翻译： Towards a Game Theoretic View of Secure Computation-2011

[自己学习用，如有侵权请联系本人删除~]

Towards a Game Theoretic View of Secure Computation

摘要：

展示了博弈论概念和形式化如何用于捕捉密码学的安全概念。在两方协议面对恶意的失败-停止故障的受限但指示性的情况下，我们首先展示了如何将传统的协议的保密性和正确性概念捕获为理性参与者博弈的纳什均衡的属性。接下来，我们关注公平问题。本文展示了一个博弈论概念和两个不同的密码学概念，它们最终都是等价的。此外，我们提供了一个基于模拟的概念，暗示了前三个。这四个概念都弱于现有的密码学概念的公平性。特别是，本文表明它们可以在一些自然环境中满足，在这些环境中，现有的公平概念被证明是不可能实现的。

引言：

博弈论和密码协议学科都致力于理解利益冲突各方之间协作交互的复杂性。此外，这两个学科的重点是相同的，并且是算法性质的:为这种协作情况下的各方设计和分析算法。然而，这两个学科发展出了非常不同的目标和形式。密码学的重点是设计算法，使遵循它们的人能够以某种方式进行交互，在面对对抗性、恶意行为时，保证一些基本的具体属性，如保密性、正确性或公平性。博弈论是更加开放的，它关注于理解在给定情况下具有明确目标的“理性”方的算法行为，并设计交互规则，使其“自然”导致具有理想属性的行为。

尽管存在这些差异，这两个学科之间还是进行了一些卓有成效的交叉研究(见例[26,8])。一个很自然的方向是使用密码学技术来解决传统的博弈论问题。特别是，Dodis等人的工作，[7]，Ismalkov等人[25,24]，Abraham等人的工作，[1]和Halpern和Pass[23]采取了这一途径，并演示了如何使用密码技术的多方协议可以用于替换机制设计中的可信关联设备或中介。

另一个研究方向是扩展传统的博弈论形式，在博弈论的背景下，捕捉考虑到协议参与者是计算受限的事实和计算资源昂贵的密码学问题和想法[7,23,21]。

另一项工作旨在利用博弈论的概念和方法来修正传统的密码学目标，如安全、公平的计算。这个方向的焦点一直是理性公平交换秘密的概念(也称为理性秘密共享)[22,19,29,27,28,30,9,3]。这里的目标是设计一个交换秘密的协议，使“理性的玩家”对遵循该协议“感兴趣”，假设玩家对学习其他玩家的秘密输入感兴趣，同时阻止其他人学习他们自己的秘密。事实上，假设参与者有特定的偏好，协议设计者知道参与者对这些偏好的一些定量先验知识。此外，为了绕开基本的不可能结果[3,6]，这种先验知识被证明是必不可少的。

这些巧妙的工作证明了为合作但竞争的各方建立一个联合协议理论的好处;但同时又强调了两种形式主义的根本矛盾。例如，在理性秘密共享工作中使用的(主要是博弈论)形式似乎并没有自然地捕获基本的密码学概念，例如秘密的语义安全性。相反，这些工作选择了更简单的概念，并不总是与传统的密码学形式兼容。特别是，现有的建模(既用于构造，也用于不可能结果)将秘密视为原子单元，并只考虑双方要么完全学习秘密，要么不完全学习秘密的情况。与传统的密码建模不同，该方法忽略了秘密的部分信息在执行过程中被泄露的选项。

This work. 我们把这两种形式主义联系起来。特别地，我们展示了如何使用博弈论的形式和概念来捕获协议的传统密码学安全属性。重点研究了两方协议和失败-停止敌手的设置。虽然这种设置诚然是有限的，但在面对恶意(即不一定是“理性的”)中止时，它确实包含了保密性、正确性和公平性等核心方面。

