安全多方计算中通用混淆电路估值技术

广义上而言SMPC分为两种实现方式，一类是使用布尔电路表述待计算函数，然后使用通用混淆电路来实现安全多方计算。另一类是使用域上的算术电路表述待计算函数，然后使用密码学方法实现安全多方计算。

Yao氏混淆电路估值方案
该方案可以用于实现对任何类型的门电路的安全估值。Lindell和Pinkas对该方案进行了严格的安全论证，证明该方案在半诚实模型下是安全的。下面简介姚氏混淆电路估值方案。
令C(x,y)∈{0,1}σC(x,y) \in {\{ 0,1\} _\sigma }C(x,y)∈{0,1}σ​代表一个布尔电路，其输入为x,y∈{0,1}σx,y \in {\{ 0,1\} _\sigma }x,y∈{0,1}σ​。假设输入数据长度，输出数据长度和安全参数长度均为$\sigma$。 下面介绍如何对电路C上的单个门g:{0,1}×{0,1}→{0,1}g:\{ 0,1\} \times \{ 0,1\} \to \{ 0,1\}g:{0,1}×{0,1}→{0,1}。
令$w_1,w_2$代表g的输入信号，$w_3$代表输出信号。$k_1^0$,$k_1^1$,$k_2^0$,$k_2^1$,$k_3^0$,$k_3^1$是分别调用密钥生成算法$G(1_{\sigma })$产生的密钥。简便起见，假设这些密钥的长度也是$\sigma$。要解决的问题是如何在不泄露$k_3^{g(1-\alpha ,\beta )}$，$k_3^{g(\alpha ,1-\beta )}$，$k_3^{g(1-\alpha ,1-\beta )}$的前提下，通过$k_1^{\alpha }$,$k_2^{\beta }$计算$k_3^{g(\alpha ,\beta )}$。下面定义4个中间参数。

$c_{0,0}=E_{k_1^0}(E_{k_2^0}(k_3^{g(0,0)})$
$c_{0,1}=E_{k_1^0}(E_{k_2^1}(k_3^{g(0,1)})$
$c_{1,0}=E_{k_1^1}(E_{k_2^0}(k_3^{g(1,0)})$
$c_{1,1}=E_{k_1^1}(E_{k_2^1}(k_3^{g(1,1)})$

其中E为对称加密方案(G,E,D)中的加密算法，对于多个消息其密文具有不可区分性。对上述的4个中间参数执行随机置换，得到g的混淆真值表$c_0$,$c_1$和$c_3$。给定$k_3^{g(\alpha ),\beta }$,$c_2$:对于$i=0,1,2,3$，计算$D_{K_2^{\beta }}(D_{k_1^{\alpha }}(c_i))$。正常情况下，只会得到一个有效解密值$k_3^{\gamma }=k_3^{g(\alpha ,\beta )}$;如果得到两个及以上的有效解密值，则终止协议。