【论文笔记】High-Throughput Semi-Honest Secure Three-Party Computation with an Honest Majority

High-Throughput Semi-Honest Secure Three-Party Computation with an Honest Majority

1 Preliminary

1.1 Group, Ring, Field

来自维基百科

1.1.1 Group

1.1.2 Ring

1.1.3 Field

1.1.4 求逆元

1 扩展欧几里得算法

参考：

（1）几种逆元求解方法

（2）逆元 —— 广义化的倒数

原理： 已知正整数$a,b$，扩展欧几里得算法可以在求得$a,b$最大公约数的同时，找出整数$x,y$（可能为负），使它们满足$ax+by=gcd(a,b)$。

推理： 根据逆元的定义，若$ax\equiv 1(modp)$，则$x$为$a$在模$p$意义下的逆元。根据求模的过程，式子可以转换为$ax-yp=1$，将$p$用$b$表示，$-y$用$y$代替，则$ax+by=1$。求逆元问题进而变成：给定正整数$a,b$，求满足等式$ax+by=1$的$x$的最小正整数解。

首先，提取$a$和$b$的最大公约数，即令$g=gcd(a,b)$，则原等式转化为：
$$\begin{array}{c}g(\frac{a}{g}x+\frac{b}{g}y)=1\end{array}$$
两个整数相乘要等于1，仅存在两种情况，要么都为1，要么都为-1；因为任意两个数的最大公约数一定为正数，故$g=\frac{a}{g}x+\frac{b}{g}y=1$。由此我们可以得出结论：若$a$在模$b$（即模$p$）下存在逆元，则要求$a$与$b$（即$p$）互素（$g=1$）。实际上$gcd(a,b)=1$是$a$在模$b$下存在逆元的充分必要条件，此时逆元唯一存在。

接下来我们利用原等式构造递归式，推导如下：
$$\begin{array}{rl}ax+by& =1\\ & =gcd(a,b)\\ & =gcd(b,amodb)\\ & =b{x}^{\prime }+(amodb)y^{\prime }\\ & =b{x}^{\prime }+(a-b\lfloor \frac{a}{b}\rfloor )y^{\prime }\\ & =a{y}^{\prime }+b(x^{\prime }-\lfloor \frac{a}{b}\rfloor y^{\prime })\end{array}$$
根据欧几里得定理（即辗转相除法）有$gcd(a,b)=gcd(b,amodb)$；把gcd中的两项重新带回等式$gcd(a,b)=ax+by$，得到新的关于$x^{\prime }$和$y^{\prime }$的等式；再根据取模的定义，有$amodb=(a-b\lfloor \frac{a}{b}\rfloor )$；最后按照$a$和$b$合并同类项，可以得到递归式：
$$\{\begin{array}{rl}x& =y^{\prime }\\ y& =x^{\prime }-\lfloor \frac{a}{b}\rfloor y^{\prime }\end{array}$$
具体例子在参考文献二中。

1.2 Indistinguishability

1.3 Secret sharing and Perfect security

2 The New Protocol

协议适用于模$2^n$环（Ring）上的算术电路和布尔电路（即当n=1时的特殊情况）。该协议仅使用非常简单的环加法和乘法运算，在布尔情况下，可简化为按位AND和XOR。此外，该协议的通信量非常低：每个乘法门发送一个环元素，而加法门没有通信。因此，在布尔情况下，每个与门（AND）发送一个比特位是唯一的通信。

**Correlated randomness（相关随机数）：**对于模$2^n$环上，协议假设对于每一个乘法门，三方$P_1,P_2,P_3$被分别给予相关随机数$x_1,x_2,x_3$，其为环中随机的元素且满足约束$x_1+x_2+x_3=0$。同理对于布尔情况， x 1 , x 2 , x 3 ∈ { 0 , 1 } x_1,x_2,x_3 \in \{0,1 \} x1​,x2​,x3​∈{0,1}满足$x_1\oplus x_2\oplus x_3=0$。

