Yao‘s GC 的通信最优解：Half Gate

参考文献：

1. Bellare M, Hoang V T, Rogaway P. Foundations of garbled circuits[C]//Proceedings of the 2012 ACM conference on Computer and communications security. 2012: 784-796.
2. Zahur S, Rosulek M, Evans D. Two halves make a whole[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. Springer, Berlin, Heidelberg, 2015: 220-250.
3. Biçer O. Efficiency Optimizations on Yao’s Garbled Circuits and Their Practical Applications[J]. arXiv preprint arXiv:1703.03473, 2017.

Garbling Schemes Abstraction

2012年，Bellare, Hoang, Rogaway 给出了混淆电路协议的抽象。

一个 Garbling Scheme 是算法四元组 $(Gb,En,Ev,De)$，

• $Gb(1^k,f)\to (F,e,d)$：安全参数$k$，将布尔电路$f$转化为混淆电路$F$，$e$是编码信息（encoding information），$d$是解码信息（decoding information）
• $En(e,x)\to X$：$x$是明文输入，根据$e$编码为混淆值$X$
• $Ev(F,X)\to Y$：将$X$输入混淆电路$F$，运算后结果为$Y$
• $De(d,Y)\to y$：$Y$是混淆输出，根据$d$解码为明文$y$

安全属性：

1. Privacy：$(F,X,d)$不会泄露比$f(x)$更多的关于$x$的信息
2. Obliviousness：$(F,X)$不会泄露$x$的任何信息
3. Authenticity：只给定$(F,X)$，任何敌手都无法计算一个$Y^{\prime }\ne Ev(F,X)$使得$De(d,Y^{\prime })\ne \perp$，除了可忽略的概率

Secret Shares

混淆电路的任意一条线$w$，我们将线标签$k_w^0,k_w^1$和置换比特（permute bit）$p_w$写在一起：
$$\begin{array}{rl}{W}_w^0& =k_w^0\Vert p_w\\ W_w^1& =k_w^1\Vert (p_w\oplus 1)\end{array}$$

值$v_w=0$的选择比特（select bit）为$s_w=p_w$，而值$v_w=1$的选择比特为$s_w=p_w\oplus 1$。易知，$v_w=s_w\oplus p_w$，秘密共享为：
$$[v_w]=(p_w,p_w\oplus v_w)$$

使用 Free XOR 技术，随机选择$k_w^0$，那么$k_w^1=k_w^0\oplus R$。或者说，随机选择$W_w^0$（包含了$p_w$），然后设置$lsb(R)=1$，那么$W_w^1=W_w^0\oplus R$

此时的秘密共享为：
$$[v_w]=(W_w^0,W_w^0\oplus v_w\cdot R)$$

可以提取$lsb(\cdot )$重新得到$(p_w,p_w\oplus v_w)$

AND Gate

令 Alice 是混淆电路的生成者，令 Bob 是混淆电路的计算者。

一个 AND Gate，它的输入线为$a,b$，输出线为$c$

简记：$a=0$的混淆值为$A$，$b=0$的混淆值为$B$，$c=0$的混淆值为$C$，Free XOR 技术的全局偏移为$R$

Generator Half Gate

这个所谓的 Generator Half Gate 是指：Alice 知道其中一条输入线（不失一般性的，$a$）的明文值，只知道另一条线（对应的，$b$）的混淆值。

为了计算 $c=a\wedge b$，因为 Alice 知道$a$的值，因此它是关于$b$的一元门（unary gate），

1. 如果$a=0$，那么这个一元门就是$c=0$
2. 如果$a=1$，那么这个一元门就是$c=b$

Alice 构造这个一元门的混淆表：
$$\begin{array}{r}H(B)\oplus C\\ H(B\oplus R)\oplus C\oplus aR\end{array}$$

