Malicious Secure MPC: C&C、Lego、ZKP

参考文献：

1. Chaum, D. 1983. “Blind Signature System”. In: Advances in Cryptology – CRYPTO’83. Ed. by D. Chaum. Plenum Press, New York, USA. 153.
2. Evans D, Kolesnikov V, Rosulek M. A pragmatic introduction to secure multi-party computation[J]. Foundations and Trends® in Privacy and Security, 2018, 2(2-3): 70-246.
3. Nielsen, J. B. and C. Orlandi. 2009. “LEGO for Two-Party Secure Computation”. In: TCC 2009: 6th Theory of Cryptography Conference. Ed. by O. Reingold. Vol. 5444. Lecture Notes in Computer Science. Springer, Heidelberg. 368–386.

C&C

这个 idea 来自于 Chaum 描述盲签名的论文。假设Alice和Bob想要公平地分割蛋糕，但是他们都不信任对方，认为对方会给自己割一块大的。为了公平地等分蛋糕，他们执行如下协议：

1. Alice将蛋糕切成两半
2. Bob选择自己的一半蛋糕
3. Alice拿走剩下的一半蛋糕

这样，Alice不得不关注 step 1，尽可能第等分蛋糕。否则，Bob会在 step 2 中拿走更大的一半，那Alice就要哭了！

cut-and-choose technique

1. $P_1$针对给定电路$C$，随机生成一系列混淆电路$\{G{C}_i{\}}_{i\in I}$，重复因子（replication factor）为$|I|=\rho$
2. $P_2$随机选择其中的一部分电路$J\subset I$，让$P_1$打开（open）它们。就是发送所有的线标签、门标签；或者说，发送生成此电路的随机性（randomness）。
3. $P2$检查这些电路，确认它们都是电路$C$的正确混淆版本。
4. $P2$相信剩余的电路$I-J$很可能是正确的，计算剩余的混淆电路。

Input consistency

在计算多个电路时，一个恶意敌手可能会对于不同的电路输入不同的值。因此协议还需要额外约束双方的输入。

$P_1$的输入一致性：

1. $P_1$构建电路$C(x,y)$的一系列混淆电路，对于自己的每个混淆输入（就是每个电路的一个线标签）做承诺，发送给$P_2$
2. 接收到承诺后，$P_2$随机挑选一个$2-$universal hash function $H$（$\forall z\ne z^{\prime },Pr[H(z)=H(z^{\prime })]=1/2^l$），发送给$P_1$（在得到$H$之前，$P_1$的输入就已经被固定了）
3. $P_1$根据电路$H(x,r)$，构建一系列的混淆电路（这里的$r$是$P_1$随机选择的，用于隐藏$H(x,r)$中包含的$x$的信息）
4. $P_2$拿到电路$(C(x,y),H(x,r))$的若干混淆版本，利用 C&C 技术确定混淆电路的正确性。
5. $P_1$发送他的混淆输入，$P_2$检查是否符合承诺。然后$P_2$计算剩余电路，检查它们的$H(x,r)$是否一致。由于$H$是随机选的，因此$P_1$难以找到一个$r$，使得对于不同电路的不同输入$x$出现碰撞。

$P_2$的输入一致性：这个很简单就可以实现，因为$P_2$是利用OT协议获得对应标签的。对于电路$C$的每一个输入比特，仅通过单个恶意敌手安全的OT协议，传输全部混淆电路$G{C}_i$的对应标签$k_{1,i}^{v_i}\Vert k_{2,i}^{v_i}\Vert \cdots \Vert k_{\rho ,i}^{v_i}$

上述方案中的$H$可以被设计为只需要 XOR Gate，那么利用 Free XOR 技术，仅仅是增加了少量的计算开销。

Output

如果$P_2$计算发现对于不同的混淆电路，输出结果不一致，此时应该 abort 么？不可以！考虑$P_1$设计的错误混淆电路当仅当$P_2$输入为$1$是才会表现出错误；那么一旦$P_2$ abort，那么$P_1$就知道了$P_2$的输入是$1$，这就是Selective abort attack。

1. majority：

   $P_2$计算所有的剩余电路后，使用少数服从多数的方案作为电路的最终输出。敌手的成功概率为
   $$Pr[majorityofevaluatedcircuitsincorrect\wedge allcheckcircuitscorrect]$$

   

