安全多方计算之BGW算法

BGW算法由Ben-Or等人于1988年提出来的，是早期支持多方安全计算的协议之一，其算法原理是基于Shamir秘密共享机制，BGW算法支持加法、数乘以及乘法运算

Shamir秘密共享原理可参考：shamir算法原理

Shamir秘密共享算法实现可参考：shamir算法实现

基于Shamir秘密共享机制的MPC原理其实很简单，看下面例子：

WXYZ分别拥有秘密abcd，现在想秘密计算abcd的和，可以这样做，W将a分成四份，分别将a2/a3/a4发送给XYZ，XYZ执行同样操作；然后W计算a1+b1+c1+d1，XYZ执行同样的计算，最后汇聚WXYZ的计算结果即可秘密得到abcd的和

BGW思想和上述的例子差不多，n个参与者P_i(i=1,2,…,n)拥有各自的秘密s_i，p_i采用随机t次多项式f_i（x）=s_i+a_1,ix¹+…+a_t,ix^t将秘密s_i分享，并将<x_j,f_i(x_j)>通过安全信道发送给p_j，随后n个参与者通过BGW算法可以计算秘密值之间的加法、数乘以及乘法

下面具体介绍BGW的加法、数乘以及乘法运算，为方便叙述，考察一个算术门G，其具有两个输入：a和b，a和b分别被分享在两个t次多项式f_a(x)和f_b(x)上，并将<x_i,y_i=f_a(x_i),z_i=f_b(x_i)>发送给P_i

$$\begin{gathered} f_a(x)=a+a_1{X}^1+a_2{X}^2+...+a_t{X}^t \\ {f}_b(x)=b+b_1{X}^1+b_2{X}^2+...+b_t{X}^t \end{gathered}$$
加法运算：a + b

​ 令
$$H(x)=f_a(x)+f_b(x)$$
​ 则
$$h(x)=\sum _{i=1}^{t+1}{y}_i\prod _{j=1,j!=i}^{t+1}\frac{x-x_i}{x_i-x_j}+\sum _{i=1}^{t+1}{z}_i\prod _{j=1,j!=i}^{t+1}\frac{x-x_i}{x_i-x_j}=\sum _{i=1}^{t+1}(y_i+z_i)\prod _{j=1,j!=i}^{t+1}\frac{-x_i}{x_i-x_j}$$
​ 所以t+1个参与者利用<xi,yi+zi>即可求得h(x)，然后计算 h(0)即可得到a+b的和

数乘运算： c * a

​ 同加法运算类似，令
$$H(x)=c\ast f_a(x)$$
​ 则t+1个参与者利用<xi,c * yi>即可求得h(x)，然后计算 h(0)即可得到 c * a 的结果

​

乘法运算：

令
$$H(x)=f_a(x)\ast f_b(x)$$
由于两个多项式相乘，h(x)的阶最高可能达到2t，超过秘密恢复的阈值（BGW要求2t+1<=n），所以这时要进行降阶处理，我们有如下等式成立

可知 A是一个范德蒙矩阵，其可逆，设逆为

则可得
$$ab={\lambda }_1\ast H(x_1)+{\lambda }_2\ast H(X_2)+...{\lambda }_{2t+1}\ast H(x_{2t+1})$$

${\lambda }_1、{\lambda }_2、...、{\lambda }_{2t+1}$是公开参数，$H_{x_1}、H_{x_2}、...、H_{x_{2t+1}}$由各自的参与者P_i拥有，且不可泄露，然后上述问题可以看成每个参与者拥有秘密H(x_i)的BGW加法和乘法问题，可以选择新的t阶多项式将秘密H(x_i)分发，从而达到阶级效果