28、安全两方计算中的部分公平性探索

安全两方计算中的部分公平性探索

1. 引言

在安全两方计算场景里，两方运行一个协议，能让各方了解其输入的（可能不同的）函数值，同时保证隐私、正确性、输入独立性等安全属性。传统上，这些要求通过将协议的现实世界执行与理想世界进行对比来形式化，理想世界中有一个可信实体代表各方进行计算。简单来说，如果对于任何现实世界的敌手A，都存在一个对应的理想世界敌手S（破坏同一方），使得在现实世界中与A执行协议的过程，在计算上与在理想世界中与S计算函数的过程不可区分，那么这个协议就是“安全的”。

公平性是一个理想的安全属性，直观上它确保要么双方都获得输出，要么双方都得不到输出。在“真正的”理想世界中（即多方场景里多数方诚实的理想世界），公平性是有保障的，因为评估函数的可信方会向双方提供输出。然而，一般来说，在两方场景中实现完全公平是不可能的。

因此，通常的安全两方计算处理方式会将理想世界弱化，使得公平性不再得到保证。若一个协议能相对于这个不太令人满意的理想世界进行模拟，那么它就被称为“带中止的安全协议”。

已经有多种实现部分公平性的方法被提出，但除了少数情况外，之前的工作在定义部分公平时都偏离了传统的现实/理想世界范式。而且，许多先前的方法仅适用于特定场景或在某些输入和辅助信息假设下，并非能用于任意输入上任意函数计算的通用解决方案。此外，很多关于部分公平性的先前工作需要很强的密码学假设。

我们提出了$\frac{1}{p}$ - 安全性的概念，作为解决部分公平性问题的新方法。对于任意多项式$p$，只要$X_n$、$Y_n$、$Z_1^n$、$Z_2^n$中至少有一个是多项式规模（关于安全参数$n$），我们就能展示计算$f_n$的$\frac{1}{p}$ -