2.1 Securely Computing Boolean Circuits

Secret sharing： 定义$(2,3)-sharing$方案，即将密拆成3个份额，拥有任意2个及以上的份额才可以完整的重建出秘密值。为了共享秘密比特值$v$，处理者选择三个随机的比特 x 1 , x 2 , x 3 ∈ { 0 , 1 } x_1,x_2,x_3 \in \{0,1 \} x1​,x2​,x3​∈{0,1}满足$x_1\oplus x_2\oplus x_3=0$，则有：

• $P_1$ 的份额为比特对$(x_1,a_1)$，其中$a_1=x_3\oplus v$；
• $P_2$ 的份额为比特对$(x_2,a_2)$，其中$a_2=x_1\oplus v$；
• $P_3$ 的份额为比特对$(x_3,a_3)$，其中$a_3=x_2\oplus v$；

很明显，任何一个份额都不会透露任何关于$v$的信息，此外，任意两个份额都足以获得$v$；例如，给定两个份额$(x_1,a_1),(x_2,a_2)$，我们可以计算出$v=a_2\oplus x_1$。

XOR (addition) gates： 令$(x_1,a_1),(x_2,a_2),(x_3,a_3)$为$v_1$的秘密共享，$(y_1,b_1),(y_2,b_2),(y_3,b_3)$为$v_2$的秘密共享。为了计算$v_1\oplus v_2$的秘密共享，每个参与方$P_i$本地的计算$(z_i,y_i)$，其中$z_i=x_i\oplus y_i$，$c_i=a_i\oplus b_i$，此过程参与方不需要通讯。

验证结果$v_1\oplus v_2$的秘密共享是否构成$(2,3)-sharing$。首先观察到$z_1\oplus z_2\oplus z_3=0$；因为$x_1\oplus x_2\oplus x_3=0$且$y_1\oplus y_2\oplus y_3=0$。接下来观察到对于每个 i ∈ { 1 , 2 , 3 } i \in \{1,2,3\} i∈{1,2,3}有$c_i=z_{i-1}\oplus (v_1\oplus v_2)$，其中当$i=1$时，$i-1=3$；例如$c_1=a_1\oplus b_1=x_3\oplus v_1\oplus y_3\oplus v_2=(x_3\oplus y_3)\oplus (v_1\oplus v_2)=z_3\oplus (v_1\oplus v_2)$。综上满足$(2,3)-sharing$。

AND (multiplication) gates： 该协议分为两步，第一步，各方计算AND输入位的简单$(3,3)XOR-sharing$；第二步将$(3,3)-sharing$转化为所需的$(2,3)-sharing$。

令$(x_1,a_1),(x_2,a_2),(x_3,a_3)$为$v_1$的秘密共享，$(y_1,b_1),(y_2,b_2),(y_3,b_3)$为$v_2$的秘密共享。我们假设$P_1,P_2,P_3$各自持有相关随机数$\alpha ,\beta ,\gamma$，满足$\alpha \oplus \beta \oplus \gamma =0$。各方计算$(2,3)-sharing$如下（$a$与$b$的乘积或与用$ab$表示）：

