数也可以应用于$f$的混淆版本$F$，用$Inputs(F)$，$Outputs(F)$和$XORGates(F)$表示。$v_i$表示电路中第$i$条导线上的1位真值。如果一个门上的输出导线的索引为$i$，那么该门就是电路中的第$i$个门。第$i$个门上$FALSE$和$TRUE$真值的掩盖值用 W i 0 , W i 1 ∈ { 0 , 1 } k W_i^0,W_i^1 \in \{0,1\}^k Wi0​,Wi1​∈{0,1}k表示。方案的安全参数为$k$。对于每条导线的掩盖值$W$，标签位是它的最低有效位$lsbW$。对于第$i$条导线，定义$p_i=lsb{W}_i^0$。该值被命名为导线的置换位，只有$generator$知道。直观的，如果导线上的掩盖值的标签位是$s_i$，则掩盖值是$W_i^{s_i\oplus p_i}$，对应的真值是$s_i\oplus p_i$。$W_i$表示$evaluator$不知道$v_i$。免费异或门的偏移量定义为 R ∈ { 0 , 1 } k R \in \{0,1\}^k R∈{0,1}k。我们有$lsbR=1$，所以$lsb{W}_i^0\ne lsb{W}_i^1$，所述导线上的互补掩盖值具有不同的标签位。有时$ \land$被忽略，两个符号并列表示$AND(ab=a \land b)$。$H:{0,1}^k \times z \rightarrow {0,1}^k$表示用在混淆电路中的哈希函数。

该技术可以进一步推广，使其可以应用于任何奇数门（$OR$，$NOR$，$NAND$等），因为它们都可以写成如下等式。其中$a_a$，$a_b$，$a_c$为常量。
$$(v_a,a_b)\to (a_a\oplus v_a)\wedge (a_a\oplus v_b)\oplus a_c$$

为了计算上面的等式，半门的构建如图15所示，注意，$a$值不会影响$evaluator$的操作。

图15：半门的构建

Zahur等人提出的整条电路的完整$garbling$过程如图16的算法所示。所有的门都被假定为一个$AND$门或一个$XOR$门。

图16：Zahur等人在[43]中提出的完整半门混淆方案
因为$D_E$没有返回$\perp$，该方案不满足真实性标准。为了使其真实可信，Zahur等人提出了以下改变：

图16第13行的for循环必须改变如下：

图 17：图16第13行的for循环改变之后

图16第54行for循环必须改变如下：

图18：图16第54行的for循环改变之后

4.8 免费异或门的扩展（Garbled Gadgets）

Ball等人在[47]中将免费异或门技术从$mod2$扩展到$modm$。令${\oplus }_m$代表数按位对$m$进行取模。$\oplus$与${\oplus }_2$是等价的。令${\ominus }_m$表示${\oplus }_m$的逆。因为我们有更高的模数，所以每根导线有$m$个标签，而不是2个。就行Kolesnikov等人提出的免费异或门技术一样，Ball等人利用每根导线$w_i$标签之间的距离常量$R$（这里的$R$可以理解为前面的$\Delta$，这个$R$是对$m$取余而不是对位取余的向量）。所以，我们有$W^0,W^1=W^0{\oplus }_{m}R,W^2=W^0{\oplus }_{m}2R,\dots ,W^{m-1}=W^0{\oplus }_m(m-1)R$。

这使得我们可以免费得到加法模$m$，用完全相同的方式，免费异或门技术允许我们免费得到模2。即使我们对二进制计算，这个技术也可以允许我们利用加法模的可交换性利用$n+1$个密文而不是$2^n$个密文来混淆$n$个输入门的二进制数据。对于任意一个门$g_i$，以及任何位向量 v j , j ∈ { i n i n d i c e s i } v_j,j \in \{inindices_i\} vj​,j∈{inindicesi​}，($inindice{s}_i$是输入导线到$g_i$门的索引），汉明权重为$t$。

$$M=\sum _{j\in inindice{s}_i}{W}_j^{v_j}=(\sum _{j\in inindice{s}_i}{W}_j^0)+tR$$

