基于同态加密的恶意安全 MPC：BDOZ、SPDZ

参考文献：

1. Bendlin R, Damgård I, Orlandi C, Zakarias S. Semi-homomorphic encryption and multiparty computation[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. Springer, Berlin, Heidelberg, 2011: 169-188.
2. Damgård I, Pastro V, Smart N, Zakarias S. Multiparty computation from somewhat homomorphic encryption[C]//Annual Cryptology Conference. Springer, Berlin, Heidelberg, 2012: 643-662.
3. Evans D, Kolesnikov V, Rosulek M. A pragmatic introduction to secure multi-party computation[J]. Foundations and Trends® in Privacy and Security, 2018, 2(2-3): 70-246.

Abstract Sharing Mechanism

Beaver Triple 是为了加速 BGW 而设计的，但它可以任意的满足如下性质的抽象共享机制 $[v]$ 上 work：

1. Additive homomorphism：各方持有 shares $[x],[y]$ 以及公开常数 $z$，它们可以无交互地计算任意的 $[x+y]=[x]+[y]$，$[x+z]=z+[x]$，$[z\cdot x]=z\cdot [x]$（三种加性操作，左边的 $+,\cdot$ 是 $\mathbb{F}$ 上的运算，右边的 $+,\cdot$ 是 shares 的运算）
2. Opening：各方持有 shares $[x]$，它们可以将 $x$ 可靠地（reliably）揭露给任意一方
3. Privacy：任意的敌手都无法从 $[x]$ 中获取 $x$ 的任何信息
4. Beaver triples：对于任意乘法门，各方都持有随机三元组的 shares $[a],[b],[c]$，满足 $c=ab$
5. Random input gadgets：各方持有随机的 $[r]$，其中 $r$ 仅被其中一方 $P_i$ 知晓。$P_i$ 的输入值为 $x$，广播 $\delta =x-r$ 给其他各方（并不泄露 $x$ 的信息），所有参与者计算得到 $[x]=[r]+\delta$

只要 SS 的 Opening, Privacy 性质抵御 malicious adversaries，那么 Beaver Triple Paradigm 就是 malicious-secure.

Authenticated Secret Sharing

BDOZ 协议

MAC

2011年，BDOZ 协议中使用了 information-theoretic one-time MAC，形如
$$MA{C}_K(x):=\alpha x+\beta ,K=(\alpha ,\beta ){\leftarrow }_R{\mathbb{F}}^2$$

其中域的大小满足$|\mathbb{F}|\ge 2^{\kappa }$，$\kappa$是安全参数。

易知，这是 “one-time” MAC，一旦敌手获取到$t=MA{C}_K(x),t^{\prime }=MA{C}_K(x^{\prime }),x\ne x^{\prime }$，那么就可以计算$\alpha =(t-t^{\prime })\cdot (x-x^{\prime }{)}^{-1}$与$\beta =t-\alpha x$。但如果敌手仅仅知道一个消息 $x$ 的MAC，那么敌手伪造另一个消息 $x^{\prime }\ne x$ 的合法MAC，其成功概率为 $1/|F|=negl(\kappa )$

密钥不可重用，对于不同的消息需要使用不同的密钥。如果我们固定$\alpha$为全局密钥，对每个消息随机选择$\beta$分量，那么已知两个消息 $x,x^{\prime }$ 的MAC，
$$\begin{array}{rl}t& =MA{C}_{\alpha ,\beta }(x)=\alpha x+\beta \\ t^{\prime }& =MA{C}_{\alpha ,{\beta }^{\prime }}(x)=\alpha x+{\beta }^{\prime }\end{array}$$

可以计算消息加和 $x+x^{\prime }$ 的MAC，
$$t+t^{\prime }=\alpha (x+x^{\prime })+(\beta +{\beta }^{\prime })=MA{C}_{\alpha ,\beta +{\beta }^{\prime }}(x+x^{\prime })$$