Step 1 - compute $(3,3)-sharing$

(a) $P_1$ 计算 $r_1=x_1{y}_1\oplus a_1{b}_1\oplus \alpha$，并发送$r_1$到$P_2$；

(b) $P_2$ 计算 $r_2=x_2{y}_2\oplus a_2{b}_2\oplus \beta$，并发送$r_2$到$P_3$；

© $P_3$ 计算 $r_3=x_3{y}_3\oplus a_3{b}_3\oplus \gamma$，并发送$r_3$到$P_1$；

这些消息是并行计算和发送的。

Step 2 - compute $(2,3)-sharing$

该步骤仅需用Step 1中的消息进行本地计算。

(a) $P_1$ 保存 $(z_1,c_1)$，其中 $z_1=r_1\oplus r_3$，$c_1=r_1$；

(b) $P_2$ 保存 $(z_2,c_2)$，其中 $z_2=r_2\oplus r_1$，$c_2=r_2$；

© $P_3$ 保存 $(z_3,c_3)$，其中 $z_3=r_3\oplus r_2$，$c_3=r_3$；

Explanation of Step 1： 证明Step 1中定义的$r_1,r_2,r_3$是$v_1{v}_2$的$(3,3)-sharing$，即意味着$r_1\oplus r_2\oplus r_3=v_1\wedge v_2$。首先观察到：
$$\begin{array}{c}{a}_1{b}_1=(x_3\oplus v_1)(y_3\oplus v_2)=x_3{y}_3\oplus x_3{v}_2\oplus y_2{v}_1\oplus v_1{v}_2\end{array}\text{\hspace{1em}(1)}$$

同理可得$a_2{b}_2=x_1{y}_1\oplus x_1{v}_2\oplus y_1{v}_1\oplus v_1{v}_2$和$a_3{b}_3=x_2{y}_2\oplus x_2{v}_2\oplus y_2{v}_1\oplus v_1{v}_2$，因此有：

其中的第二个等式是根据$\alpha \oplus \beta \oplus \gamma =0$得来，第三个等式是根据等式 (1) 得来，最后一个等式是因为$x_1\oplus x_2\oplus x_3=0$且$y_1\oplus y_2\oplus y_3=0$。

Explanation of Step 2： 证明Step 2的结果是$v_1{v}_2$的$(2,3)-sharing$，这需要证明（1）$z_1,z_2,z_3$满足$z_1\oplus z_2\oplus z_3=0$；（2）$c_1,c_2,c_3$满足定义的形式。

首先，$z_1\oplus z_2\oplus z_3=(r_1\oplus r_3)\oplus (r_2\oplus r_1)\oplus (r_3\oplus r_2)=0$ 得证。然后，根据Step 1中可知$c_1\oplus c_2\oplus c_3=r_1\oplus r_2\oplus r_3=v_1{v}_2$，且满足$c_1=r_1=v_1{v}_2\oplus r_2\oplus r_3$，然而$r_2\oplus r_3=z_3$（Step 2中定义的），因此有 $c_1=v_1{v}_2\oplus z_3$ 满足定义的形式。$c_2$与$c_3$的证明过程相同。

2.2 Generating Correlated Randomness

协议依赖于一个事实：对于每一个AND门，各方持有随机的比特 α , β , γ ∈ { 0 , 1 } \alpha,\beta,\gamma \in \{0,1\} α,β,γ∈{0,1}且满足$\alpha \oplus \beta \oplus \gamma =0$。本节将讲述一种高效方式生成$\alpha ,\beta ,\gamma$。

Information-theoretic correlated randomness： 信息论相关随机数。各方$P_i$ 简单的选择一个随机位 ρ i ∈ { 0 , 1 } \rho_i \in \{0,1\} ρi​∈{0,1}，并将其发送给 $P_{i+1}$（$P_3$发送给$P_1$）；然后各方将自己的随机数与收到随机数进行异或，即：$P_1$计算$\alpha ={\rho }_3\oplus {\rho }_1$，$P_2$计算$\beta ={\rho }_1\oplus {\rho }_2$，$P_3$计算$\gamma ={\rho }_2\oplus {\rho }_3$，可以发现得到的随机数满足$\alpha \oplus \beta \oplus \gamma =0$。该方法不仅优雅简洁，而且在只有一个腐化方（corrupted）的半诚实敌手模型下是安全的（假设$P_1$是腐化方，由于他没有${\rho }_2$，那么对于通过${\rho }_2$计算出的$\beta$和$\gamma$，$P_1$仅知道$\beta \oplus \gamma =\alpha$，其他一无所知）。但该方法存在一次参与方之间的通信，会导致AND门协议的通信量翻倍，虽然是很少的通信，但仍然成为了协议通讯次数的瓶颈，故我们将设计新的方法。