通过将密钥推导函数$H$应用于门输入线标签的模的和$M$(而不是它们的拼接)，我们可以忽略输入门的顺序。图19举例说明6输入$AND$门的混淆过程。

图19：6输入AND门的混淆过程

图20：6输入阈值门(THRESHOLD gate)的混淆过程，如果输入的和足够大，则返回$k$，否则返回$k^{\prime }$

Ball等人使用投影门轻松地支持切换模，该投影门使用每个标签的一个密文将带有数字模的标签转换为带有数字模的标签。利用加法模的可交换性来减少$n$输入混淆门所需的密文的数量是其背后的关键思想。该技术兼容P&P和GRR3技术。

表7：优化对比（Half Gate）

Method	Odd/ Even门大小	Odd/ Even门加密时间	Odd/ Even门解密时间
Classical[Yao86]	4 ct / 4 ct	4 edt / 4 edt	4 edt / 4 edt
P&P[BMR90]	4 ct / 4 ct	4 edt / 4 edt	1 edt / 1 edt
GRR3[NPS99]	3 ct / 3 ct	4 edt / 4 edt	1 edt / 1 edt
Free XOR[KS08]+GRR3	3 ct / free	4 edt / free	1 edt / free
GRR2[PSSW09]	2 ct / 2 ct	4 edt / 4 edt	1 edt / 1 edt
FleXOR[KMR14]	2 ct / {0,1,2} ct	4 edt / {0,2,4} edt	1 edt / {0,1,2} edt
Half Gates[ZRE15]	2 ct / free	4 edt / free	2 edt / free
Garbled Gadgets[BMR16]	2 ct / 2 ct	3 edt / 3 edt	1 edt / 1 edt

注：ct代表密文； edt：总加密和/或解密时间。

4.9 兼容性分析

下面使用一个表格来表示优化技术的兼容性，分别用$\surd$和$\times$表示兼容和不兼容。对于使用了外部值，我们用($E.V.$)表示。

表9：优化技术兼容性对比

	P&P	GRR3	Free XOR	GRR2	FleXOR	Half Gates	Garbled Gadgets
P&P	$/$	$\surd$	$\surd$	${\surd }_{(E.V.)}$	${\surd }_{(E.V.)}$	$\surd$	$\surd$
GRR3	$\surd$	$/$	$\surd$	$\times$	$\surd$	$\surd$	$\surd$
Free XOR	$\surd$	$\surd$	$/$	$\times$	$\times$	$\surd$	$\surd$
GRR2	${\surd }_{(E.V.)}$	$\times$	$\times$	$/$	$\surd$	$\times$	$\times$
FleXOR	${\surd }_{(E.V.)}$	$\surd$	$\times$	$\surd$	$/$	$\times$	$\times$
Half Gates	$\surd$	$\surd$	$\surd$	$\times$	$\times$	$/$	$\times$
Garbled Gadgets	$\surd$	$\surd$	$\surd$	$\times$	$\times$	$\times$	$/$

参考文献（接上篇）

[43]S. Zahur, M. Rosulek, and D. Evans. Two halves make a whole - reducing data transfer in garbled circuits using half gates. In Advances in Cryptology - EUROCRYPT 2015 - 34th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Sofia, Bulgaria, April 26-30, 2015, Proceedings, Part II, pages 220–250, 2015.

[44]V. Kolesnikov, P. Mohassel, and M. Rosulek. Flexor: Flexible garbling for xor gates that beats free-xor. In Advances in Cryptology – CRYPTO 2014: 34th Annual Cryptology Conference, Santa Barbara, CA, USA, August 17-21, 2014, Proceedings, Part II, pages 440–457, 2014.

[45]V. Kolesnikov and T. Schneider. Improved garbled circuit: Free xor gates and applications.In Proceedings of the 35th International Colloquium on Automata, Languages and Programming, Part II, ICALP ’08, pages 486–498, 2008.

[46]S. Choi, J. Katz, R. Kumaresan, and H. Zhou. On the security of the “free-xor” technique. In Theory of Cryptography, volume 7194 of Lecture Notes in Computer Science, pages 39–53, 2012.

[47]M. Ball, T. Malkin, and M. Rosulek. Garbling gadgets for Boolean and arithmetic circuits. In Edgar R. Weippl, Stefan Katzenbeisser, Christopher Kruegel, Andrew C. Myers, and Shai Halevi, editors, ACM CCS 16, pages 565–577. ACM Press, October 2016.

如果有任何问题可以与我联系。
个人主页：https://www.mrccc.club/

微信公众号搜索：CHEN CONGCONG

微信小程序搜索：CHEN CONGCONG