基于 MK-FHE 的 2 轮 MPC

[CM15] 在 GSW 的基础上，构造了一个 multi-identity identity-based FHE，进而获得了第一个基于标准 LWE 问题的 multi-key FHE。所谓 MK-FHE 说的是，各个参与者可以独立地生成公私钥对，并使用自己的公钥加密消息；这些不同公钥加密下的密文，可以在特殊的 masking system 下，转化为支持同态运算的通用格式；在解密通用密文时，所有参与者运行一个分布式的解密协议。

之后 [MW16] 提出了 [CM15] 的一个显著简化，并使用 MK-FHE 构建了 2 轮 MPC 协议。对比 [AJW11] 和 [CM16] 的思路：[AJW11] 让所有参与者协同生成同一个公私钥对，从而使得公共公钥加密下的密文之间可以同态运算，但是这需要分布式的 $Key G e n$ 算法；[CM16] 则是各个参与者本地生成各自的公私钥对，但是不同公钥加密下的密文需要转化为通用密文（其实就是把多个秘钥组合成一个公共秘钥），从而可以同态运算。由于 MK-FHE 的 $Key G e n$ 是本地进行的，因此使用 MK-FHE 构建 MPC 会比基于 TFHE 的 MPC 节省一轮通信。另外，[AJW11] 使用的基础 FHE 是 BGV 方案，它需要构造出 evaluation key 来辅助同态运算；而 [CM15] 和 [MW16] 使用的是 GSW 方案，不需要 evaluation key，从而兼容 IBE。

Multi-Key FHE

包含 $N$ 个参与者的 MK-FHE 的抽象定义为：一个 PPT 算法组 $(S e t u p, Key G e n, E n c, E x p an d, E v a l, Dec)$ ，

$\leftarrow Setup(1^\kappa,1^d)$ ：PPT 随机算法，安全参数 $\kappa$ ，电路深度 $d$ ，输出 MK-FHE 的一组参数（包括 CRS 等）
$\leftarrow KeyGen(param)$ ：PPT 随机算法，输出私钥 $s k$ 和公钥 $p k$
$\leftarrow Enc(pk,\mu)$ ：PPT 随机算法，输出明文 $\mu$ 在公钥 $p k$ 下的密文
$\tilde c \leftarrow Expand((pk_1,\cdots,pk_N), j,c)$ ：PPT 随机算法，密文 $c$ 是关于 $(pk_1<\cdots,pk_N)$ 序列（注意顺序依赖）的新鲜密文，输出通用密文 $\tilde c$
$\tilde c = Eval((pk_1,\cdots,pk_N),\mathcal C,(\tilde c_1,\cdots,\tilde c_l))$ ：PPT 确定性算法，遵循电路 $\mathcal C$ 对通用密文 $\tilde c_i$ 执行同态计算（所有密文对应的公钥序列完全相同，包括顺序），输出计算结果 $\tilde c$
$\mu = Dec((sk_1,\cdots,sk_N),\tilde c)$ ：PPT 确定性算法，输出通用密文 $\tilde c$ 所加密的明文 $\mu$ （需要知道全部参与者的私钥）

现在我们给出 MK-FHE 需满足的一些性质。

语义安全（Semantic security）：对于任意的 $d=d(\kappa)$ 以及任意的 $\mu_0,\mu_1$ ，都满足
$\{ param,pk,Enc(pk,\mu_0) \} \overset{c}{\equiv} \{ param,pk,Enc(pk,\mu_1) \}$
其中 $\leftarrow Setup(1^\kappa,1^d)$ ， $\leftarrow KeyGen(param)$

对于任意的 $N, d$ ，在参数 $\leftarrow Setup(1^\kappa,1^d)$ 下 $N$ 个参与者各自的公私钥为 $sk_i,pk_i)$ ，给定任意的明文序列 $(\mu_1,\cdots,\mu_l)$ 和任意的索引序列 $(I_1,\cdots,I_l),I_i \in [N]$ ，计算密文序列 $\{c_i \leftarrow Enc(pk_{I_i},\mu_i)\}_{i \in [l]}$ ，对应的扩展密文是 $\{\tilde c_i \leftarrow Expand((pk_1,\cdots,pk_N),I_i,c_i)\}$ ，