Computational correlated randomness： 设计了一个在短的初始化之外无需任何交互的情况下，安全计算相关随机数的方法。这使得AND门协议的通信仍然只传输一个比特。令$\kappa$为安全参数， F : { 0 , 1 } κ × { 0 , 1 } κ → { 0 , 1 } F:\{0,1\}^\kappa \times \{0,1\}^\kappa \rarr \{0,1\} F:{0,1}κ×{0,1}κ→{0,1}为输出一个比特位的伪随机函数，步骤如下：

1. Init：

(a) 各方$P_i$选择一个$\kappa$位的随机数 k i ∈ { 0 , 1 } κ k_i \in \{0,1\}^\kappa ki​∈{0,1}κ（作为伪随机函数的密钥）；

(b) $P_i$发送$k_i$至$P_{i-1}$，当$i=1$时，$i-1=3$。

此时$P_1$持有$k_1,k_2$；$P_2$持有$k_2,k_3$；$P_3$持有$k_3,k_1$。

2. GetNextBit：

给定唯一标识 i d ∈ { 0 , 1 } κ id \in \{0,1\}^\kappa id∈{0,1}κ，

(a) $P_1$ 计算 $\alpha =F_{k_1}(id)\oplus F_{k_2}(id)$；

(b) $P_2$ 计算 $\beta =F_{k_2}(id)\oplus F_{k_3}(id)$；

© $P_3$ 计算 $\gamma =F_{k_3}(id)\oplus F_{k_1}(id)$；

不难得出$\alpha \oplus \beta \oplus \gamma =0$。除此之外，$P_1$不知道$k_3$进而无法知晓$\beta$和$\gamma$，因此$\beta$和$\gamma$对$P_1$是伪随机的，满足约束$\beta \oplus \gamma =\alpha$。实际运用中，$id$可以是一个计数器，所有各方在每次调用GetNextBit时都会在本地递增。

2.3 The Ring Modulo $2^n$ and Fields

上一节介绍的协议是适用于布尔电路，然而在某些情况下，使用算术电路解决问题效率要高得多。在本节中，我们展示了如何将上述协议推广到模$2^n$环和大小大于2的任意字段的一般情况。在模$2^n$环的协议中，很明显，对于任意有限域和环，存在$3^{-1}$一切都成立（即存在3的逆元），这是由于$gcd(3,2^n)=1$，参考章节1.1.4，故除以3的运算（乘3的逆元）都可以进行。

(2, 3) - secret sharing： 为了共享模$2^n$环元素$v$，处理者选择三个随机元素$x_1,x_2,x_3\in {\mathbb{Z}}_{2^n}$满足约束$x_1+x_2+x_3=0$，有：

• $P_1$ 的份额为$(x_1,a_1)$，其中$a_1=x_3-v$；
• $P_2$ 的份额为$(x_2,a_2)$，其中$a_2=x_1-v$；
• $P_3$ 的份额为$(x_3,a_3)$，其中$a_3=x_2-v$；

与布尔情况一样，很容易看出，每个份额都不透露v，任何两个份额都足以重建v。以$P_1$为例说明安全性：$P_1$方的份额由一对$(x_1,a_1)$组成，其中$a_1=x_3-v$。由于$x_1,x_2,x_3$在$x_1+x_2+x_3=0$的约束下是随机的，这相当于$x_1$和$x_3$是随机独立选择的，然后$x_2$被选择等于$-x_1-x_3$。因此，$P_1$份额中的$a_1$是使用随机密钥$x_3$对$v$进行的一次性填充加密，$x_1$是独立的随机值。因此，$P_1$的份额没有揭示任何关于$v$的信息。这意味着：

引理 2.1： 对于任意的两个值$v_a,v_b\in {\mathbb{Z}}_{2^n}$以及任意的 i ∈ { 1 , 2 , 3 } i \in \{1,2,3\} i∈{1,2,3}，$P_i$对$v_a$份额$(x_i,a_i)$和对$v_b$份额$(y_i,b_i)$的概率分布相同。

