半诚实的高吞吐量三方秘密分享

三方秘密分享

本文介绍在[1]中提出来的三方秘密分享。这里的三方秘密分享是指计算的参与者有三个。秘密拥有者将秘密分享给三个参与者，然后三个参与者通过交互计算关于秘密的一个多项式函数。文章中的假设是三个参与者都是半诚实的，会遵守协议的规则，但可能通过额外的计算尝试获取秘密的信息。任意两个参与方即可重构秘密，也就是这是一个$(2,3)$门限秘密分享。

需要注意的是，这里的计算是在${\mathbb{Z}}_{2^n}$或者有限域上。当$n=1$时，该秘密分享变成布尔秘密分享。

假设秘密拥有者为$O$，参与者为$P_1,P_2,P_3$.下面介绍具体的秘密分享方案。

秘密分享

1、假设需要分享的秘密为$v$，拥有者$O$随机产生$x_1+x_2+x_3=0$.
2、$O$计算$a_1=x_3-v$，然后将$(x_1,a_1)$发送给$P_1$；
3、$O$计算$a_2=x_1-v$，然后将$(x_2,a_2)$发送给$P_2$；
4、$O$计算$a_3=x_2-v$，然后将$(x_3,a_3)$发送给$P_3$.

秘密重建

我们讨论，任意两个参与者都可以重建秘密：
1、$P_1,P_2$，计算$x_1-a_2=x_1-(x_1-v)=v$；
2、$P_2,P_3$，计算$x_2-a_3=x_2-(x_2-v)=v$；
3、$P_1,p_3$，计算$x_3-a_1=x_3-(x_3-v)=v$.

同态计算

秘密分享的同态计算指的是，在不重构秘密的情况下，计算函数值的秘密分享。一般最常见的是加法和乘法。

假设$v_1$的秘密分享为$(x_i,a_i)$，$v_2$的秘密分享为$(y_i,b_i)$，其中$i=1,2,3$. 下面讨论如何同态的计算$v_1+v_2$和$v_1{v}_2$的秘密分享。

加法

加法是显然的，$z_i=x_i+y_i,c_i=a_i+b_i$，则$(z_i,c_i)$是$v_1+v_2$的秘密分享。也就是每个参与者本地将$v_1,v_2$的秘密分享加起来就可以了。

证明：
1、$c_1=a_1+b_1=x_3-v_1+y_3-v_2=(x_3+y_3)-(v1+v_2)=z_3-(v_1+v_2)$；
2、$c_2=a_2+b_2=x_1-v_1+y_1-v_2=(x_1+y_1)-(v_1+v_2)=z_1-(v_1+v_2)$;
3、$c_3=a_3+b_3=x_2-v_1+y_2-v_2=(x_2+y_2)-(v_1+v_2)=z_2-(v_1+v_2)$.

乘法

对于乘法，我们需要一组相关随机数$\alpha +\beta +\gamma =0$.

乘法分成两大步，第一步是得到乘法结果的$(3,3)$门限分享，第二步是重新分享为$(2,3)$门限。

一、计算
首先需要说明的是，在下面的计算中，我们会乘以3的逆元，在${\mathbb{Z}}_{2^n}$和有限域中3的逆元是存在的。（$2^n$和3互素）
1、$P_1$计算$r_1=3^{-1}\cdot (a_1{b}_1-x_1{y}_1+\alpha )$；
1、$P_2$计算$r_2=3^{-1}\cdot (a_2{b}_2-x_2{y}_2+\beta )$；
1、$P_1$计算$r_3=3^{-1}\cdot (a_3{b}_3-x_3{y}_3+\gamma )$.

我们证明$r_1+r_2+r_3=v_1{v}_2$.
证明：
$\begin{array}{rl}3r_1+3r_2+3r_3& =a_1{b}_1-x_1{y}_1+\alpha +a_2{b}_2-x_2{y}_2+\beta +a_3{b}_3-x_3{y}_3+\gamma \\ & =a_1{b}_1+a_2{b}_2+a_3{b}_3-x_1{y}_1-x_2{y}_2-x_3{y}_3\\ & =(x_3-v_1)(y_3-v_2)+(x_1-v_1)(y_1-v_2)+(x_2-v_1)(y_2-v_2)-x_1{y}_1-x_2{y}_2-x_3{y}_3\\ & =3v_1{v}_2-x_3{v}_2-y_3{v}_1-x_1{v}_2-y_1{v}_1-x_2{v}_2-y_2{v}_1\\ & =3v_1{v}_2-(x_1+x_2+x_3)v_2-(y_1+y_2+y_3)v_1\\ & =3v_1{v}_2\end{array}$

二、重新分享
$r_1+r_2+r_3$构成一个常规的三方算术秘密分享，接下来，我们将算术秘密分享，重新分享为$(2,3)$门限的形式。

1、$P_3$将$r_3$发送给$P_1$，$P_1$计算$t_1=r_3-r_1,k_1=-2r_3-r_1$；
2、$P_1$将$r_1$发送给$P_2$，$P_2$计算$t_2=r_1-r_2,k_2=-2r_1-r_2$；
3、$P_2$将$r_2$发送给$P_3$，$P_3$计算$t_3=r_2-r_3,k_3=-2r_2-r_3$.

证明：
1、$k_1=-2r_3-r_1=r_2-r_3-(r_1+r_2+r_3)=t_3-v_1{v}_2$；
2、$k_2=-2r_1-r_2=r_3-r_1-(r_1+r_2+r_3)=t_1-v_1{v}_2$；
3、$k_3=-2r_2-r_3=r_1-r_2-(r_1+r_2+r_3)=t_2-v_1{v}_2$.

所以$(t_i,k_i)$是$v_1{v}_2$的$(2,3)$门限秘密分享。

参考文献

[1] Araki, Toshinori, et al. “High-throughput semi-honest secure three-party computation with an honest majority.” Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security. 2016.