半诚实的高吞吐量三方秘密分享-CSDN博客

本文链接：https://blog.csdn.net/watqw/article/details/136313468

本文详细介绍了在计算领域中，三方参与者进行的秘密分享机制，其中每个参与者持有部分信息，通过交互计算可以在不泄露完整秘密的前提下进行加法和乘法等同态操作。关键概念包括半诚实假设、(2,3)门限秘密分享以及在Z2n或有限域上的计算过程。

摘要由CSDN通过智能技术生成

三方秘密分享

本文介绍在[1]中提出来的三方秘密分享。这里的三方秘密分享是指计算的参与者有三个。秘密拥有者将秘密分享给三个参与者，然后三个参与者通过交互计算关于秘密的一个多项式函数。文章中的假设是三个参与者都是半诚实的，会遵守协议的规则，但可能通过额外的计算尝试获取秘密的信息。任意两个参与方即可重构秘密，也就是这是一个 $(2, 3)$ 门限秘密分享。

需要注意的是，这里的计算是在 $\mathbb{Z}_{2^n}$ 或者有限域上。当 $n = 1$ 时，该秘密分享变成布尔秘密分享。

假设秘密拥有者为 $O$ ，参与者为 $P_1,P_2,P_3$ .下面介绍具体的秘密分享方案。

秘密分享

1、假设需要分享的秘密为 $v$ ，拥有者 $O$ 随机产生 $x_1+x_2+x_3=0$ .
2、 $O$ 计算 $a_1=x_3-v$ ，然后将 $x_1,a_1)$ 发送给 $P_1$ ；
3、 $O$ 计算 $a_2=x_1-v$ ，然后将 $x_2,a_2)$ 发送给 $P_2$ ；
4、 $O$ 计算 $a_3=x_2-v$ ，然后将 $x_3,a_3)$ 发送给 $P_3$ .

秘密重建

我们讨论，任意两个参与者都可以重建秘密：
1、 $P_1,P_2$ ，计算 $x_1-a_2=x_1-(x_1-v)=v$ ；
2、 $P_2,P_3$ ，计算 $x_2-a_3=x_2-(x_2-v)=v$ ；
3、 $P_1,p_3$ ，计算 $x_3-a_1=x_3-(x_3-v)=v$ .

同态计算

秘密分享的同态计算指的是，在不重构秘密的情况下，计算函数值的秘密分享。一般最常见的是加法和乘法。

假设 $v_1$ 的秘密分享为 $x_i,a_i)$ ， $v_2$ 的秘密分享为 $y_i,b_i)$ ，其中 $i = 1, 2, 3$ . 下面讨论如何同态的计算 $v_1+v_2$ 和 $v_1v_2$ 的秘密分享。

加法

加法是显然的， $z_i=x_i+y_i,c_i=a_i+b_i$ ，则 $z_i,c_i)$ 是 $v_1+v_2$ 的秘密分享。也就是每个参与者本地将 $v_1,v_2$ 的秘密分享加起来就可以了。

证明：
1、 $c_1=a_1+b_1=x_3-v_1+y_3-v_2=(x_3+y_3)-(v1+v_2)=z_3-(v_1+v_2)$ ；
2、 $c_2=a_2+b_2=x_1-v_1+y_1-v_2=(x_1+y_1)-(v_1+v_2)=z_1-(v_1+v_2)$ ;
3、 $c_3=a_3+b_3=x_2-v_1+y_2-v_2=(x_2+y_2)-(v_1+v_2)=z_2-(v_1+v_2)$ .

乘法

对于乘法，我们需要一组相关随机数 $\alpha+\beta+\gamma=0$ .

乘法分成两大步，第一步是得到乘法结果的 $(3, 3)$ 门限分享，第二步是重新分享为 $(2, 3)$ 门限。

一、计算
首先需要说明的是，在下面的计算中，我们会乘以3的逆元，在 $\mathbb{Z}_{2^n}$ 和有限域中3的逆元是存在的。（ $2^n$ 和3互素）
1、 $P_1$ 计算 $r_1=3^{-1}\cdot(a_1b_1-x_1y_1+\alpha)$ ；
1、 $P_2$ 计算 $r_2=3^{-1}\cdot(a_2b_2-x_2y_2+\beta)$ ；
1、 $P_1$ 计算 $r_3=3^{-1}\cdot(a_3b_3-x_3y_3+\gamma)$ .

我们证明 $r_1+r_2+r_3=v_1v_2$ .
证明：
$\begin{aligned} 3r_1+3r_2+3r_3&=a_1b_1-x_1y_1+\alpha+a_2b_2-x_2y_2+\beta+a_3b_3-x_3y_3+\gamma\\ &=a_1b_1+a_2b_2+a_3b_3-x_1y_1-x_2y_2-x_3y_3\\ &=(x_3-v_1)(y_3-v_2)+(x_1-v_1)(y_1-v_2)+(x_2-v_1)(y_2-v_2)-x_1y_1-x_2y_2-x_3y_3\\ &=3v_1v_2-x_3v_2-y_3v_1-x_1v_2-y_1v_1-x_2v_2-y_2v_1\\ &=3v_1v_2-(x_1+x_2+x_3)v_2-(y_1+y_2+y_3)v_1\\ &=3v_1v_2 \end{aligned}$

二、重新分享
$r_1+r_2+r_3$ 构成一个常规的三方算术秘密分享，接下来，我们将算术秘密分享，重新分享为 $(2, 3)$ 门限的形式。

1、 $P_3$ 将 $r_3$ 发送给 $P_1$ ， $P_1$ 计算 $t_1=r_3-r_1,k_1=-2r_3-r_1$ ；
2、 $P_1$ 将 $r_1$ 发送给 $P_2$ ， $P_2$ 计算 $t_2=r_1-r_2,k_2=-2r_1-r_2$ ；
3、 $P_2$ 将 $r_2$ 发送给 $P_3$ ， $P_3$ 计算 $t_3=r_2-r_3,k_3=-2r_2-r_3$ .

证明：
1、 $k_1=-2r_3-r_1=r_2-r_3-(r_1+r_2+r_3)=t_3-v_1v_2$ ；
2、 $k_2=-2r_1-r_2=r_3-r_1-(r_1+r_2+r_3)=t_1-v_1v_2$ ；
3、 $k_3=-2r_2-r_3=r_1-r_2-(r_1+r_2+r_3)=t_2-v_1v_2$ .

所以 $t_i,k_i)$ 是 $v_1v_2$ 的 $(2, 3)$ 门限秘密分享。

参考文献

[1] Araki, Toshinori, et al. “High-throughput semi-honest secure three-party computation with an honest majority.” Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security. 2016.