Addition gates： 与布尔情况一样，加法门是通过将模$2^n$的份额在本地进行相加来计算的。

Multiplication gates： 令$(x_1,a_1),(x_2,a_2),(x_3,a_3)$为$v_1$的秘密共享，$(y_1,b_1),(y_2,b_2),(y_3,b_3)$为$v_2$的秘密共享，假设$P_1,P_2,P_3$各自持有相关随机数$\alpha ,\beta ,\gamma$，满足$\alpha +\beta +\gamma =0$，具体过程如下：

Step 1 - compute $(3,3)-sharing$

(a) $P_1$计算$r_1=\frac{a_1{b}_1-x_1{y}_1+\alpha }{3}$，并发送$r_1$至$P_2$；

(b) $P_2$计算$r_2=\frac{a_2{b}_2-x_2{y}_2+\beta }{3}$，并发送$r_2$至$P_3$；

© $P_3$计算$r_3=\frac{a_3{b}_3-x_3{y}_3+\gamma }{3}$，并发送$r_3$至$P_1$；

Step 2 - compute $(2,3)-sharing$

该步骤仅需用Step 1中的消息进行本地计算。

(a) $P_1$ 保存 $(z_1,c_1)$，其中 $z_1=r_3-r_1$，$c_1=-2r_3-r_1$；

(b) $P_2$ 保存 $(z_2,c_2)$，其中 $z_2=r_1-r_1$，$c_2=-2r_1-r_2$；

© $P_3$ 保存 $(z_3,c_3)$，其中 $z_3=r_2-r_3$，$c_3=-2r_2-r_3$；

Explanation of Step 1： 证明Step 1中定义的$r_1,r_2,r_3$是$v_1{v}_2$的$(3,3)-sharing$，即意味着$r_1+r_2+r_3=v_1{v}_2$。首先观察到：
$$\begin{array}{c}{a}_1{b}_1=(x_3-v_1)(y_3-v_2)=x_3{y}_3-x_3{v}_2-y_2{v}_1+v_1{v}_2\end{array}\text{\hspace{1em}(2)}$$
同理可得$a_2{b}_2=x_1{y}_1-x_1{v}_2-y_1{v}_1+v_1{v}_2$和$a_3{b}_3=x_2{y}_2-x_2{v}_2-y_2{v}_1+v_1{v}_2$，因此有：

Explanation of Step 2： 证明Step 2的结果是$v_1{v}_2$的$(2,3)-sharing$，这需要证明（1）$z_1,z_2,z_3$满足$z_1+z_2+z_3=0mod{2}^n$；（2）$c_1,c_2,c_3$满足定义的形式。首先，$z_1+z_2+z_3=(r_3-r_1)+(r_1-r_2)+(r_2-r_3)=0$得证。然后，对于$P_1$有
$$\begin{array}{rl}{c}_1& =-2r_3-r_1\\ & =-r_3-r_3-r_1-r_2+r_2\\ & =(r_2-r_3)-(r_1+r_2+r_3)\\ & =z_3-v_1{v}_2\end{array}$$
满足要求，$P_2,P_3$同理可证。

Generating correlated randomness： 各方使用第2.2节所述相同的（计算）方法，但有以下差异。我们假定$F_k$是将串映射到${\mathbb{Z}}_{2^n}$（或等价于 { 0 , 1 } n \{0,1\}^n {0,1}n）的伪随机函数，那么：

(a) $P_1$ 计算 $\alpha =F_{k_1}(id)-F_{k_2}(id)$；

(b) $P_2$ 计算 $\beta =F_{k_2}(id)-F_{k_3}(id)$；

© $P_3$ 计算 $\gamma =F_{k_3}(id)-F_{k_1}(id)$；

3 Security for Semi-Honest Adversaries

主要讲的是将理想功能（Functionality）与真实协议（Protocol）之间的验证关系：若真实情况下腐化方集合的视角（View）与理想情况下仿真者（Simulator）使用功能函数$F$，模拟出的腐化方集合的视角在概率分布上是不可区分的，那么证明了该协议在半诚实攻击者存在的条件下安全的实现了功能$F$。