在这种设置中，首先展示了保密性和正确性的博弈论概念，分别等效于在失败-停止设置中确定性函数的秘密和正确评估的标准密码学概念(参见[12])。然后，我们转向捕捉公平。这里的情况变得更加复杂。提出了一个自然的博弈论公平概念，并观察到它严格弱于现有密码学中公平两方函数评估的概念。然后，我们制定了与这个博弈论概念等效的新的密码学公平概念，以及一个基于模拟的公平概念，这意味着上述三个概念。这些新概念确实可以在一些潜在有意义的环境中实现，在这些环境中传统的密码学概念被证明是不可实现的。

The results in more detail. 基本思想如下。我们将给定的协议转换为一组博弈，当且仅当(从协议派生的)特定策略对在每个博弈中处于(计算的)纳什均衡时，协议满足所讨论的密码学属性。这使得密码学问题可以用博弈论的语言提出(并回答)。更准确地说，给定一个协议，考虑(不完全信息的广泛形式)博弈，在每个步骤中，相关方可以决定要么按规定继续运行协议，要么终止执行。然后，我们问这对指导参与者继续协议直至完成的策略是否处于(计算)纳什均衡。然后，由一组适当的实用程序和输入分布(即类型分布)捕获每个加密属性。特别是:

Secrecy. 一个给定的协议是秘密的(例如[12])，当且仅当永不中止协议的策略相对于下列类型的效用集和分布处于计算纳什均衡。对于域中的每个值对，我们定义一个分布，该分布从值对中随机选择一方的输入。如果两个值导致相同的输出值，那么一方得到的回报很低，但另一方设法猜测出使用了两个输入中的哪一个。强调指出，这是第一次在博弈论的术语中捕获传统的加密保密概念(以[16]的风格)。特别地，关于理性秘密共享的工作并没有为秘密提供这种级别的保密。(实际上，在那里采用的解决方案需要从一个大的域中获取秘密。)

Correctness. 当且仅当永不中止协议的策略相对于效用集处于计算纳什均衡时，协议才能正确地计算出确定性函数，其中只有当双方在给定的输入(类型)上输出正确的函数值时，协议才能获得收益，或者在协议开始前中止;此外，玩家不会因为错误的输出而获得任何回报。

Fairness. 我们在这里做出了大部分贡献。我们首先回忆一下基本设置:双方通过交换消息进行交互，以便根据他们的输入对函数f赋值。唯一允许偏离协议的是中止，在这种情况下，双方都知道协议被终止了。因此，该模型中的协议除了指定要发送的下一条消息外，还应指定在执行中止时对输出值的预测。(尽管该设置对任何函数都有意义，但记住公平交换函数可能会有所帮助，其中一方的输出是另一方的输入。)

该模型中两方协议(例如[20,18])目前的公平性概念要求在计算中有一个点，双方从不知道输出的状态转移到完全知道它的状态。这是一个强大的概念，在许多情况下是不可能实现的。相反，我们想研究更宽松的公平概念，它允许各方逐渐了解关于其期望输出的部分信息——但以“公平”的方式这样做。事实上，无论是从博弈论的角度来看(零和博弈)，还是从通过渐进释放范式的密码学的角度来看(参见例[4,15,11,20,3]和其中的参考文献)，这种方法似乎都是合理的。

关于这种公平概念，首先要注意的是，它对当事人可能对彼此的输入有潜在的先验知识很敏感。事实上，在一方对另一方输入的可能值的了解远远多于另一方对另一方输入的可能值的情况下，在没有事先知识的情况下是“公平的”的“逐步发布”协议可能会变得“不公平”。

因此，我们明确地在我们的安全概念中建模了每一方对另一方输入的知识。也就是说，我们让每一方都有，除了自己的输入之外，还有一些关于对方输入的附加信息。此外，为了简化问题并使双方处于平等地位，我们假设双方对另一方输入的信息由该输入的两个可能值组成。也就是说，每一方接收三个值:自己的输入，以及两个可能的另一方的输入。事实上，这些信息自然地捕获了可能输入域很小的情况(例如，二进制)。该模型还可以自然地扩展到大于2的小规模论域。