我们说两个密钥$K,K^{\prime }$是一致的（consistent），如果$\alpha ={\alpha }^{\prime }$。这是保证计算 $MAC(x+x^{\prime })$ 的可行性。

MACs 的运算

我们定义，MAC 密钥的运算（博主自己定义的，为了方便表示 MAC 运算），

1. Addition，$K+K^{\prime }=(\alpha ,\beta +{\beta }^{\prime })$
2. Multiplication by constants，$c\cdot K=(\alpha ,c\cdot \beta )$
3. Addition of constants，$c+K=(\alpha ,\beta -c\cdot \alpha )$

那么 MAC 的运算为：

1. Addition，$MA{C}_K(x)+MA{C}_{K^{\prime }}(x^{\prime })=MA{C}_{K+K^{\prime }}(x+x^{\prime })$，左边是 $\mathbb{F}$ 上运算
2. Multiplication by constants，$c\cdot MA{C}_K(x)=MA{C}_{c\cdot K}(c\cdot x)$，左边是 $\mathbb{F}$ 上运算
3. Addition of constants，$0+MA{C}_K(x)=MA{C}_{c+K}(c+x)$，左边是 $\mathbb{F}$ 上运算

Share

对于值$a\in \mathbb{F}$，$a={\sum }_{i=1}^n{a}_i$，令$a_i$是$P_i$持有的 share，额外地让$P_i$持有 MAC keys $K_{a_j}^i,j=1,\cdots ,n$，用于校验其他的$P_j$的 shares $a_j$ 的正确性。

简写 $m_j(a_i):=MA{C}_{K_{a_i}^j}(a_i)$ 代表$P_j$对 $a_i$ 的校验，那么带有 MAC 的 shares 形如：
$$[a]=[\{a_i,\{K_{a_j}^i,m_j(a_i){\}}_{j=1}^n{\}}_{i=1}^n]$$

其中，$K_{a_j}^i$ 是 $P_i$ 用于校验其他人的$a_j$的正确性，而 $m_j(a_i)$ 是$P_i$让其他人相信自己的$a_i$的正确性。

注意，与一般的MAC的场景不同，BDOZ 的MAC密钥不是双方都持有的，仅由检验方$P_i$自己持有自己的密钥$K_{a_j}^i$。为了计算$m_j(a_i)$，需要利用 Semi-homomorphic Encryption（同态加密方案的弱化，当明文和随机性都足够小，确保解密错误的概率指数小），使用复杂的协议来计算它。

在 shares 的运算过程中，MAC也随之一同运算，以保持MAC的校验关系。每当需要重构秘密$a$时，各方就可以用自己的MAC密钥 check 从其他参与者那儿获得的 shares 是否合法。

我们说 $[a]$ 是一致的（consistent），如果$a={\sum }_i{a}_i$，且对于任意的$i,j$，$m_j(a_i)=MA{C}_{K_{a_i}^j}(a_i)$。这是保证 $a$ 的安全性。

我们说两个 shares $[a],[a^{\prime }]$ 是密钥一致的（key-consistent），如果它们都是一致的，且对于任意的$i,j$，$K_{a_j}^i,K_{a_j^{\prime }}^i$是一致的。这是保证计算 $[a+a^{\prime }]$ 的可行性。

Shares 的运算

这儿的 $[a]$ 是满足 Beaver Triple 的要求的 SS，其运算为：

1. Addition，对于$a={\sum }_i{a}_i,a^{\prime }={\sum }_i{a}_i^{\prime }$，令$(a+a^{\prime }{)}_i=a_i+a_i^{\prime }$，那么
   $$\begin{array}{rl}[a+a^{\prime }]& =[a]+[a^{\prime }]\\ & :=\left[\{a_i+a_i^{\prime },\{K_{a_j}^i+K_{a_j^{\prime }}^i,m_j(a_i)+m_j(a_i^{\prime }){\}}_{j=1}^n{\}}_{i=1}^n\right]\end{array}$$