扩展正确性（Correctness of Expansion）：对于任意的 $\in [l]$ ，都有 $Dec((sk_1,\cdots,sk_N),\tilde c_i) = \mu_i$
运算正确性（Correctness of Evaluation）：对于任意深度 $d$ 的电路 $\mathcal C$ ，计算 $\tilde c = Eval(\mathcal C,(\tilde c_1,\cdots,\tilde c_l))$ ，都有 $Dec((sk_1,\cdots,sk_N),\tilde c) = \mathcal C(\mu_1,\cdots,\mu_l)$
紧凑性（Compactness）：存在多项式 $p(\cdot)$ ，使得扩展密文规模为 $|\tilde c| \le p(\kappa,d,N)$

[CM15] 和 [MW16] 使用了 GSW 作为基础加密方案，因此在 $Eval(\cdot)$ 中 LHE 不需要公钥参与（当 $d$ 较小时），而 FHE 则需要 bootstrapping Key 来实现自举（当 $d$ 较大时）。[MP12] 指出，对于任意 $\ge n \log q$ ，都存在 $\in \mathbb Z_q^{n \times m}$ 和对应的高效求逆算法 $G^{-1}(\cdot)$ ，使得对于任意 $\in \mathbb Z_q^{n \times m'}$ ，算法输出 $G^{-1}(M) \in \{0,1\}^{m \times m'}$ 是一个二元矩阵，使得 $\cdot G^{-1}(M)=M$ 。确切地说， $G^{-1}(\cdot)$ 是对于列向量的二进制分解算法，而 $G$ 是对应的二进制合成算法。简化版本的 GSW 方案，其私钥是短的行向量 $\in \mathbb Z_q^{n-1}$ ，均匀选取 $\in \mathbb Z_q^{(n-1) \times m}$ ，计算 $b = s B + e$ ，设置
$\in \mathbb Z_q^n\,,\, A:=\begin{bmatrix} B\\b \end{bmatrix} \in \mathbb Z_q^{n \times m}$
给定明文 $\mu \in \{0,1\}$ ，选取随机短矩阵 $\in \{0,1\}^{m \times m}$ ，密文为 $C=AR+\mu G$ 。易知 $t A = e$ ，那么 $tC=tAR+\mu tG \approx \mu tG$ ，设置 $w=(0,\cdots,0,\lceil q/2\rceil)$ ，则有 $tCG^{-1}(w) \approx \mu \lceil q/2\rceil$ ，从而可恢复出明文 $\mu$ 。同态加法为 $C^+:=C_1+C_2$ ，同态乘法为 $C^{\times}:=C_1 \cdot G^{-1}(C_2)$ ，可以注意到同态乘法的噪声增长是非对称的。

Masking System

现在我们研究如何把不同秘钥下的密文，转化到一个通用格式，从而支持它们的同态运算。[CM15] 提出了 masking system，密文形如 $(U, C)$ ，其中 $C$ 就是常规的 GSW 密文，而 $U$ 是一个辅助信息。对于用户 $id_1$ 的私钥 $t_1$ 加密的密文 $\in \mathbb Z_q^{n \times m}$ ，满足 $t_1C \approx \mu t_1G$ ，给定另一个用户 $id_2$ 的私钥 $t_2$ ，我们进行密文扩展：
$\tilde C = \begin{bmatrix} C&X\\ 0&C \end{bmatrix}\in \mathbb Z_q^{2n \times 2m},\,\, \tilde t=[t_1,t_2]\in \mathbb Z_q^{2n},\,\, \tilde G = \begin{bmatrix} G\\ G \end{bmatrix}\in \mathbb Z_q^{2n \times m}$
需确定 $X$ 的值，使得它满足 $\tilde t\tilde C \approx \mu \tilde t \tilde G$ ，即
$t_1X+t_2C \approx \mu t_2G$
令系数 $B$ 被所有用户共享，用户 $id_i$ 的私钥为 $s_i$ ，公钥为 $b_i=s_iB+e_i$ 。假如密文 $C$ 由用户 $id_1$ 加密，即 $C=A_1R+\mu G$ ，其中 $\in \{0,1\}^{m \times m}$ 是随机二元矩阵。可以计算，
$\begin{aligned} t_2C &= [-s_2,1]\left( \begin{bmatrix} B\\ s_1B+e_1 \end{bmatrix}R + \mu G \right)\\ &= ((s_1-s_2)B+(e_1-e_2))R + e_2R + \mu t_2G\\ &\approx (b_1-b_2)R + \mu t_2G \end{aligned}$
其中的掩码 $b_1-b_2)R$ 是均匀的，使用错误私钥 $t_2$ 无法解密出 $t_1$ 下的密文 $C$ 。为了实现 $t_1X+t_2C \approx \mu t_2G$ 的目标，我们计算出 $X$ 使得 $t_1X \approx (b_1-b_2)R$ ，这儿 $X$ 可以视为掩码向量 $(b_1-b_2)R \in \mathbb Z_q^m$ 的一个 “pseudo ciphertext”（无法解密，但可以参与同态运算）。为了计算 $X$ ，我们设置辅助信息
$\{u_{ij} \leftarrow GSW.SymEnc(t_1, R_{ij})\}$
由于 $b_1,b_2$ 是公钥中的明文，因此使用 $U$ 中 $R$ 的密文，可以同态计算出 $b_1-b_2)R$ 的伪密文 $X$ 。直觉上，由于 GSW 是语义安全的，因此密文 $(U, C)$ 并不泄露 $R$ 和 $\mu$ 的信息，从而 MK-FHE 也是语义安全的。