我们首先概述我们的博弈论概念。我们考虑输入(类型)上的以下分布:假设函数 f 的定义域上的四元组对所有和都有效。对于域中的每个有效四元组，我们定义了一个分布，该分布从前两个值中随机选择一方的输入，从其他两个值中随机选择另一方的输入。参与方的效用函数如下:当参与方终止协议时，各方预测其输出。如果一方预测正确而另一方预测错误，那么它的收益为+1。如果它预测错误而另一方预测正确那么它的收益是-1。否则，收益为0。如果该策略相对于上述效用(适用于双方和上述家族中的任何分配)处于计算纳什均衡，则我们称该协议在理论上是博弈公平的。

 然后我们考虑三个不同的公平加密概念，并研究它们与上述博弈论概念的关系。

 -首先，提出了一个简单的"基于博弈"的公平概念，在密切模仿上述博弈论互动的博弈中，限制任意(即不一定"理性")失败-停止对手的收益。这两个概念的主要区别在于，在密码学环境中，敌手是任意的，而不是理性的。尽管如此，我们证明了这些概念是等价的。

 -接下来，我们要证明这个概念实际上与逐渐释放的自然概念相对应。也就是说，如果在任意一轮中，任何一方预测其输出的概率只增加了微不足道的数量，则协议满足渐进释放特性。我们证明了一个协议是公平的(如上述概念)当且仅当它满足渐进释放特性。我们注意到，渐进释放的概念在本质上是Beaver、Goldwasser和Levin[4,15]的经典协议的基础。它也是Asharov和Lindell[3]工作中的一个关键工具。由于篇幅有限，我们在这里没有给出渐进释放的定义;有关正式描述，请参阅完整版本[2]。

-制定了一个基于理想模型的公平概念，允许逐步释放秘密。在这个概念中，理想函数接受一个来自理想模型对手的“采样算法”M。然后，该函数从各方获得输入，并在这些输入上运行M，并从M中获得应该给双方的输出。然后，该功能将各自的输出提供给双方。(即，一旦输出可用，缔约方可以在任何时间访问它们。)这种交互的正确性和公平性保证显然取决于M的性质。因此，我们要求M同时是“公平”和“正确”的，在这种意义上，双方都以大致相等(和实质性)的概率获得正确的输出。然后，我们表明，新的基于模拟的定义隐含着渐进发布的概念。(我们注意到，在失败-停止模型中，相反的情况不一定适用于安全计算，甚至不考虑公平性)。

A positive result. 最后，我们考虑了这个概念的可实现性。在这里，我们首先断言，Cleve、Asharov和Lindell[6,3]的不可能性结果即使与新概念有关，只要双方都被要求获得输出。然后，我们观察到，即使在不保证双方在诚实玩耍时总是学习正确输出的情况下，我们的概念也是有意义的。令人惊讶的是，在各方以概率为1/2或更小的概率学习正确输出的情况下(即，正确性在0和1/2之间保持)，我们基于模拟的公平性概念实际上在没有设置或可信第三方的情况下是可以实现的。展示了一类两方协议，用该正确性概率参数化，实现了新的公平性概念。例如，对于正确性以1 / 2的概率得到保证的情况，我们设计了一个公平协议，其中，双方分别以1 / 2的概率获得正确的输出，以1 / 2的概率获得错误的值。另一个协议确保每一方以1 / 2的概率获得正确的输出，并且在每次执行时只有一方获得正确的输出值。这些场景以前不知道是可以实现的(甚至连[18]都不知道)，并且可能被证明是有用的。

On the definitional choices. 当考虑我们的模型时，想到的一个问题是为什么使用简单的纳什均衡来展示密码学概念和博弈论概念之间的对应关系。为什么不使用更强的概念，例如优势策略、迭代删除下的生存或子博弈完美均衡。结果表明，在我们设定的具有失败-停止错误的两方计算中，纳什均衡似乎是最自然地对应于密码安全协议的概念。特别是，在失败-停止的情况下，任何纳什均衡都是子博弈完美的，或者换句话说，空威胁是不成立的(见下一节的更多讨论)。

