基于秘密共享的MPC：GMW、BGV、Beaver triple

资料：

1. 主要参考 - MPC综述电子书：Evans D, Kolesnikov V, Rosulek M. A pragmatic introduction to secure multi-party computation[J]. Foundations and Trends® in Privacy and Security, 2018, 2(2-3): 70-246.
2. Goldreich, O., S. Micali, and A. Wigderson. 1987. “How to Play any Mental Game or A Completeness Theorem for Protocols with Honest Majority”. In: 19th Annual ACM Symposium on Theory of Computing. Ed. by A. Aho. ACM Press. 218–229.
3. Ben-Or, M., S. Goldwasser, and A. Wigderson. 1988. “Completeness Theorems for Non-Cryptographic Fault-Tolerant Distributed Computation (Extended Abstract)”. In: 20th Annual ACM Symposium on Theory of Computing. ACM Press. 1–10.
4. Beaver, D. 1992. “Efficient Multiparty Protocols Using Circuit Randomization”. In: Advances in Cryptology – CRYPTO’91. Ed. by J. Feigenbaum. Vol. 576. Lecture Notes in Computer Science*. Springer, Heidelberg. 420–432.
5. Shamir秘密共享方案：https://blog.csdn.net/weixin_44885334/article/details/124640944

我们用MPC来指代$n\ge 3$的参与者，我们用2PC来表示$n=2$的情况。

1. 某些 MPC 方案是需要大多数诚实的，因此$n=2$时不存在解。
2. 对于 2PC 的 Yao’s GC，推广到 MPC 是不容易的，因为电路生成者与任意的电路计算者串通，就可以得到中间结果的一些方程。需要一些新技术来推广GC。

GMW Protocol（1987）

GMW方案是基于可加的秘密共享（additive shares）的MPC方案，它可以处理$n\ge 2$的所有情况。它可以工作在布尔电路（Boolean circuit）和算术电路（Arithmetic circuit）上，这里仅介绍布尔电路的协议。

2PC

SS scheme

$P_1$拥有隐私输入$x\in \{0,1{\}}^n$，$P_2$拥有隐私输入$y\in \{0,1{\}}^n$

$P_1$对于第$i$个输入比特$x_i\in \{0,1\}$，

1. 生成随机比特$r_i{\in }_R\{0,1\}$，
2. 将$r_i$发送给$P_2$，自己保留$x_i\oplus r_i$

类似的，$P_2$共享$y$的各个比特。

秘密重构：两方广播各自的 ”share” $s^1,s^2\in \{0,1\}$，计算$s=s^1\oplus s^2$

NOT Gate

对于门$G$的输入线$w_i$上的秘密$s_i$，$P_1$持有$s_i^1$，$P_2$持有$s_i^2$，易知
$$s_i=s_i^1\oplus s_i^2$$
让$P_1$翻转自己的share，$s_j^1=s_i^1\oplus 1$，而$P_2$的share保持不变，那么输出线$w_j$上的share满足：
$$s_j=s_j^1\oplus s_j^2=s_i\oplus 1$$
这就是非门。

XOR Gate

对于门$G$的输入线$w_i,w_j$和输出线$w_l$，$P_1$持有$s_i^1,s_j^1$，$P_2$持有$s_i^2,s_j^2$，易知
$$\begin{gathered} s_i=s_i^1\oplus s_i^2 \\ {s}_j=s_j^1\oplus s_j^2 \end{gathered}$$
让$P_1$将自己的share相加，即$s_l^1=s_i^1\oplus s_j^1$，$P_2$同理，$s_l^2=s_i^2\oplus s_j^2$，那么
$$s_l=s_l^1\oplus s_l^2=s_i\oplus s_j$$
这就是异或门。

AND Gate

对于门$G$的输入线$w_i,w_j$和输出线$w_l$，$P_1$持有$s_i^1,s_j^1$，$P_2$持有$s_i^2,s_j^2$

为了计算$s_i\wedge s_j$，$P_1$和$P_2$执行 1-out-of-4 OT协议：

1. $P_1$设置如下函数
   $$S:=S_{s_i^1,s_j^1}(s_i^2,s_j^2)=(s_i^1\oplus s_i^2)\wedge (s_j^1\oplus s_j^2)=s_i\wedge s_j$$