接下来，我们详细描述基于 GSW 的 MK-FHE 构造方案。首先是如何构造 GSW 密文 $C=AR+\mu G$ 对应的辅助信息 $U$ 。

GSW Linear combination：给定私钥 $\in \mathbb Z_q^n$ ，对于任意矩阵 $\in \{0,1\}^{m \times m}$ ，令 $C_{ij} \in \mathbb Z_q^{n \times m}$ 是元素 $M_{ij} \in \{0,1\}$ 的噪声界 $\beta$ 的 GSW 密文（即 $tC=\mu tG+e$ ，其中 $\|e\|_\infty \le \beta$ ）。存在 PPT 确定性算法 $LComb(\cdot)$ ，对于任意的 $\in \mathbb Z_q^m$ ，使得输出为 $C_{lc} = LComb(\{C_{ij}\},v)$ ，它满足 $tC_{lc} = vM+e$ ，其中 $\|e\|_\infty \le m^3\beta$ 。具体算法如下，

对于所有的 $\in [m]$ ，定义矩阵 $Z_{ij} \in \mathbb Z_q^{n \times m}$ 为
$Z_{ij}[a,b] := \left\{\begin{aligned} v[i],&& a=n,b=j\\ 0,&& otherwise \end{aligned}\right.$
输出矩阵 $C_{lc} = \sum_{i,j} C_{ij}G^{-1}(Z_{ij}) \in \mathbb Z_q^{n \times m}$
由于 $Z_{ij}$ 仅在最后一行存在单个非零值 $v [i]$ ，且 $t = (- s, 1)$ 的最后一项是 $1$ ，容易验证
$\begin{aligned} tC_{lc} &= \sum_{ij}(M_{ij}tG+e_{ij})G^{-1}(Z_{ij})\\ &= (-s,1)\sum_{ij}Z_{ij}M_{ij} + \sum_{ij}e_{ij}G^{-1}(Z_{ij})\\ &= vM + e \end{aligned}$
由于 $\|e_{ij}G^{-1}(Z_{ij})\|_\infty \le m\beta$ ，因此满足 $\|e\|_\infty \le m^3\beta$