   每一对 shares 的MAC相加，对应的要修改密钥。

2. Multiplication by constants，对于$a={\sum }_i{a}_i$，令$(c\cdot a{)}_i=c\cdot a_i$，那么
   $$\begin{array}{rl}[c\cdot a]& =c\cdot [a]\\ & :=\left[\{c\cdot a_i,\{c\cdot K_{a_j}^i,c\cdot m_j(a_i){\}}_{j=1}^n{\}}_{i=1}^n\right]\end{array}$$

   每一个 shares 的MAC乘以常数，对应的要修改密钥。

3. Addition of constants，对于$a={\sum }_i{a}_i$，令$(c+a{)}_1=c+a_1,(c+a{)}_i=a_i,i=2,\cdots ,n$，那么
   $$\begin{array}{rl}[c+a]& =c+[a]\\ & :=\left[\begin{array}{rl}& \{a_i+c,\{c+K_{a_1}^i,m_1(a_i)\},\{K_{a_j}^i,m_j(a_i){\}}_{j=2}^n{\}}_{i=1}^1,\\ & \{a_i,\{c+K_{a_1}^i,m_1(a_i)\},\{K_{a_j}^i,m_j(a_i){\}}_{j=2}^n{\}}_{i=2}^n\end{array}\right]\end{array}$$

   因为$a_1$变为了$a_1+c$，因此与$a_1$有关的MAC密钥$K$都替换为了$c+K$，并保持MAC值$m_j(a_1)$不变，从而满足MAC关系。而其他的$a_i$以及对应的$K$和$m_j(a_i)$都不动。

注意，每个参与者$P_i$的各个密钥$K_{a_j}^i$的$\alpha$分量部分是自己的全局秘密，对每个参与者各确定一个${\alpha }_j^i$，不得与其他参与者共享。$P_j$签的各个消息$a_i,a_i^{\prime }$的MAC值$m_j(a_i),m_j(a_i^{\prime })$，都仅与自己签的MAC之间做运算。

Generate Beaver Triple

在预处理阶段，BDOZ 使用 Semi-Homomorphic Encryption 来生成 Beaver Triple。令 $E_i$ 是使用 $P_i$ 的公钥$p{k}_i$的半同态加密函数，对于值$x\in \mathbb{F}$，它的另一种 shares 写作：
$$<x>=\{E_1(x_1),\cdots ,E_n(x_n)\}$$

其中$x={\sum }_i{x}_i$，每个 $E_i(x_i)$ 都是 $(\tau ,\rho )-$密文（即$|x|\le \tau ,\Vert \mathbf{r}{\Vert }_{\infty }\le \rho$，这种密文可以正确解密）

另外，BDOZ 还需要两个 ZKPP：

1. ${\Pi }_{PoPK}$：零知识的明文的知识证明；证明给定密文，加密方确实拥有合适的明文和随机性。
2. ${\Pi }_{PoCM}$：零知识的密文乘法的知识证明；证明给定密文，确实是两个密文的对应明文乘积（加上一个小随机数）的密文。

预处理阶段简略描述如下：

1. 构造${\Pi }_{share}$：

   1. 每个$P_i$选择$x_i$，广播$E_i(x_i)$
   2. 利用${\Pi }_{PoPK}$验证，然后获得随机数$x={\sum }_i{x}_i$的 shares $<x>$

2. 构造${\Pi }_{2-mult}$：

   1. 诚实的两方$P_i,P_j$，都持有$E_i(x),E_j(y)$
   2. $P_i$计算并发送$C=x\cdot E_j(y)+E_j(r)$，其中$r$是小随机数。
   3. 利用${\Pi }_{PoMC}$验证，$P_j$解密$C$得到$z_j$，$P_i$设置$z_i=r$，它们满足$z_i+z_j=xy$