2. $P_1$生成随机掩码（random mask bit）$r{\in }_R\{0,1\}$，然后计算表格
   $$T_G=\left(\begin{array}{c}r\oplus S(0,0)\\ r\oplus S(0,1)\\ r\oplus S(1,0)\\ r\oplus S(1,1)\end{array}\right)$$

3. $P_1$与$P_2$执行OT协议，$P_2$输入$s_i^2,s_j^2$挑选出其中一行
   $$s_l^2=T_G(s_i^2,s_j^2)=r\oplus S(s_i^2,s_j^2)$$

4. $P_1$设置$s_l^1=r$，容易验证，
   $$s_l=s_l^1\oplus s_l^2=S_{s_i^1,s_j^1}(s_i^2,s_j^2)=s_i\wedge s_j$$

对于其他的 2-to-1 Gate，修改$S$的定义即可。当然，$\{NOT,XOR,AND\}$是布尔完备的，其他门不必额外构造。

MPC

SS scheme

假设有$n$个参与者，$P_i$拥有隐私输入比特$x_i\in \{0,1\}$，

1. 生成$n-1$个随机比特$\forall j\ne i,r_j{\in }_R\{0,1\}$，
2. 将$s^j=r_j$发送给$P_j$，$P_i$自己保留$s^i=x_i\oplus ({⨁}_{j\ne i}{r}_j)$

类似的，$P_j$共享的隐私输入的各个比特。

秘密重构：多方广播各自的 ”share” $s^1,s^2,\cdots ,s^n\in \{0,1\}$，计算$s=s^1\oplus s^2\oplus \cdots \oplus s^n$

NOT Gate

让$P_1$翻转自己的share，而$P_2,\cdots ,P_n$的share保持不变，那么输出线上的share满足：
$$s^{\prime }=(s^1\oplus 1)\oplus s^2\oplus \cdots \oplus s^n=s\oplus 1$$
这就是非门。

XOR Gate

对于门$G$的输入线$w_i,w_j$和输出线$w_l$，$P_k$持有$s_i^k,s_j^k$，易知
$$\begin{gathered} s_i=s_i^1\oplus s_i^2 \\ {s}_j=s_j^1\oplus s_j^2 \end{gathered}$$
让$\forall k,P_k$将自己的share相加，即$s_l^k=s_i^k\oplus s_j^k$，那么
$$s_l=(s_i^1\oplus s_j^1)\oplus \cdots \oplus (s_i^n\oplus s_j^n)=s_i\oplus s_j$$
这就是异或门。

AND Gate

对于门$G$的输入线$w_i,w_j$和输出线$w_l$，$P_k$持有$s_i^k,s_j^k$

容易看出，
$$\begin{array}{rl}{s}_l& =s_i\wedge s_j=(s_i^1\oplus \cdots \oplus s_i^n)\wedge (s_j^1\oplus \cdots \oplus s_j^n)\\ & =\left(\underset{k=1}{\overset{n}{⨁}}{s}_i^k\wedge s_j^k\right)\oplus \left(\underset{k_1\ne k_2}{⨁}{s}_i^{k_1}\wedge s_j^{k_2}\right)\end{array}$$
对于前半部分，$P_k$可以本地计算
$$s_{l,1}^k=s_i^k\wedge s_j^k$$
对于后半部分，每一对$P_{k_1},P_{k_2}$利用 2PC-GMW 里的 AND Gate，使用OT协议计算出
$$s_{l,2}^{k_1,k_2}\oplus s_{l,2}^{k_2,k_1}=s_i^{k_1}\wedge s_j^{k_2}$$
其中$s_{l,2}^{k_1,k_2}$被$P_{k_1}$持有，$s_{l,2}^{k_2,k_1}$被$P_{k_2}$持有。

最后，$P_k$将自己所有的share本地相加，
$$s_l^k=s_{l,1}^k\oplus \left(\underset{k^{\prime }\ne k}{⨁}{s}_{l,2}^{k,k^{\prime }}\right)$$
容易验证，
$$\begin{array}{rl}{s}_l& =\underset{k}{⨁}{s}_l^k=\underset{k}{⨁}\left[s_{l,1}^k\oplus \left(\underset{k^{\prime }\ne k}{⨁}{s}_{l,2}^{k,k^{\prime }}\right)\right]\\ & =\left(\underset{k=1}{\overset{n}{⨁}}{s}_{l,1}^k\right)\oplus \left(\underset{k_1\ne k_2}{⨁}\left(s_{l,2}^{k_1,k_2}\oplus s_{l,2}^{k_2,k_1}\right)\right)\\ & =s_i\wedge s_j\end{array}$$
这就完成了与门的计算。

