使用Shamir门限方案进行隐私求和

Shamir门限方案是用来解决这样一个问题：有$n$个人，共同拥有一个秘密$S$，只要有$k(k<n)$个人在场，则可以知道这个秘密$S$，反之只要在场的人数少于k，则无法恢复秘密$S$。这样的方案叫做$(k,n)$门限方案。
由Adi Shamir在1979年的论文How to Share a Secret中提出，该方案的时间复杂度为$O(n{\log }^{2}n)$.
该方案基于多项式插值：给定k个横坐标不同的点$(x_1,y_1),(x_2,y_2),\cdots ,(x_k,y_k)$可以完全确定一个$k-1$次多项式$q(x)$使得$q(x_i)=y_i$对于所有$i\in [1,k]$成立。
给定一个秘密$S$，不失一般性，假设$S$是一个数字。我们随机选择一个$k-1$次多项式$q(x)=a_0+a_{1}x+a_2{x}^2+\cdots +a_{k-1}{x}^{k-1}$，并且有$S=a_0$。显然，我们只需要随机选择 { a 1 , a 2 , ⋯   , a k − 1 } \{a_1,a_2,\cdots,a_{k-1}\} {a1​,a2​,⋯,ak−1​}即可确定$q(x)$。首先确定$n$个不同的数 { x 1 , x 2 , ⋯   , x n } \{x_1,x_2,\cdots,x_n\} {x1​,x2​,⋯,xn​}，然后计算：
$y_1=q(x_1),y_2=q(x_2),\cdots ,y_n=q(x_n)$.
每个人保存一个点$(x_i,y_i)$，显然，只要有任意$k$个点，我们就可以快速计算出$q(x)$，从而计算$S=q(x_0)$.

使用Shamir门限方案隐私求和

假设有$n$个人需要执行隐私求和，也就是知道了$n$个人的和，但是不暴露其他任何人的私有数据。
在开始之前，首先，大家协商的n个不同的数 { x 1 , x 2 , ⋯   , x n } \{x_1,x_2,\cdots,x_n\} {x1​,x2​,⋯,xn​}作为公共参数，求和阶段至少需要的人数为$k$。
对于每一个人$p_i$，其私有数据为$d_i$。$p_i$随机选择$k-1$个数，得到一个多项式$q_i(x)=d_i+r_{i,1}x+r_{i,2}{x}^2+\cdots +r_{i,k-1}{x}^{k-1}$.然后计算$y_{i,1}=q_i(x_1),y_{i,2}=q_i(x_2),\cdots ,y_{i,n}=q_i(x_n)$.计算完成后，将$y_{i,j}$发送给$p_j$。
$p_i$显然，将会收到$n-1$个数$y_{k,i}(k\in [1,n],k\ne i)$。然后，$p_i$计算$y_i={\sum }_{k=1}^n{y}_{k,i}$。
显然，从全局来看，我们构造了一个多项式$q(x)={\sum }_{i=1}^n{q}_i(x)$。$p_i$拥有的值为$y_i=q(x_i)$。
现在，我们需要至少$k$个人将他们的$y$公布出来，我们就可以计算多项式$q(x)$，从而计算$n$个隐私数据的和$q(0)={\sum }_{i=1}^n{d}_i$.
证明：
$\begin{array}{rl}q(x)& =\sum _{i=1}^n{q}_i(x)\\ & =\sum _{i=1}^n{d}_i+r_{i,1}x+r_{i,2}{x}^2+\cdots +r_{i,k-1}{x}^{k-1}\\ & =\sum _{i=1}^n{d}_i+\sum _{i=1}^n{r}_{i,1}x+\cdots +\sum _{i=1}^n{r}_{i,k-1}{x}^{k-1}\\ & =d+r_{1}x+r_2{x}^2+\cdots +r_k{x}^{k-1}\end{array}$
所以$q(x)$是一个$k-1$次多项式。
$y_i=q(x_i)={\sum }_{i=1}^n{q}_i(x_i)={\sum }_{k=1}^n{y}_{i,k}$。
即$(x_i,y_i$是多项式$q(x)$上的一个点，故满足Shamir门限方案的假设。