3. 构造${\Pi }_{n-mult}$：

   1. 利用${\Pi }_{share}$生成 $<a>,<b>$，各方$P_i$设置初值$c_i=a_i{b}_i$
   2. 每一对$P_i,P_j$分别执行${\pi }_{2-mult}$，输入$E_i(a_i),E_j(b_j)$，输出$z_i,z_j$，叠加到 $c_i=c_i+z_i,c_j=c_j+z_j$，因为$c=(a_1+\cdots +a_n)(b_1+\cdots +b_n)$
   3. 各方执行${\Pi }_{share}$，将$c_i$作为输入加密并广播验证，得到$<c>$

4. 构造${\Pi }_{add-macs}$：

   1. 初始化步骤：每一对$P_i,P_j$，让$P_i$随机选择${\alpha }_j^i$，发送$E_i({\alpha }_j^i)$给$P_j$，利用${\Pi }_{PoPK}$验证。
   2. 追加 MAC 步骤：
      1. 输入 < a > <a>，各方持有的$a_i$作为$[a]$的一部分
      2. 每一对$P_i,P_j$执行${\Pi }_{2-mult}$，输入$E_i({\alpha }_j^i)$和${\alpha }_j(a_j)$，输出$z_i,z_j$满足$z_i+z_j={\alpha }_j^i{a}_j$
      3. $P_i$设置${\beta }_{a_j}^i=-z_i$，存储$({\alpha }_j^i,{\beta }_{a_j}^i)$作为 MAC 密钥
      4. $P_j$设置$m_i(a_j)=z_j$，存储作为$[a]$的一部分

5. 构造${\Pi }_{trip}$：

   1. Initialize 步骤：执行半同态方案的 KeyGen 算法，执行${\Pi }_{add-macs}$的初始化步骤

   2. Triples 步骤：

      1. 执行$4$次${\Pi }_{share}$，获得 < a > , < b > , < f > , < g > ,,, <a>,<b>,<f>,<g>

      2. 执行$2$次${\Pi }_{n-mult}$，获得$<c>,<h>$，其中$c=ab,h=fg$

      3. 多次执行${\Pi }_{add-macs}$，获得$[a],[b],[c],[f],[g],[h]$

      4. 牺牲（sacrificing）一个三元组，检验另一个三元组的正确性：各方掷硬币得到$e$，计算并揭露$e[a]-f$和$[b]-[g]$，记为$ϵ,\delta$，然后计算
         $$e[c]-[h]-\delta [f]-ϵ[g]-ϵ\delta$$

         披露它，检查它是否为$0$（对于无错的$c=ab,h=fg$的 shares，对于任意的$e$它恒为零）

      5. 各方输出$[a],[b],[c]$作为 Beaver Triple

   3. Singles 步骤：

      1. 各方执行${\Pi }_{share}$，获得 < a > <a>
      2. 接着，各方执行${\Pi }_{add-macs}$，获得$[a]$

详细步骤，诸位可以看 BDOZ 论文：先定义 Ideal Functionality，然后实现 Real Protocol

Compute Phase

电路的计算步骤与 BGW 类似，如图：

SPDZ 协议

MACs

因为 BDOZ 中的每个值$x$，都有$n$个 shares，每个 share 都需要$n$个MAC，因此复杂度为$O(n^2)$

2012年，SPDZ 协议中改进 information-theoretic one-time MAC 为了 information-theoretic zero-time MAC。使用单个全局密钥（single global key），形如：
$$MA{C}_{\alpha }(x):=\alpha x,\alpha {\leftarrow }_R\mathbb{F}$$

其中域的大小满足$|\mathbb{F}|\ge 2^{\kappa }$，$\kappa$是安全参数。

易知，这是 “zero-time” MAC，一旦敌手获取到消息$x$的MAC值$t$，那么就可以计算$\alpha =t\cdot x^{-1}$

如果先 check 某一个消息$x$的MAC值，那么获知了$(x,t)$从而计算出$\alpha$，那么之后敌手就可以任意伪造MAC值了。所以，应当遵循 all-or-none law（博主的理解），要么都不 check，要么 check 全部的消息。可以使用承诺方案。