对于$n\ge 3$，MPC-GMW 调用了$A_2^n$次 2PC-GMW 的 AND Gate，也就是使用了$A_2^n$次 OT 协议。对于$n=2$，只需调用$1$次而非$A_2^2=2$次。

BGW Protocol（1988）

本协议工作在算术电路上，算术运算的域为$\mathbb{F}$，要求大多数诚实（honest majority），也就是$n\ge 3$

Shamir SS scheme

对于秘密值$v\in \mathbb{F}$，构造一个$t-1$次的随机多项式$p(x)\in \mathbb{F}[x]$，使得$p(0)=\alpha$
$$p(x):=v+\sum _{i=1}^{t-1}{a}_i\cdot x^i$$
然后将$\forall i=1,\cdots ,n,p(i)$作为$v$的share分配给$P_i$，记做$[v]$；确切地说，$[v]=(x_i,y_i=p(x_i))$

为了重建秘密，$n$个参与者中任意$t$个人合作，利用拉格朗日插值公式
$${\lambda }_i:=\prod _{j=1,j\ne i}^t-x_j(x_i-x_j{)}^{-1}$$
$$v\leftarrow \sum _{i=1}^t{y}_i\cdot {\lambda }_i\in Z_q$$

这里的${\lambda }_i$叫做Lagrange coefficients，只与$x_i$有关，是公开的，可以预计算。于是秘密$v$就是share $y_i$的线性组合。

Addition Gate

假设门$G$的两条输入线是$\alpha ,\beta$，一条输出线是$\gamma$

每一个参与者都持有输入线上的秘密的 shares $[v_{\alpha }],[v_{\beta }]$，于是$P_i$可以本地计算share的加法：
$$[v_{\gamma }]=[v_{\alpha }]+[v_{\beta }]=p_{\alpha }(x_i)+p_{\beta }(x_i)$$
容易验证，
$$\begin{array}{rl}\sum _{i=1}^t[v_{\gamma }{]}_i\cdot {\lambda }_i& =\sum _{i=1}^t([v_{\alpha }{]}_i+[v_{\beta }{]}_i){\lambda }_i\\ & =\sum _{i=1}^t[v_{\alpha }{]}_i{\lambda }_i+\sum _{i=1}^t[v_{\beta }{]}_i{\lambda }_i\\ & =v_{\alpha }+v_{\beta }\end{array}$$
因此，$[v_{\gamma }]=[v_{\alpha }+v_{\beta }]$，这就完成了加法门。

Multiplication-by-constant Gate

假设门$G$的一条输入线是$\alpha$，一条输出线是$\gamma$

每一个参与者都持有输入线上的秘密的 shares $[v_{\alpha }]$，于是$P_i$可以本地计算share的数乘：

$$[v_{\gamma }]=c\cdot [v_{\alpha }]=c\cdot p_{\alpha }(x_i)$$

容易验证，
$$\begin{array}{rl}\sum _{i=1}^t[v_{\gamma }{]}_i\cdot {\lambda }_i& =\sum _{i=1}^t(c\cdot [v_{\alpha }{]}_i){\lambda }_i\\ & =c\cdot \sum _{i=1}^t[v_{\alpha }{]}_i{\lambda }_i\\ & =c\cdot v_{\alpha }\end{array}$$
因此，$[v_{\gamma }]=[c\cdot v_{\alpha }]$，这就完成了数乘门。

Multiplication Gate

假设门$G$的两条输入线是$\alpha ,\beta$，一条输出线是$\gamma$

每一个参与者都持有输入线上的秘密的 shares $[v_{\alpha }],[v_{\beta }]$，于是$P_i$可以本地计算share的乘法：
$$[v_{\gamma }]=[v_{\alpha }]\cdot [v_{\beta }]=p_{\alpha }(x_i)\cdot p_{\beta }(x_i)$$
根据离散傅里叶变换的性质，上述的$[v_{\gamma }]$是多项式乘积$q(x):=p_{\alpha }(x)p_{\beta }(x)$在点$x_i$处的值。为了重构至多$2t-2$次的$q(x)$，原则上需要$2t-1$个shares，有
$$\begin{array}{r}\sum _{i=1}^{2t-1}[v_{\gamma }{]}_i\cdot {\lambda }_i=v_{\alpha }\cdot v_{\beta }=q(0)\end{array}$$
当然，我们要的仅仅是$q(0)$而非$q(x)$。为了保持秘密分享的 $t-$threshold，可以重新选择一个多项式$Q(x)$，使得$Q(0)=q(0)$，这就是 degree-reduction step：

