29、具有线性通信复杂度的完美安全多方计算

具有线性通信复杂度的完美安全多方计算

在多方计算（MPC）领域，实现完美安全且具有线性通信复杂度是一个重要的目标。本文将详细介绍一种实现该目标的方案，包括秘密共享、准备阶段和计算阶段的具体内容。

1. 秘密共享

1.1 定义和符号

采用标准的Shamir共享方案。若每个诚实玩家 $P_i \in P’$ 持有值 $s$ 的份额 $s_i$，且存在一个 $d$ 次多项式 $p(\cdot)$，使得 $p(0) = s$ 且 $p(\alpha_i) = s_i$（其中 $\alpha_i$ 是分配给 $P_i$ 的唯一固定值），则称值 $s$ 在玩家集合 $P’$ 中被正确地 $d$ 共享。份额向量 $(s_1, \ldots, s_{n’})$ 称为 $s$ 的 $d$ 共享，记为 $[s]_d$。若一组（可能不完整）份额位于一个 $d$ 次多项式上，则称这组份额是 $d$ 一致的。

协议中大部分共享是 $t$ 共享，记为 $[\cdot] t$。在准备阶段还会临时使用 $t’$ 和 $2t’$ 共享，分别记为 $[\cdot] {t’}$ 和 $[\cdot]_{2t’}$。

当玩家集合 $P’$ 中的玩家局部计算 $([y^{(1)}] {d’}, \ldots, [y^{(m’)}] {d’}) = f([x^{(1)}] d, \ldots, [x^{(m)}]_d)$（对于任意函数 $f: F^m \to F^{m’}$）时，意味着每个玩家 $P_i$ 将该函数应用于他的份额，即计算 $(y^{(1)}_i, \ldots, y^{(m’)}_i) = f(x^{(1)}_