Future work. 一个有趣的挑战是将这项工作的结果扩展到拜占庭案例。首先，在拜占庭的情况下，有多种安全的密码学概念，包括各种基于模拟的概念。利用博弈论工具捕获这些概念可以揭示这些密码学概念之间的差异。特别是，在这里，似乎博弈理论的形式将不得不扩展，以捕获每个决策点的任意多项式时间策略。特别是，似乎可能需要更复杂的博弈论解决概念，如子博弈完美均衡和其计算松弛[21,31]。

另一个挑战是扩展这里提出的公平概念，以解决各方对彼此的输入具有更一般的、非对称的先验知识的情况，并找到使用系统最小信任假设的解决方案。处理多方案件是另一个有趣的挑战。

Organization. 第2节介绍了密码学和博弈论的“解决概念”。第4节介绍了关于公平性的结果:(i)博弈论概念，(ii)等效密码学定义，(iii)一个新的基于模拟的定义，(iv)公平性定义的研究。渐进发布特性、它与公平性的关系以及更多细节可以在完整版本[2]中找到。

2 The Model and Solution Concepts

我们将回顾一些基本定义，这些定义描述了我们对协议(或策略)建模的方式，以及我们将考虑的解决方案概念——密码学和博弈论的概念。虽然大多数定义都是已知的，但有些是这项工作的新定义。

2.1 Cryptographic Definitions

我们回顾了协议安全性的一些标准密码学定义。

The Fail-Stop setting. 我们在本文中考虑的设置是在失败-停止故障存在时的两方交互。在这种情况下，双方都严格遵循协议规范，除非任何一方可以在计算过程中的任何时候决定停止或中止计算。具体来说，这意味着失败-停止攻击者不会更改其执行的初始输入，但他们可以任意决定其输出。

Cryptographic Security. 本文提出基于游戏的定义，捕捉了隐私和正确性的概念。我们把注意力限制在确定性函数上。根据定义[12]，在(x0, x1)上执行π时，第i方(i∈{0,1})的视图表示为且等于，其中等于第i方内部随机带的内容，表示接收到的第j条消息。

 

 

 2.2 Game Theoretic Definitions

 我们回顾了博弈论的相关概念，以及将这些概念与密码学概念等同的扩展。传统上，一个2方(范式，完整信息)博弈是通过为每个玩家Pi指定一组可能行动的Ai和一个效用函数来确定的。让，我们将行动的元组作为结果。Pi方的效用函数ui表达了该玩家对结果的偏好:Pi更喜欢结果a而不是结果a'当且仅当。Pi的策略σi是Ai中行动的分布。给定策略向量σ = σ0, σ1，设ui(σ)为Pi的期望效用;假设所有参与方都按照σ进行博弈，我们继续定义纳什均衡:

 

 上述形式也自然地延伸到拓展形式游戏的情况，在这种情况下，各方采取行动时是轮流进行的。另一种自然扩展便是带有不完整信息的游戏。在这里，每个玩家都有一个额外的信息，称为type（类型），只有自己知道。也就是说，策略σi现在将一个额外的值xi作为输入。为了扩展纳什均衡的概念以处理这种情况，假设输入(type)上的先验分布是已知且固定的。

 

 Extensions for the cryptographic model. 我们回顾了上述概念在计算有界玩家的情况下的(现在是标准的)扩展。更多细节参见例[7,26]。第一步是将策略建模为一个(交互式)概率图灵机，根据给定的移动类型和到目前为止的一系列移动，算法生成下一步移动。为了捕获计算上有界的行为(包括行为方，更重要的是另一方)，转向渐近处理。也就是说，我们考虑一个无限的博弈序列。第三步，也是最后一步，是将“大于或等于”的概念放宽为“不显著小于”。这是为了弥补加密结构不可避免的小缺陷。也就是说，我们有:

 