1. 每个$P_i$都生成自己的 share $[v_{\gamma }{]}_i=q(x_i)$的 threshold-t sharing $[q(x_i)]$，发送给其他的参与者（也就是对 share 再进行 secret sharing）

2. 每个$P_i$都利用拉格朗日插值公式，本地计算新的 share：
   $$[q(0){]}_i=\sum _{j=1}^{2t-1}[q(x_j){]}_i\cdot {\lambda }_j$$
   可以验证，
   $$\begin{array}{rl}\sum _{i=1}^t[q(0){]}_i\cdot {\Lambda }_i& =\sum _{i=1}^t\left(\sum _{j=1}^{2t-1}[q(x_j){]}_i\cdot {\lambda }_j\right)\cdot {\Lambda }_i\\ & =\sum _{j=1}^{2t-1}\left(\sum _{i=1}^t[q(x_j){]}_i\cdot {\Lambda }_i\right)\cdot {\lambda }_j\\ & =\sum _{j=1}^{2t-1}q(x_j)\cdot {\lambda }_j\\ & =q(0)=Q(0)\end{array}$$
   这里${\Lambda }_i$是$Q(x)$的拉格朗日系数，而${\lambda }_j$是$q(x)$的。

在上述步骤中，用到了$2t-1$个点，因此需要$2t-1\le n$，那么
$$t-1\le \frac{n-1}{2}<\frac{n}{2}$$
由于任意$t$个人串通就可以重构秘密，因此敌手数量不能超过$t-1$，因此上述不等式要求$n$个参与者大多数是诚实的。对于$n=2$，若存在一个敌手，那么就已经不满足条件了，因此无解。

Beaver triple（1992）

构建MPC的一个标准范式是分为预处理阶段（pre-processing phase ）和在线阶段（online phase）。预处理阶段，参与者们通过交互，获得计算电路所需的值。在线阶段，参与者们只进行少量的通信，大部分计算都在本地进行。

BGW协议中，加法门、数乘门的计算都不必交互。而乘法门则需要执行大量的秘密共享协议，通信开销将严重影响电路计算。Beaver给出了一种方案，可以将大多数通信转移到预计算阶段，在线阶段只需要很少的通信。

Beaver triple（Multiplication triple）：它是关于秘密共享值$[a],[b],[c]$的三元组。随机数$a,b{\in }_R\mathbb{F}$，且$c=ab$，每个参与者都不知道$a,b,c$的任何信息。

对于BGW里的乘法门，为了计算$v_{\alpha },v_{\beta }$的乘积，

1. 每个$P_i$本地计算$[v_{\alpha }-a]=[v_{\alpha }]-[a]$，然后一起披露$d=v_{\alpha }-a$；由于$v_{\alpha }$被随机掩码$a$掩盖，因此没人知道$v_{\alpha }$的任何信息。

2. 每个$P_i$本地计算$[v_{\beta }-a]=[v_{\beta }]-[b]$，然后一起披露$e=v_{\beta }-b$；由于$v_{\beta }$被随机掩码$b$掩盖，因此没人知道$v_{\beta }$的任何信息。

3. 易知，
   $$\begin{array}{rl}{v}_{\alpha }{v}_{\beta }& =(d+a)(e+b)\\ & =de+db+ae+c\end{array}$$
   其中$d,e$是公开的，$a,b,c$由各个参与者共享。任意的$P_i$都本地计算
   $$[v_{\alpha }{v}_{\beta }]=[de]+d[b]+e[a]+[c]$$
   当然，这儿可以简单令$P_1$持有$[de]=de$，而其他的$P_i$持有$[de]=0$

在上述在线算法中，唯一的通信就是 step 1、step 2 里的披露$d,e$，每个$P_i$利用广播信道发送自己的 share 一次即可，单一总线网络就可以。而考虑原始的BGW，每次乘法门每个$P_i$都要生成和分发$[q(x_i)]$，这需要点对点的隐私信道，网络拓扑是完全图。

在预处理阶段，存在有效算法可以批量地（in a batch）生成 Beaver triple，且均摊成本很低（the amortized cost of each triple is a constant number of field elements per party）