13、隐私策略协商：加密计算与电路设计

隐私策略协商：加密计算与电路设计

1. 安全两方计算基础

1.1 一轮协议

在某些情况下，可以使用更轻量级的一轮协议。此时，双方广播 $h_i = g^{s_i}$ 以及对 $s_i$ 的知识证明。

1.2 基于同态加密的安全两方计算

为了使用加法同态加密方案安全地评估任何电路，需要一个安全乘法协议。下面简要介绍私有乘法门和条件门：
- 私有乘法门 ：
- 给定加密 $[[x]] = (a, b) = (g^r, g^xh^r)$ 和 $[[y]] = (c, d)$，且玩家 $P_1$ 知道 $x$。
- $P_1$ 利用同态性质自行计算随机化加密 $[[xy]] = (e, f) = (g^s, h^s)[[y]]^x$，其中 $s \in_R Z_q$。
- 最后，$P_1$ 广播 $[[xy]]$ 以及证明其为正确输出的证明。
- 条件门 ：
- 输入为加密 $[[x]]$ 和 $[[y]]$，其中 $x \in {-1, 1} \subseteq Z_q$，$y \in Z_q$。
- 步骤如下：
1. 玩家 $P_1$ 广播加密 $[[s_1]]$，其中 $s_1 \in_R {-1, 1}$，然后对乘数 $s_1$ 和被乘数 $[[x]]$、$[[y]]$ 应用私有乘法门协议，得到随机加密 $[[s_1x]]$ 和 $[[s_1y]]$。类似地，玩家 $P_2$ 广播加密 $[[s_2]]$，其中 $s_2 \in_R {-1, 1}$，然后对乘数 $s_2$ 和被乘数 $[[s_1x