Bob 持有$b$上的混淆值，但无法区分$b=0/1$，

1. 如果 Bob 持有$B$，那么可以得到$C$，对应$c=a\wedge 0=0$

2. 如果 Bob 持有$B\oplus R$，那么可以得到$C\oplus aR$，对应$c=a\wedge 1=a$

利用 P&P 技术和 GRR3 技术，Alice 根据$b$的置换比特$p_b:=lsb(B)$，将选择比特$s_b^{v_b}=0$所对应的$v_b=p_b$的条目的密文置为零，即：
$$C=\{\begin{array}{rlr}H(B),& & p_b=0\\ H(B\oplus R)\oplus aR,& & p_b=1\end{array}$$

当$p_b=0$时，
$$\begin{array}{rl}H(B)\oplus C& =0\\ T_G:=H(B\oplus R)\oplus C\oplus aR& =H(B)\oplus H(B\oplus R)\oplus aR\end{array}$$

当$p_b=1$时，
$$\begin{array}{rl}H(B\oplus R)\oplus C\oplus aR& =0\\ T_G:=H(B)\oplus C& =H(B)\oplus H(B\oplus R)\oplus aR\end{array}$$

所以，我们只需发送一个密文$T_G$即可。

Evaluator half-gate

这个所谓的 Evaluator half-gate 是指：Bob 知道其中一条输入线（不失一般性的，$a$）的明文值，只知道另一条线（对应的，$b$）的混淆值。

为了计算 $c=a\wedge b$，因为 Bob 知道$a$的值，因此它是关于$b$的一元门（unary gate）

Alice 构造这个如下的密文（这并非真值表对应的混淆表）：
$$\begin{array}{r}H(A)\oplus C\\ H(A\oplus R)\oplus C\oplus B\end{array}$$

如果 Bob 知道$a=0$，此时它持有$A$，那么可以得到$C$，对应$c=0\wedge b=0$

如果 Bob 知道$a=1$，此时它持有$A\oplus R$，那么可以得到$C\oplus B$，然后还需要再与$b$上的混淆值（Bob 无法区分$b=0/1$）异或，

1. 如果 Bob 持有$B$，计算出$C\oplus B\oplus B=C$
2. 如果 Bob 持有$B\oplus R$，计算出$C\oplus B\oplus B\oplus R=C\oplus R$

对应$c=1\wedge b=b$

由于 Bob 知道$a$的明文值，因此知道自己持有的是$A$还是$A\oplus R$，所以根本不必利用随机置换来隐藏这个信息。

利用 GRR3 技术，我们简单地设置$C=H(A)$，那么有：
$$\begin{array}{rl}H(A)\oplus C& =0\\ T_E:=H(A\oplus R)\oplus C\oplus B& =H(A)\oplus H(A\oplus R)\oplus B\end{array}$$

所以，我们只需发送一个密文$T_E$即可。

Two halves make a whole

容易发现：
$$\begin{array}{rl}c& =a\wedge b\\ & =(a\wedge r)\oplus (a\wedge (b\oplus r))\end{array}$$

Alice 和 Bob 都不知道$a,b$的明文值，只有混淆值$W_a^{v_a},W_b^{v_b}$

将置换比特和线标签视为秘密共享。对于$b$上的值的 shares，Alice 持有置换比特$p_b:=r$的明文（根据$lsb(W_b^0)$），Bob 持有选择比特$s_b:=b\oplus r$的明文（根据$lsb(W_b^{v_b})$）

因此，我们将 AND Gate 转化为：

• $1$个 Generator Half Gate：$c_1=a\wedge r$，其中 Alice 知道$r$，但是不知道$a$（同时也不知道$b$）
• $1$个 Evaluator half-gate：$c_2=a\wedge (b\oplus r)$，其中 Bob 知道$b\oplus r$，但是不知道$a,b$
• $1$个 XOR Gate：$c=c_1\oplus c_2$，这可以利用 Free XOR 技术