 Our setting. 我们考虑以下设置:在每一步中，相关方可以做出一个二元决策:要么终止计算，在这种情况下，另一方被通知已经采取了终止操作，要么继续严格运行协议π。传统的博弈论模型涉及这种不受参与者控制的“exogenous”（外生）随机选择，将额外的参与者(例如“自然”)引入游戏。然而，在我们的例子中，情况有些不同，因为随机选择可能是秘密的，此外，每个玩家还可以访问在整个交互过程中保存的局部状态，并可能影响选择。具体来说，一个动作可以指定一个(可能是随机的)算法和配置。执行此操作的结果是，从上述配置中运行上述算法的输出将被添加到执行的历史中，而算法的新配置将添加到玩家的本地历史中。更正式地:

 

 Fail-stop games. 我们考虑的游戏形式为，其中。决定是在发送每条消息之前做出的。也就是说，首先程序πi从它的当前配置运行，生成一个输出消息。接下来，一方决定是继续还是中止。玩家i的continue动作意味着由πi生成的外发消息被添加到历史中，并且新的配置被添加到本地历史中。abort动作是指在双方的配置中添加一个特殊的中止符号，然后π0和π1都运行完成，生成本地输出，游戏结束。我们称这种游戏为fail-stop games。

 fail-stop games中的效用函数可能取决于所有的历史:联合的历史，以及双方的本地历史。在接下来的几节中，为了方便起见，我们将定义一些实用函数，这些函数考虑本地历史的一个特殊字段，称为local output of a player Pi。我们用表示这个域。用表示总是返回continue的策略。我们将研究的协议的基本博弈论属性是，在给定的效用和输入分布集下，这对策略在失败-停止博弈中是否处于(计算)纳什均衡。那就是:

  

 子博弈完美均衡及其求解概念。对于广泛形式博弈(即交互式协议)，一个有吸引力的解决概念是子博弈完美均衡，它允许不受“空洞威胁”拖累的分析处理。此外，最近提出了这个概念的一些变体，它们更适合我们的计算环境(见[21,31])。然而，我们注意到，在有限的失败-停止博弈情况下，任何纳什均衡都是子博弈完美的。事实上，一旦一方中止计算，另一方就没有机会“报复”，因此空洞的威胁是没有意义的。(回想一下，输出生成算法不是战略性的，只有是否中止的决策是战略性的。)

 3 Privacy and Correctness in Game Theoretic View

 在本节中，我们使用博弈论的概念来描述传统密码学的隐私性和协议的正确性。我们将注意力限制在具有单一输出的失败-停止设置和确定性函数上。(抛开公平性不谈，有两个不同输出的函数的私有计算可以简化为这种更简单的情况;更多细节请参见[12]。)

 Privacy in Game Theoretic view. 我们的出发点是私有计算的概念。如果没有(失败-停止)PPT攻击者能够区分任意两次攻击者的输入和输出相同的执行，即使诚实方在两次执行中使用不同的输入，协议也是私有的。因此，我们的目标是为纳什协议定义一组保持该特性的效用函数。因此，我们将自己限制在三个输入的输入分布上，其中给一方的输入是固定的，而另一方的输入是从剩余的对中均匀选择的。这一限制体现了加密(语义)安全性的强度:即使一方知道另一方的输入只能是两个可能值中的一个，游戏也没有赋予它分辨哪种情况的能力。然后，我们有每个这样的三元组的分布。

 我们转向定义实用函数。乍一看，似乎应该将隐私定义为，只要双方从另一方的私人输入中了解到有意义的东西，就会使双方受益。然而，如果另一方知道了自己的秘密信息，让另一方蒙受损失似乎是更好的选择。直观地说，原因是对于持有数据的一方来说，将其保密是值得的。换句话说，让另一方在秘密泄露时获得任何利益是不相关的，因为它没有给前一方引入任何阻止这种泄露的激励。(但请注意，这里一方的效用取决于在执行期间对其不可见的事件。)下面的定义将上述定义形式化。

 

 P1隐私的分布集合的定义类似。

假设π是计算函数f的两方协议。然后，对于上述的n、a、b、c和每个ppt算法B，让为π保密的增强协议，即猜测算法B，首先运行π，然后在π的局部状态和两个附加辅助值上运行B的协议。我们假设B输出一个二进制值。这个值被解释为两个辅助值中哪一个是另一方的输入值的猜测。

