60、完美安全的多方计算与密码学的计算开销

完美安全的多方计算与密码学的计算开销

1. 引言

本文主要研究两个紧密相关的问题：存在诚实多数方情况下安全多方计算（MPC）的复杂度，以及零知识证明和安全两方计算等两方密码学原语的复杂度。

1.1 MPC的复杂度

在存在主动（恶意）对手的情况下，考虑通过安全的点对点信道进行MPC的问题。对手可能会破坏n个参与者中一定比例δ的参与者，本文聚焦于诚实多数方的情况，即δ < 1/2。与没有诚实多数方的MPC情况不同，在这种情况下可以保证输出交付并提供无条件安全。

为了使问题更清晰且对模型变化不太敏感，采用以下标准约定：
- 将n视为趋于无穷大的参数，以衡量复杂度随参与者数量的增长情况。较大的n不仅涵盖了结合多个参与者输入的计算，还包括使用大量不可信或不可靠服务器来分配计算的“云计算”场景。
- 假设功能f的电路复杂度远大于n，以消除与n和安全参数多项式相关但不随功能f复杂度增长的附加开销。

定义通用MPC协议的计算开销c(n, k, s)为：对于所有正整数n、k、s和大小为s的电路C，所有n个参与者一起执行的总位操作数最多为s · c(n, k, s) + poly(n, k, log s)。计算开销可以看作是实现安全的摊销乘法代价。

目前MPC协议的发展情况如下：
|安全类型|计算开销|说明|
| ---- | ---- | ---- |
|计算安全|[13]中实现了c(n, k, s) = poly(k, log n, log s)的开销，该协议在标准密码学假设下可以用恒定轮数实现| |
|无条件安全| - 完美安全：之前最佳协议的计算开销为n · po