SPDZ 在线协议

基本概述

本文提出了一个通用的安全多方计算协议，可以抵抗主动敌手，敌手最多可以腐蚀$n$方中的$n-1$方，因此该协议可以归为不诚实大多数下的一个通用协议。协议中进行的算术运算可以在任意的有限域。协议分为两个阶段，一个是预处理阶段，一个是在线阶段，预处理阶段与输入数据无关且预处理阶段采用同态加密技术。在线阶段的计算效率线性接近于$n,n$表示有$n$个参与方。本次分享主要针对在线阶段协议。原文链接：Multiparty Computation from Somewhat Homomorphic Encryption

数学表示

向量$x=(x_1,x_2,\cdots ,x_n)\in {\mathbb{R}}^n.$
$||x|{|}_{\infty }:=ma{x}_{1\le i\le n}|x_i|,||x|{|}_1:={\sum }_{1\le i\le n}|x_i|,||x|{|}_2:=\sqrt{(}\sum |x_i{|}^2)$
$F_{com}:$表示承诺函数。

在线阶段协议

在我们的在线协议中，为了简单起见，我们假设一个广播信道可用，每一方只有一个输入，并且只计算一个公共输出值。在完整的版本中，我们解释了如何从点对点的信道实现我们所需要的广播信道，并解除了对输入和输出数量的限制，而不影响整体的复杂性。我们的思想是使用无条件的安全MAC来保护我们的秘密值不被主动恶意敌手操作，我们从有限域${\mathbb{F}}_{p^k}$随机选取一个全局值$\alpha$,对于一个秘密值$a$,将它在$n$方中进行加性共享，MAC值$\alpha \cdot a$也以秘密分享的形式在$n$方中存在。因为是线性的加性秘密分享因此可以在做乘法的时候使用$Beaver$三元组。一个直接的问题是，可靠地打开一个值似乎需要我们检查MAC，而这需要参与方知道$\alpha$。然而，一旦知道了$\alpha$，其他值上的MAC就可以被伪造出来。我们通过将对MAC的检查推迟到输出阶段来解决这个问题。在输出阶段，参与方生成要公开的值及其与相应的MAC的份额的随机线性组合；参与方对结果进行一个承诺，然后只公开$\alpha$，当$\alpha$被揭露时，被腐蚀的参与方利用密钥已经太晚了。因此，如果MAC检查出来所有打开的值都是正确的并且概率很高，所以我们可以相信我们计算的输出值是正确的，并且可以安全地打开它们。

秘密分享方式

对于一个秘密值$a\in {\mathbb{F}}_{p^k}$
$⟨a⟩:=(\delta ,(a_1,\cdots ,a_n),(\gamma (a{)}_1,\cdots ,\gamma (a{)}_n))，\alpha (a+\delta )=\gamma (a_1)+\cdots +\gamma (a_n),a=a_1+\cdots +a_n,\delta$ 是公共的共享值，$P_i$拥有$a_i,\gamma (a{)}_i,\gamma (a)\leftarrow \gamma (a_1)+\cdots +\gamma (a_n),\gamma (a)$是在全局密钥$\alpha$下$a$的MAC。

数值计算

设有秘密值$a,b,$常量$e.$

线性计算

$⟨a⟩+⟨b⟩=⟨a+b⟩e\cdot ⟨a⟩=⟨ea⟩e+⟨a⟩=⟨e+a⟩$
$⟨e+a⟩:=(\delta -e,(a_1+e,a_2,\cdots ,a_n),(\gamma (a{)}_1,\cdots ,\gamma (a{)}_n))$。

乘法计算

对于乘法需要预处理阶段的参与，这里我们假设预处理阶段输出随机三元组$⟨a⟩,⟨b⟩,⟨c⟩,c=ab$。然而因为存在恶意敌手，预处理阶段可能会出现错误$\Delta ,$即$c=ab+\Delta$，因此在运用输出的三元组之前需要对三元组进行验证。这里的验证三元组需要通过牺牲另外一个三元组$⟨f⟩,⟨g⟩,⟨h⟩$来进行(具体看后面的协议)。给定这么一个有效的三元组$c=ab$后，要计算$⟨xy⟩,$首先计算$$\begin{gathered} ⟨x⟩-⟨a⟩=ϵ,⟨y⟩-⟨b⟩=\delta , \\ xy=(a+ϵ)(b+\delta )=c+ϵb+a\delta +\delta ϵ，⟨x⟩\cdot ⟨y⟩=⟨c⟩+ϵ⟨b⟩+⟨a⟩\delta +\delta ϵ \end{gathered}$$。
重要的是在我们的协议中，我们实际上不能保证我们有正确的结果，因为我们不立即检查打开的值的MAC。

部分打开

在协议的第一部分，每个参与方只做部分打开。
部分打开：所有参与方$P_i$将$a_i$发送给$P_1$，然后$P_1$计算$a=a_1+\cdots +a_n$并且广播$a$给所有参与方。这里我们简单处理都是发送个给$P_1$，实际上我们要考虑平衡工作负载不一定总是要$P_1$来计算最终的值，也可以要其他参与方来计算。