   假设 check 和 eval 的开销相等，那么经过最优化可以计算出，为了使得敌手的成功概率不高于$2^{-\lambda }$，最佳重复因子为$\rho \approx 3.12\lambda$，最佳检验数量为$c=0.6\rho$。统计安全参数选取为$\lambda =40$，那么就需要重复构建上百个混淆电路。

   不过一般而言，eval 的计算开销一般是 check 的计算开销的$25\%-50\%$。但同时，利用 seed 和 hash 可以让 check 的通信开销几乎为$0$。怎么权衡是个开放问题。

2. Input Recovery Technique：

   $P_2$计算所有的剩余电路后，如果发现了不一致的输出比特（在$P1$诚实时，这不会发生），那么就把对应的这些输出线标签作为“proof of cheating”。然而，$P_2$不应当披露他是否捕获了这种证明，否则依然是 Selective abort。

   双方应当继续执行一个恶意敌手安全的 input recovery function：如果$P_2$提供了“proof of cheating”，那么这个函数“惩罚”$P_1$，将明文$x$发送给$P_2$，这样$P_2$就可以自行计算$C(x,y)$了；否则，$P_2$不应当学习到任何有关$x$的信息。

   Emmmm，怎么感觉 input recovery function 本就是个 malicious-secure MPC（￣へ￣）

   此时，敌手成功的唯一可能就是：$P_2$检查的$c$个电路都是好的，同时$P_2$计算的$\rho -c$个电路都是坏的。因此，只需要选取$\rho =\lambda$，重复因子大幅降低。

Batched C&C

假设$P_1,P_2$双方想要$N$次计算同一个函数$F$，他们每次对于不同的输入，计算的电路$C$是保持不变的。那么他们可以成批地生成混淆电路，然后执行 C&C 技术检查电路的正确性。

也就是说，$P_1$针对电路$C$生成$N\rho +c$个混淆版本，$P_2$随机校验$c$个混淆电路，然后对剩下的$N\rho$个电路随机分入$N$个桶。每个桶有$\rho$个电路，它们被用来计算同一组输入下的函数值。

经计算，为了达到$2^{-\lambda }$的安全性，只需选取$\rho =2+\Theta (\lambda /\log N)$，随着$N$的增大$\rho$会逐渐降低（远低于$\lambda =40$，比如$N=1024,\rho =5$）。抵抗恶意敌手的均摊成本变低了！

LEGO Paradigm

Nielsen 和 Orlandi 提出了"门级"的 C&C 方案。仿照乐高积木，为了构建一个坚固的玩具，只需要确保每个积木都是牢固的。

与非门 NAND 单独构成完备集。令$\odot$表示与非运算：

1. $p\wedge q=(p\odot q)\odot (p\odot q)$
2. $p\vee q=(p\odot p)\odot (q\odot q)$
3. $\neg p=p\odot 1$

因此，我们只需构建出与非门即可。

Gate-level C&C

1. $P_1$构建 NAND Gate 大量的独立随机混淆门，共$N\rho +c$。然后$P_2$利用 batch C&C 技术，随机检查$c$个 NAND Gate，将剩余的与非门分桶，$N$个桶，每个桶$\rho$个。
2. $P_1,P_2$执行焊接（soldering）过程，构造混淆电路：
   1. 双方协作，将单个桶里的$\rho$个 NAND Gate 并联（每$2$个门的对应输入引脚的$2$个标签要对齐），组成一个容错与非门（fault-tolerant garbled NAND gate）。少数服从多数，只要大多数与非门的输出正确，那么容错与非门的输出正确。
   2. 根据电路$C$把各个容错与非门连接成单个混淆电路，要将输出线上的混淆值传递到下一个门的输入线上。
3. $P_2$计算这个混淆电路，它的表现与行为以压倒性概率（with overwhelming probability）和正确电路一致。

Soldering

在本范式中，需要一种同态承诺协议（homomorphic commitment）：

1. commit：$P_1$对数值$A$做承诺$c_A$，对数值$B$做承诺$c_B$，发送$c_A,c_B$给$P_2$
2. decommit：$P_1$发送$A$给$P_2$，$P_2$检查$c_A$是否是关于$A$的承诺
3. homomorphic decommit：$P_1$发送$A\oplus B$给$P_2$，$P_2$检查$(c_A,c_B)$是否是关于$A\oplus B$的承诺

利用 Free XOR 技术，$P_1$随机选取全局偏移值（offset value）$R$，然后对于各个 NAND Gate 的每根线$i$，随机生成线标签$k_i^0$（不必考虑$C$的连接关系，后边有焊接），再令$k_i^1=k_i^0\oplus R$