第P1方的效用函数类似地定义。请注意，如果执行的历史为空，即各方之间没有交换消息，并且各方的输入来自于一个分发集合，以保护隐私，则至少等于- 1/2。这是因为P1只能猜出x的概率不超过1/2。因此，从直觉上讲，它会是理性的
只有当(且仅当)另一方无法以显著大于1/2的概率猜出P0的输入时，P0才参与协议(而不是在一开始就中止)。Game-Theoretic privately的定义如下:

 

类比定义了基于博弈理论的P1私有协议。如果一个协议对于P0和P1都是博弈论私有的，那么这个协议就是博弈论私有的。

证明可以在完整版本[2]中找到。

博弈论观点的正确性。我们继续使用效用函数的公式，该公式捕获了定义12中形式化的正确性概念。也就是说，我们证明，当且仅当永不中止协议的策略相对于如下指定的效用集处于计算纳什均衡时，协议能够正确地计算出确定性函数。双方只有在给定的输入(类型)上输出正确的函数值，或者在协议开始之前终止，才能获得高回报;此外，玩家不会因为错误的输出而获得任何回报。更正式地说，我们将介绍一组分布，并对其证明纳什定理。为了保证正确性，分布集合就是输入对上所有点分布的集合:

 w.p. 1=with probability 1

请注意，fail-stop adversary不会影响协议的正确性，因为它诚实地运行，除非它可能终止。然后，在接收到abort消息时，我们会得到以下内容:(i)要么是诚实的一方已经了解了它的输出，因此，应该保证正确性，或(ii)诚实的一方还不知道输出，它的输出与其对输出的猜测(对应于定义2中的合法输出)是⊥。注意，这个猜测与隐私实用定义定义9中添加的猜测不同，这里我们假设协议指示诚实方在异常终止时的行为。此外，在失败-停止攻击者存在的情况下，不正确的协议意味着协议是不正确的，与各方的操作无关(操作是继续还是中止)。

这表明了如下的对效用函数进行正确性建模的自然方式:如果双方输出正确的输出，则会获得更高的效用，如果输出错误的输出，则会失去效用。因此，在协议不正确的情况下，继续策略不会诱导出纳什均衡，因为参与方可以通过不参与执行来获得更高的效用。更正式地:

 直观地说，这意味着协议是一个失败-停止的游戏，如果它是正确的，反之亦然。正式声明如下。的定义类似于P1。

 

证明可以在完整版本[2]中找到。 

4 Exploring Fairness in the Two-Party Setting

在使用博弈论形式主义建立了隐私和正确性的概念之后，我们的下一个目标是捕捉这种观点中的公平性。然而，这证明是棘手的，主要是由于高度“互惠”，因此这个概念的微妙性质。为了说明这一点，请考虑公平的简单定义，即一方只有在另一方了解其输出时才了解其输出。然而，就像它看起来那样自然，这种定义是缺乏的，因为它将每一方的输出捕获为一个原子单元。因此，它只考虑双方要么学习了或没有完全学习他们的输出的情况，而忽略了通过执行可能收集输出的部分信息的选项。因此，相反，我们希望有这样一个定义:如果协议双方在执行过程中的任何一点，从本质上说，都收集了关于各自输出的相同部分信息，那么协议就是公平的。

在这种讨论的激励下，本文转向博弈论背景，目的是设计一个有意义的公平定义，就像我们对隐私和正确性所做的那样。例如，这将允许在新的光线下研究已知的不可能的结果。我们的出发点是一个定义，该定义检查了双方在游戏过程中获得的关于其输出的信息，其中一方在名义上输给了另一方猜测其输出的成功概率。(这与隐私保护的原因相同)。为了获得这一点，我们首先定义了一组新的效用函数，我们要求博弈是纳什博弈;完整的细节参见4.1节。

在定义了理性参与者的公平性之后，我们希望检查它抵抗密码攻击的强度。因此，我们引入了一个新的基于博弈的定义，它形式化地描述了两方协议的公平性，实际上等同于博弈的定义;定理21。