Shares

我们用全局密钥$\alpha$，对若干消息（或者说 shares）计算$1$个（而非$n$个）MAC。然后当这些 shares 做运算时，MAC也要伴随着做运算。为了保护$\alpha$，不能直接发布消息对应的MAC，因此需要将它分享出去，让各参与方$P_i$都持有它的 shares，消息 $a$ 的 MAC（连同$[a]$）形式如下：
$$<a>:=(\delta ,(a_1,a_2,\cdots ,a_n),(\gamma (a{)}_1,\gamma (a{)}_2,\cdots ,\gamma (a{)}_n))$$

其中$\delta$是公开值，$a={\sum }_i{a}_i$，它的 MAC 值为$\gamma (a)=\alpha (a+\delta )$，$\gamma (a)={\sum }_i\gamma (a{)}_i$。参与者$P_i$持有：$\delta ,a_i,\gamma (a{)}_i$

与 SPDZ 不同，因为使用了 SS，MAC密钥在运算过程中不变。MAC 的运算为：

1. Addition，对于$a={\sum }_i{a}_i,a^{\prime }={\sum }_i{a}_i^{\prime }$，令$(a+a^{\prime }{)}_i=a_i+a_i^{\prime }$，那么
   < a + a ′ > = < a > + < a ′ > : = ( δ + δ ′ ,   ( a 1 + a 1 ′ , ⋯   , a n + a n ′ ) ,   ( γ ( a ) 1 + γ ( a ′ ) 1 , ⋯   , γ ( a ) n + γ ( a ′ ) n ) ) \begin{aligned} &= + \\ &:= (\delta+\delta',\, (a_1+a_1',\cdots,a_n+a_n'),\, (\gamma(a)_1+\gamma(a')_1,\cdots,\gamma(a)_n+\gamma(a')_n)) \end{aligned} <a+a′>​=<a>+<a′>:=(δ+δ′,(a1​+a1′​,⋯,an​+an′​),(γ(a)1​+γ(a′)1​,⋯,γ(a)n​+γ(a′)n​))​

   由于$\alpha (a+a^{\prime })=\alpha a+\alpha a^{\prime }$，每一对 shares 的MAC相加，同时修改对应的$\delta$

2. Multiplication by constants，对于$a={\sum }_i{a}_i$，令$(c\cdot a{)}_i=c\cdot a_i$，那么
   < c ⋅ a > = c ⋅ < a > : = ( c ⋅ δ ,   ( c ⋅ a 1 , ⋯   , c ⋅ a n ) ,   ( c ⋅ γ ( a ) 1 , ⋯   , c ⋅ γ ( a ) n ) ) \begin{aligned} &= c \cdot \\ &:= (c \cdot \delta,\, (c \cdot a_1,\cdots,c \cdot a_n),\, (c \cdot \gamma(a)_1,\cdots,c \cdot \gamma(a)_n)) \end{aligned} <c⋅a>​=c⋅<a>:=(c⋅δ,(c⋅a1​,⋯,c⋅an​),(c⋅γ(a)1​,⋯,c⋅γ(a)n​))​

   由于$\alpha (ca)=c(\alpha a)$，每一个 shares 的MAC乘以常数，同时修改对应的$\delta$

3. Addition of constants，对于$a={\sum }_i{a}_i$，令$(c+a{)}_1=c+a_1,(c+a{)}_i=a_i,i=2,\cdots ,n$，那么
   < c + a > = c + < a > : = ( δ − c ,   ( c + a 1 , a 2 , ⋯   , a n ) ,   ( γ ( a ) 1 , γ ( a ) 2 , ⋯   , γ ( a ) n ) ) \begin{aligned} &= c + \\ &:= (\delta-c,\, (c + a_1,a_2,\cdots,a_n),\, (\gamma(a)_1,\gamma(a)_2,\cdots,\gamma(a)_n)) \end{aligned} <c+a>​=c+<a>:=(δ−c,(c+a1​,a2​,⋯,an​),(γ(a)1​,γ(a)2​,⋯,γ(a)n​))​