Alice 构造 Generator Half Gate，根据$p_a:=lsb(W_a^0)$设置恰当的$W_{c_1}^0$，发送一个密文，
$$T_G:=H(W_a^0)\oplus H(W_a^0\oplus R)\oplus p_{b}R$$

构造 Evaluator half-gate，设置$W_{c_2}^0=H(W_b^{p_b})$（使得$b\oplus r=0$时$v_b=p_b$），发送另一个密文，
$$T_E:=H(W_b^0)\oplus H(W_b^0\oplus R)\oplus W_a^0$$

共计发送$2$个密文。

Bob 接收到两个 Half Gate 后，

1. 根据$a$线上的混淆值$W_a^{v_a}$，计算出$c_1$线的混淆值$W_{c_1}^{v_{c_1}}$
2. 根据$b$线上的$s_b:=lsb(W_b^{v_b})$，解密得到$W_{c_2}^0\oplus W_a^0$，再与$a$线上的$W_a^{v_a}$异或，得到$W_{c_2}^{v_{c_2}}$
3. 计算$W_{c_1}^{v_{c_1}}\oplus W_{c_2}^{v_{c_2}}$，得到$c$线上的混淆值$W_c^{v_c}$

Arbitrary gates

任意的 even gate（非凡的只有 XOR, NXOR），应用 Free XOR 技术，都是 free 的。

任意的 odd gate（例如 AND, NAND, OR, NOR）都可以写作：
$$f(v_a,v_b)=({\alpha }_a\oplus v_a)\wedge ({\alpha }_b\oplus v_b)\oplus {\alpha }_c$$

其中${\alpha }_c$控制$1$的个数是：

• ${\alpha }_c=0$时，有一个$1$，三个$0$
• ${\alpha }_c=1$时，有三个$1$，一个$0$

而${\alpha }_a,{\alpha }_b$控制那一个不同的数的位置：

• 对于$v_a=1-{\alpha }_a,v_b=1-{\alpha }_b$，这一个条目的真值只有一个
• 而其他的三个条目，它们的真值相等

三元组 ( α a , α b , α c ) ∈ { 0 , 1 } 3 (\alpha_a,\alpha_b,\alpha_c) \in \{0,1\}^3 (αa​,αb​,αc​)∈{0,1}3的取值范围大小是$2^3=8$，分别对应$8$种 odd gate：

1. 设置${\alpha }_a={\alpha }_b={\alpha }_c=0$，那么就是 AND Gate
2. 设置${\alpha }_a={\alpha }_b={\alpha }_c=1$，那么就是 OR Gate

如果把$f(v_a,v_b)$写成：
$$\begin{array}{rl}{f}_G(v_a,p_b)& :=({\alpha }_a\oplus v_a)\wedge ({\alpha }_b\oplus p_b)\oplus {\alpha }_c\\ f_E(v_a,p_b\oplus v_b)& :=({\alpha }_a\oplus v_a)\wedge (p_b\oplus v_b)\\ f(v_a,v_b)& =f_G(v_a,p_b)\oplus f_E(v_a,p_b\oplus v_b)\end{array}$$

因为 Alice 知道$p_b$，而 Bob 知道$p_b\oplus v_b$，那么就可以利用 Half Gate 技术，将这个 odd gate 的通信量降低到$2$个密文。

The complete scheme

将电路$f$的各个逻辑门拓扑排序，对电线依次标号 { 1 , 2 , ⋯   } \{1,2,\cdots\} {1,2,⋯}，输出线为$i$的逻辑门记为$G_i$，它的输入线为$a,b<i$

利用 P&P 技术、Half Gate 技术、Free XOR 技术、GRR3 技术，完整的 GC 协议为：

易知 Free XOR 技术使得 even gate 的所需的密文数量为零。可以证明，实现 odd gate 至少需要两个密文。而 Half Gate 技术使用两个密文就完成了 odd gate 的构造。因此，上述的协议达到了最优的通信复杂度。