$P_1$发送这些混淆门，同时要对 $\forall i,k_i^0$ 和 $R$ 做承诺。根据同态性，$P_1$可以对另一个标签 $k_i^1=k_i^0\oplus R$ 解承诺。注意，永远不要对$R$解承诺，否则将泄漏$R$并威胁所有的混淆门！

当$P_2$要求检查某个混淆门$g$，$P_1$不应该同时打开线$i$上的两个标签，这样也会泄露$R$。可以让$P_2$随机选择逻辑门的四个状态的其中一个，$P_1$只打开这个条目对应的$2$个输入比特和$1$个输出比特的那$3$个标签。$P_2$检查这个条目的正确性，对于错误的门有$1/4$的概率发现它。

焊接过程如下：

1. 当$P_2$要求连接一个桶里的两个混淆门$g_1,g_2$，记它们的左（右）引脚分别为$u,v$，那么$k_u^0,k_v^0$应当被连接，且$k_u^1,k_v^1$应当被连接。$P_1$计算焊接值（solder value）：
   $${\sigma }_{u,v}=k_u^0\oplus k_v^0$$
   容易验证，
   $$k_u^b\oplus {\sigma }_{u,v}=(k_u^0\oplus b\cdot R)\oplus (k_u^0\oplus k_v^0)=k_v^0\oplus b\cdot R=k_v^b$$
   于是$P_2$可以在不知道$b$的情况下，将逻辑值$b$从$u$转移到$v$上！

   $P_2$选择桶里的某个门$g_1$作为锚点（anchor），它有三根线$i,j,l$。对于其他的$\rho -1$个门，有对应的左右输入线和输出线，向$P_1$索要它们与$g_1$的焊接值，将$\rho$根左输入线、$\rho$根右输入线、$\rho$根输出线分别连接在一起。叠罗汉，$\rho$个与非门组成了一个容错与非门$G$。

   每当有逻辑值$b$进入锚点$g_1$的输入线，那么就把它转移到所有的$\rho$个门的对应输入线上。并行计算后，$\rho$个门的输出逻辑值$v$都传递到锚点$g_1$的输出标签$k_l^v$上。如果出现不一致（既有$k_l^0$又有$k_l^1$），那么就按照少数服从多数原则，输出唯一的标签$k_l^v$

2. 当$P_2$要求连接两个容错混淆门$G_1,G_2$，比如$G_1$的输出线到$G_2$的左（右）输入线。令$G_1$的锚点的输出线为$u$，令$G_2$的锚点的输入线为$v$，那么$P_1$只需计算锚点之间的焊接值${\sigma }_{u,v}$，而其他混淆门$g$之间不必再焊接（它们已经都焊接到了锚点上）。

   每当$G_1$输出一个混淆值$k_u^b$，那么就计算$k_v^b=k_u^b\oplus {\sigma }_{u,v}$，这就把逻辑值$b$传递到了$G_2$上。然后就可以执行$G_2$内部的逻辑运算了。

在 LEGO 范式中，假设电路$C$包含$N$个逻辑门，那么重复因子为
$$\rho =O(1)+O(\lambda /\log N)$$
相较于电路级的 C&C 的$\rho =\lambda$（Input Recovery Technique），门级的 C&C 有了重大改进。虽然焊接过程有一些额外花费，但对于大型电路 LEGO 拥有巨大优势。

GMW Compiler

上述的 C&C 技术只能对 2MP 的 Yao’s GC 起作用。那么其他的MPC呢？

对于任意的半诚实敌手下安全（secure against semi-honest adversaries）的MPC协议，利用零知识证明（Zero-Knowledge Proofs），都可以转化为恶意敌手下安全的MPC协议。

令$\pi$是半诚实安全的MPC协议，有$N$个参与者。每当参与者$P_i$给出一个计算结果，那么就要利用 ZKP 给出一个proof，证明计算结果是诚实地遵循协议$\pi$的。

1. 如果每个$P_i$在每次计算时都给出了合法的proof，那么协议$\pi$就是在半诚实环境下执行的，自然就是安全的。
2. 如果任意的$P_i$在某次计算后无法给出合法的proof，那么诚实参与者们就 abort。在$P_i$这次计算之前都是半诚实环境，只有敌手$P_i$的这次本地计算是恶意的，而诚实参与者及时终止了计算，因此也不会泄露自己的秘密。