全局$[[\alpha ]]$

正如前面所说我们将验证推迟到协议最后的输出阶段，为了验证MAC我们需要一个全局的$\alpha ,$我们在预处理阶段获得$\alpha$,并且表示方式也有所不同。
$[[\alpha ]]:=(({\alpha }_1,\cdots ,{\alpha }_n),({\beta }_i,\gamma (\alpha {)}_1^i,\cdots ,\gamma (\alpha {)}_n^i{)}_{i=1,\cdots ,n})\alpha ={\sum }_i{\alpha }_i{\sum }_j\gamma (\alpha {)}_i^j=\alpha {\beta }_i$
$P_i$拥有${\alpha }_i,{\beta }_i,\gamma (\alpha {)}_1^i,\cdots ,\gamma (\alpha {)}_n^i,\gamma (\alpha {)}_i={\sum }_j\gamma (\alpha {)}_i^j$。$\gamma (\alpha {)}_i$是$\alpha$在$P_i$拥有秘密密钥${\beta }_i$的MAC。为了公开$[[\alpha ]],$每一方$P_j$发送${\alpha }_j,\gamma (\alpha {)}_i^j$给$P_i,$然后$P_i$检查${\sum }_j\gamma (\alpha {)}_i^j=\alpha {\beta }_i$。
最后，预处理还要输出$n$对随机值$⟨r⟩,[[r]],$这些对被用于协议的输入阶段。

整个在线阶段如下图所示：

上图说明

初始化:

通过预处理阶段各参与方获得$[[\alpha ]],$乘法元组$(⟨a⟩,⟨b⟩,⟨c⟩),⟨r⟩,[[r]],[[t]],[[e]]$。

输入:

$P_i$要在所有参与方中完成它的输入$x_i$的秘密分享$⟨x_i⟩,P_i$通过预处理阶段或者$[[r]]$获得$r$.
$P_i$广播$ϵ=x_i-r$
其他所有方计算$⟨x_i⟩=⟨r⟩+ϵ$
根据线性计算可得$⟨x_i⟩=⟨r⟩+ϵ=⟨r⟩+x_i-r=<x_i-r+r>:=(\delta -(x_i-r),(r_1+(x_i-r),\cdots ,r_n),(\gamma (r{)}_i,\cdots ,\gamma (r{)}_n))$

加法

线性操作$⟨x⟩+⟨y⟩=⟨x+y⟩,$直接本地计算。

乘法

计算乘法$⟨x⟩,⟨y⟩,$使用两个元组$(⟨a⟩,⟨b⟩,⟨c⟩),(⟨f⟩,⟨g⟩,⟨h⟩),其中c=ab$经过了验证，验证如下：
部分打开一个随机值$[[t]]$,计算$\rho =t\cdot ⟨a⟩-⟨f⟩,\sigma =⟨b⟩-⟨g⟩$
评估$t\cdot ⟨c⟩-⟨h⟩-\sigma \cdot ⟨f⟩-\rho \cdot ⟨g⟩-\sigma \cdot \rho ,$然后部分打开结果。如果结果不为0则abort,否则验证通过。
注意：验证过程可以放到预处理阶段且这里只需要一个随机值$t$。
验证通过之后就可以使用$(⟨a⟩,⟨b⟩,⟨c⟩)$进行后面的乘法运算,部分公开$⟨x⟩-⟨a⟩=ϵ,⟨y⟩-⟨b⟩=\delta ,$最后计算$⟨z⟩=⟨c⟩+⟨b⟩ϵ+⟨a⟩\delta +\delta ϵ。$

输出

现在所有参与方拥有$⟨y⟩,$我们要打开最终的结果$y$,过程如下：
$1.$设$a_1,\cdots ,a_T$是目前为止所有已经打开的值，且$⟨a_j⟩=({\delta }_j,(a_{j,1},\cdots ,a_{j,n}),(\gamma (a_j{)}_1,\cdots ,\gamma (a_j{)}_n)),$现在随机值$[[e]]$被打开，并且所有参与方计算$e_i=e^i,i=(1,\cdots ,T),a={\sum }_j{e}_j{a}_j$。
$2.$每一个参与方$P_i$对${\gamma }_i\leftarrow {\sum }_j{e}_j\gamma ({\alpha }_j{)}_i$进行承若$F_{com},$同时也要对$y_i,\gamma (y{)}_i$进行承诺$F_{com}$。
$3.$公开$[[\alpha ]]$。
$4.$每一方$P_i$要求打开对${\gamma }_i$的承诺$F_{com},$所有参与方都检查$\alpha (a+{\sum }_j{e}_j{\delta }_j)={\sum }_i{\gamma }_i$,如果不相等协议直接abort。
这里有$\alpha (a+{\sum }_j{e}_j{\delta }_j)=\alpha ({\sum }_j{e}_j{a}_j+{\sum }_j{e}_j{\delta }_j)=\alpha ({\sum }_j{e}_j(a_j+{\delta }_j))={\sum }_i{\gamma }_i={\sum }_i{\sum }_j{e}_j\gamma (a_j{)}_i$。这一步相当于对上面所有的公开值$a_1,\cdots ,a_n$进行了一次认证。
$5.$为了获得$y,$打开对$y_i,\gamma (y_i)$的承诺，我们知道$y={\sum }_i{y}_i$,每一方检查$\alpha (y+\delta )={\sum }_i\gamma (y_i),$相等则输出$y$。
最后，本人水平有限理解有错误的地方还请谅解！