   由于$\gamma (a)=\alpha (a+\delta )$，因此只需保持加和$a+\delta$不变，那么$\gamma (a)$也就不用变了

当 shares 做运算时，MAC也伴随着做运算，保持MAC校验等式。SPDZ 将 check 延迟到 MPC 最后的输出阶段，先让各方发布秘密的 shares 的承诺，然后再重构 MAC 以校验秘密的正确性。

在预处理阶段，SPDZ 使用 Somewhat Homomorphic Encryption（简写做 SHE）来生成 Beaver Triple。

Preprocessing Phase

在预处理阶段，SPDZ 使用 SHE 来生成 Beaver Triple，且 SHE 的私钥被各方共享 $[sk]$，无人知晓完整私钥。解密时，采用分布式解密算法。

MAC 的全局密钥 $\alpha$ 在这个阶段被生成和共享，它的 Shares 形如：
$$[\alpha ]=(({\alpha }_1,\cdots ,{\alpha }_n),\{{\beta }_i,\gamma (\alpha {)}_1^i,\cdots ,\gamma (\alpha {)}_n^i{\}}_{i=1}^n)$$

其中$\alpha ={\sum }_i{\alpha }_i$，将 $\gamma (\alpha {)}_j:=\alpha {\beta }_j={\sum }_i\gamma (\alpha {)}_j^i$ 视为$MA{C}_{{\beta }_j}(\alpha )$。每个参与者$P_i$持有：${\alpha }_i,{\beta }_i,\gamma (\alpha {)}_1^i,\cdots ,\gamma (\alpha {)}_n^i$，即自己的MAC密钥${\beta }_i$，以及$\alpha$和$MA{C}_{{\beta }_j}(\alpha ),j=1,\cdots ,n$的 shares

另外，在预处理阶段还要生成一些随机数 $r$，以两种 shares 的形式，$(<r>,[r])$-pairs，共享给各个参与者。在后面的协议描述中，我看到尖括号的 $<r>$ 被用于电路的计算，而方括号的 $[r]$ 则只用于 Open 给某个参与者，且在 $[r]$ 上并没有定义类似 $<r>$ 的加性运算。所以说，形如 $[r]$ 的其实是一种公共生成的未知随机串吗？（论文里解释两种 shares 类型的异同了吗？我虽然没有每个字每个字地细看，但真的没看到啊！）。

类似 BDOZ，SPDZ 也需要$1$个 ZKPP：${\Pi }_{PoPK}$，零知识的明文的知识证明；证明给定密文，加密方确实拥有合适的明文和随机性。

预处理阶段简略描述如下：

1. 构造${\Pi }_{reshare}$：

   1. 输入公开的明文向量$\mathbf{m}$的密文$e_m:=En{c}_{pk}(\text{m})$，以及一个控制符$enc$
   2. 各方采样随机向量${\mathbf{f}}_{\mathbf{i}}$，定义$\text{f}={\sum }_i{\text{f}}_i$，广播密文 $En{c}_{pk}({\text{f}}_i)$
   3. 执行${\Pi }_{PoPK}$，验证每个$e_{f_i}$，然后同态加法$e_f={\sum }_i{e}_{f_i}$，再计算$e_{m+f}=e_m+e_f$
   4. 分布式解密$e_{m+f}$，得到$\text{m+f}$，令$P_1$设置${\mathbf{m}}_1=\mathbf{m}+\mathbf{f}-{\mathbf{f}}_1$，其他的$P_i$设置${\mathbf{m}}_{\mathbf{i}}=-{\mathbf{f}}_{\mathbf{i}}$（易知，$\mathbf{m}={\sum }_{\mathbf{i}}{\mathbf{m}}_{\mathbf{i}}$）
   5. 如果$enc=\text{NoNewCiphertext}$，那么只输出 shares ${\mathbf{m}}_{\mathbf{i}}$
   6. 如果$enc=\text{NewCiphertext}$，那么额外输出$e_m^{\prime }:=Enc(\text{m+f})-{\sum }_i{e}_{f_i}$