然后，我们在4.3节介绍一个新的基于模拟的定义的概念，以捕获协议的安全性，遵循我们基于游戏的公平概念，如上所述。根据传统的基于模拟的定义[12]，基于游戏的公平协议很可能是不可模拟的。在保护隐私概念的同时，考虑了理想世界中的"部分信息"概念。然后证明了满足新定义的协议相对于基于游戏的定义也是公平的。

最后，我们考虑我们的公平概念的可实现性。然后，我们观察到，即使在双方都不中止时，不保证始终学习输出的情况下，我们的概念也是有意义的。有些令人惊讶的是，在双方以1 / 2或更小的概率学习输出的情况下，我们的公平概念实际上在没有设置或可信第三方的情况下是可以实现的。本文展示了在这种情况下实现新概念的两方协议。我们还表明，每当这个概率提高到1 / 2以上时，我们的公平概念根本无法实现。

4.1 Fairness in Game Theoretic View

在本节中，我们将提出我们的第一个公平定义，它从博弈论的角度抓住了这个概念。至于隐私性和正确性，这涉及到效用函数、输入分布和具体的失败-停止博弈(或博弈序列)的定义。我们从输入分布的描述开始。如上所述，每一方的输入都是从大小为2的域中选择的，其中所有输出都由不同的输出组成。更正式,

 接下来，设πB为协议，其中B = (B0, B1)。通过这种表示法，我们人为地将协议和预测算法分开，以防止过早中止。更准确地说，在P0过早终止的情况下，P1会根据它的输入、辅助信息和执行历史调用算法B1，并输出B1所做的任何操作。B0的定义类似。事实上，我们可以通过双方的指令来参考这两种算法，在每一轮之后，他们需要输出的值，捕获早期中止事件。我们强调这些算法是嵌入在协议中的。然而，这种表示使我们能够捕捉到这样的场景:一方遵循协议指定的猜测算法，而另一方则遵循任意算法。也就是说，我们可以考虑协议 (），与原始协议πB等价，除了P0根据而不是B0猜测其输出。

我们描述了公平游戏对于某些B = (B0, B1)。各方的输入，x0,x1，根据定义15中定义的一些分布集合进行选择。然后，参与者运行失败-停止游戏，在每个步骤中，他们的策略指示他们是abort还是continue。当一方Pi中止时，双方的输出由算法(B0, B1)确定。设表示博弈πB中Pi的输出，则公平的效用函数定义为:

 

由于P1的效用函数是固定的，只有P1没有改变策略的动机。此外，我们在这里考虑游戏序列，其中P1总是根据B1(“原始”协议)猜测其输出。从密码学的角度来看，这实际上意味着P1一直都是诚实的。现在我们可以定义一个对P1公平的协议:

 

 类似地，我们定义P0方的Game-Theoretic fair，这里我们考虑所有协议，对于所有PPT 和，而效用函数是相反的(即P0的效用固定为零，而Pi的效用根据其猜测进行修正)。最后，我们给出了博弈协议的定义:

 

 4.2 A New Indistinguishability-Based Definition of Fairness

 我们现在定义一个基于游戏的定义(或不可区分的定义)来实现加密环境下的公平性。同样，与博弈论环境一样，我们假设协议指示参与方在流产的情况下输出什么。我们的定义在一个“失败”的环境中测试协议，其中每个参与方都有两个可能的输入，其有效输入是从这个集合中均匀随机选择的。此外，双方都知道输入元组和输入的分布。在介绍基于游戏的定义之前，我们首先介绍一些重要的功能，以避免其中一方不参与就知道正确输出的功能。

 

 

 乍一看，定义20似乎是为公平交换功能量身定做的，即当各方交易他们的投入时。这是因为双方的产出完全暴露了他们的投入。然而，我们注意到，该定义在这个意义上没有对f施加任何限制，旨在捕获关于任何非平凡函数的公平性。我们继续使用下面的定理:

 这个定理的证明可以在完整版本[2]中找到。

4.3 A New Notion of Simulation Based Fairness

提出了一种新的基于模拟的公平两方计算概念。目标是以一种基于模拟的方式捕获本节中先前概念所捕获的相同概念。也就是说，我们希望允许双方获得关于对方秘密的“部分信息”，只要对双方来说所获得的信息“本质上相同”。