2. 构造${\Pi }_{bracket}$：

   1. 各方拥有 shares ${\text{v}}_1,\cdots ,{\text{v}}_n$，以及公开的密文$e_{\text{v}}$，这里$\mathbf{v}={\sum }_{\mathbf{i}}{\mathbf{v}}_{\mathbf{i}}$
   2. 各方都对每个$i=1,\cdots ,n$设置$e_{{\gamma }_i}=e_{{\beta }_i}\cdot e_v$，其中的${\beta }_i$是$P_i$的私人MAC密钥，$e_{{\beta }_i}$在初始化阶段被公开
   3. 执行${\Pi }_{reshare}$，输入$e_{{\gamma }_i},\text{NoNewCiphertext}$，输出MAC值${\beta }_j\mathbf{v}$的 shares ${\gamma }_i^1,\cdots ,{\gamma }_i^n$
   4. 最终，输出 bracket shares $[\text{v}]=(({\text{v}}_1,\cdots ,{\text{v}}_n),\{{\beta }_i,{\gamma }_1^i,\cdots ,{\gamma }_n^i{\}}_{i=1}^n)$

3. 构造${\Pi }_{angle}$：

   1. 各方拥有 shares ${\text{v}}_1,\cdots ,{\text{v}}_n$，以及公开的密文$e_{\text{v}}$，这里$\text{v}={\sum }_i{\text{v}}_i$
   2. 各方设置$e_{\alpha v}=e_v\cdot e_{\alpha }$，其中$\alpha$是全局密钥，对应的密文在初始化阶段被公开（但没人知道$\alpha$）
   3. 执行${\Pi }_{reshare}$，输入$e_{\alpha v},\text{NoNewCiphertext}$，输出MAC值$\alpha \mathbf{v}$的 shares ${\gamma }_i^1,\cdots ,{\gamma }_i^n$
   4. 最终，输出 angle shares $<\text{v}>=(0,({\text{v}}_1,\cdots ,{\text{v}}_n),({\gamma }_1^i,\cdots ,{\gamma }_n^i))$

4. 构造${\Pi }_{prep}$：

   1. Initialize 步骤：

      1. 执行 KeyGen 算法，获得公钥$pk$
      2. 各方生成私人密钥${\beta }_i$，以及${\alpha }_i$，全局密钥为$\alpha ={\sum }_i{\alpha }_i$
      3. 令$diag(x)=[x,\cdots ,x]$，各方计算并广播$e_{{\alpha }_i}=Enc(diag({\alpha }_i))$和${\alpha }_{{\beta }_i}=Enc(diag({\beta }_i))$
      4. 执行${\Pi }_{PoPK}$验证上述密文，计算$e_{\alpha }={\sum }_i{e}_{{\alpha }_i}$，存储它
      5. 执行${\Pi }_{bracket}$，输入$diag({\alpha }_1),\cdots ,diag({\alpha }_n),e_{\alpha }$，获得 shares $[diag(\alpha )]$，存储它

   2. Pair 步骤：

      1. 各方生成随机向量${\text{r}}_i$，计算并广播$e_{r_i}$
      2. 执行${\Pi }_{PoPK}$验证每个密文，设置$e_r={\sum }_i{e}_{r_i}$
      3. 输入$r_1,\cdots ,r_n,e_r$，执行${\Pi }_{bracket}$获得$[r]$，执行${\Pi }_{angle}$获得$<r>$
      4. 最终，输出一对 shares $[r],<r>$

   3. Triple 步骤：

      1. 各方生成随机向量${\mathbf{a}}_{\mathbf{i}},{\mathbf{b}}_{\mathbf{i}}$，计算并广播$e_{a_i},e_{b_i}$
      2. 执行${\Pi }_{PoPK}$验证每个密文，设置$e_a={\sum }_i{e}_{a_i},e_b={\sum }_i{e}_{b_i}$，计算$e_c=e_a\cdot e_b$
      3. 执行${\Pi }_{angle}$，获得 shares $<\text{a}>,<\text{b}>$
      4. 执行${\Pi }_{reshare}$，输入$e_c,\text{NewCiphertext}$，输出${\text{c}}_1,\cdots ,{\text{c}}_n,e_c^{\prime }$
      5. 执行${\Pi }_{angle}$，获得 shares $<c>$
      6. 最终，输出 < a > , < b > , < c > ,, <a>,<b>,<c>

详细步骤，诸位可以看 SPDZ 论文：先定义 Ideal Functionality，然后实现 Real Protocol

Compute Phase

BDOZ 和 SPDZ 中，将预处理阶段称为“离线”，将计算阶段称为“在线”

SPDZ 的在线阶段如下：

注意，披露最终计算结果之前，需要对之前披露的所有的 shares 检验 MAC：先承诺所有的需要 check 的 shares 和 MAC 值，然后才披露全局密钥$\alpha$，再 check 之前披露的 shares 的正确性，最终披露结果$y$，并要 check 它是否满足MAC关系。

在计算过程中 Open 了一些数值 $a_1,\cdots ,a_T$，将它作为一个多项式 $a(x)={\sum }_j{a}_j{x}^j$。同时，这些数值在 $P_i,i=1,\cdots ,n$ 那里的 MAC 碎片为 $\gamma (a_j{)}_i$，把它们写成矩阵形式
[ γ ( a 1 ) 1 γ ( a 2 ) 1 ⋯ γ ( a T ) 1 γ ( a 1 ) 2 γ ( a 2 ) 2 ⋯ γ ( a T ) 2 ⋮ ⋯ γ ( a 1 ) n γ ( a 2 ) n ⋯ γ ( a T ) n ] \begin{bmatrix} \gamma(a_1)_1 & \gamma(a_2)_1 & \cdots & \gamma(a_T)_1\\ \gamma(a_1)_2 & \gamma(a_2)_2 & \cdots & \gamma(a_T)_2\\ \vdots & \cdots\\ \gamma(a_1)_n & \gamma(a_2)_n & \cdots & \gamma(a_T)_n\\ \end{bmatrix} ​γ(a1​)1​γ(a1​)2​⋮γ(a1​)n​​γ(a2​)1​γ(a2​)2​⋯γ(a2​)n​​⋯⋯⋯​γ(aT​)1​γ(aT​)2​γ(aT​)n​​ ​

• 每一列的加和 $\gamma (a_i)={\sum }_i\gamma (a_j{)}_i$，是所有参与者对 $a_j$ 的MAC 值
• 每一行的多项式 ${\gamma }_i(x)={\sum }_j\gamma (a_j{)}_i{x}^j$，是多项式 $a(x)$ 对应的 MAC 值

接着，我们对于随机点 $e$ 求多项式 $a(x)$ 的值 $a:=a(e)$ 以及它对应的 MAC 碎片 ${\gamma }_i:={\gamma }_i(e)$，完整的 MAC 值为 $\gamma ={\sum }_i{\gamma }_i$。如果某个 $a_j$ 的 MAC 值不正确，那么根据 Schwartz-Zippel lemma，将以压倒性概率在随机点位置的函数值 $a,\gamma$ 上检测出两个多项式不相等（论文中没解释，博主自己的理解）。