其基本思想是考虑一个理想功能(即可信方)，除了从双方获得自己的输入和对另一方输入的先验信息外，还从理想对手(即模拟器)处获得采样PPT机器M。该功能然后在双方的输入上运行M，并将M返回的输出发送给双方。为了使我们的定义在公平环境下有意义，我们要求M应该是“公平的”，即各方获得的值与他们各自的输出以基本相同的方式相关。

由于篇幅有限，我们只简要介绍这个定义的要点。请参阅[2]中的完整细节。我们对机器M提出以下要求:

1. Correctness:我们要求对于某些x, x'，其中xo,x1是被发送到可信方的各方的输入，y'0, y1是M的输出。也就是说，采样机永远无法输出与其输入不相关的某一方的值。

 

2.Fairness:我们要求存在一个可忽略的函数μ(·)，使得对于所有足够大的n，它具有:

 其中，对手控制了第i*方，概率是M的随机硬币。

 安全的定义现在是标准的:

 4.4 The Feasibility of Our Definition

在本节中，我们将在密码学的背景下研究基于游戏的公平性的新密码学定义。我们的起点是任何正确的协议，如果双方诚实地运行，就会知道他们的输出。通过放松(可忽略的接近)完全完全性要求，这意味着如果诚实比赛，各方应该(几乎)总是学习他们的输出，我们可以根据部分正确性完全刻画两方协议的集合。非正式地,

1. 在正确性大于1/2的概率不可忽略的情况下，我们给出了一个不可能的结果，即不存在一个公平协议具有这种正确性概率。这意味着设计公平协议的困难已经嵌入到failstop设置中。换句话说，只要允许提前中止，这些困难就已经出现了。

2. 积极的一面是，在概率小于等于1/2的情况下，正确性保持不变，我们展示了如何设计一个满足公平性概念的公平协议。本文提出了一类这样的协议，以这种正确性概率为参数。这意味着，在设计公平协议时，fail-stop设置仍然有希望。

An impossibility result. 在本节中，我们将证明，对于保证正确性概率大于1/2的协议，无法实现基于游戏的公平性定义。在讨论主要定理之前，我们先给出一个α-正确协议的定义。

 我们的不可能定理：

 A positive result. 有趣的是，本文表明，对于松弛正确性(即小于1/2)，确实存在可以在这种情况下公平计算的非平凡函数。下面，我们提出一个公平协议，其中任何一方都可以共同学习正确的输出，或者任何一方都不能得到正确的结果。在每次执行中，只有一方学习到其正确输出的情况也可以通过公平实现。更一般地，用α表示双方应该学习其输出的概率。然后，我们证明在α≤1/2的情况下，即使在非同时信道模型下，也存在公平的α-正确协议。这种放松对于获得公平性是必要的，因为较高的α值设置了实现此属性的阈值(如4.4节所示)。直观地说，每一方都不知道自己是否有正确的输出，这意味着被破坏的一方在学习到自己的输出后不会有任何中止的动机，因为它无论如何都不会给诚实的一方任何新信息。

The protocol. 该协议在输入元组上调用，其分布是从已知的输入对中随机选择每个输入。设表示这样的输入元组，并表示为，。

 然后,函数;在下面的形式定义中，设置双方的输出，使双方都以概率α学习正确的输出，这是α-正确协议所要求的。此外，参与方通过协议实现功能，具有带中止的安全性。

 

 在该协议中，参与方使用security-with-abort方法计算函数。在计算结束时，对手会第一个看到输出。如果敌手决定中止，诚实的一方会从两个可选输出中随机猜测它的输出。直观地说，由于双方以相同的概率(1/2)学习正确的输出，因此实现了公平性。另一方面，如果双方都诚实博弈，则两个输出之间存在相关性，这是α-正确协议所要求的。要了解协议的完整描述，以及下面定理的证明，请参阅完整版本[2]。