GSW Masking Scheme：它是一对 PPT 算法 $(U ni E n c, E x t e n d)$ ，

$UniEnc(pk,\mu)$ ：其输出形如 $\in \{0,1\}^*,C \in \mathbb Z_q^{n \times m})$ ，
1. 设置 $\leftarrow GSW.Enc(pk,\mu)$ ，使得 $C=AR+\mu G \in \mathbb Z_q^{n \times m}$ ，其中 $\in \{0,1\}^{m \times m}$ 是随机性，
2. 加密每个元素 $R_{ij}$ ，令 $V_{ij} \leftarrow GSW.Enc(pk,R_{ij})$ ，设置 $U:=(V_{1,1},\cdots,V_{m,m}) \in (\mathbb Z_q^{n \times m})^{m^2}$
$E x t e n d (U, p k, p k^{'})$ ：根据辅助信息 $U$ 计算扩展密文中的 $X$ 子矩阵，
1. 从 $p k = A, p k = A^{'}$ 中提取出 $b = s B + e, b^{'} = s^{'} B + e^{'}$ ，满足 $\|e\|_\infty,\|e'\|_\infty \le \beta$ ，由于 $U$ 中的密文是在 $p k$ 下加密的， $tV_{ij}=eR_{ij}+\mu tG$ ，噪声规模为 $\|eR_{ij}\|_\infty \le m\beta$
2. 输出 $X = L C o mb (U, b^{'} - b)$ ，根据 $LComb(\cdot)$ 的性质易知 $tX = (b'-b)R+e_X$ ，满足 $\|e_X\|_\infty \le m^4\beta$

Semantic Security of Masking Scheme：对于任意多项式 $d=d(\kappa)$ ，生成参数 $\leftarrow GSW.Setup(1^\kappa,1^d)$ ，生成公私钥 $\leftarrow GSW.KeyGen(param)$ ，任意的 PPT 敌手无法区分如下两个视图，
$\overset{c}{\equiv} (param,pk,UniEnc(pk,1))$
我们可以利用 Hybrid 技术证明上述 GSW Masking Scheme 是语义安全的。首先，我们依次替换 $V_{ij}=Enc(pk,R_{ij})$ 成为 $V_{ij}'=Enc(pk,0)$ ，那么根据 GSW 的语义安全性，可以证明相邻实验是不可区分的。其次，我们替换 $C=Enc(pk,\mu)$ 成为 $C^{'} = E n c (p k, 0)$ ，那么根据 GSW 的语义安全性，也可以证明两个实验是不可区分的。最终便证明了 $U$ 不泄露 $R$ 的信息并且 $C$ 不泄露 $\mu$ 的信息，上述 Masking Scheme 是语义安全的。上述归约过程很简单，不再细写。

Construction of MK-FHE

关于 $N$ 个参与者的扩展密文包含 $N^2$ 个 $\mathbb Z_q^{n \times m}$ 子矩阵，定义扩展的 Gadget 矩阵
$\tilde G_N := \begin{bmatrix} G & 0 & \cdots & 0\\ 0 & G &&\vdots\\ \vdots && \ddots\\ 0 & \cdots && G \end{bmatrix} \in \mathbb Z_q^{nN \times mN}$
根据 [MP12] 容易推广出高效算法 $\tilde G_N^{-1}(\cdot)$ ，对于任意的 $\in \mathbb N$ ，任意矩阵 $\in \mathbb Z_q^{nN \times m'}$ ，使得 $\tilde G_N^{-1}(M) \in \{0,1\}^{mN \times m'}$ 是短矩阵，且 $\tilde G_N\tilde G_N^{-1}(M)=M$ 。

基于 GSW 的 MK-FHE 构造如下：

$Setup(1^\kappa,1^d)$ ：简单运行 $\leftarrow GSW.Setup(1^\kappa,1^d)$
$Key G e n (p a r am)$ ：简单运行 $\leftarrow GSW.KeyGen(param)$
$Enc(pk,\mu)$ ：简单运行 $\leftarrow UniEnc(\mu,pk)$ ，输出 $c = (U, C)$ 作为密文
$Expand((pk_1,\cdots,pk_N),i,c)$ ：密文 $c$ 是关于 $pk_i$ 的新鲜密文，
1. 对于所有的 $\ { i } j \in [N]\backslash\{i\}$ ，计算 $2$ 阶扩张密文 $X_j \leftarrow Extend(U,pk_i,pk_j)$
2. 定义 $N$ 阶扩张密文 $\tilde C \in \mathbb Z_q^{nN \times mN}$ ，它包括 $N^2$ 个子矩阵 $C_{ab} \in \mathbb Z_q^{n \times m}$ ，定义为
  $C_{ab}:= \left\{\begin{aligned} C,&& a=b\\ X_j,&& a=i,b=j\\ 0^{n \times m},&& otherwise \end{aligned}\right.$
  即 $\tilde C$ 的对角线都是 $C$ ，第 $i$ 行是 $\{X_j\}_{j \neq i}$
3. 最后输出扩展密文 $\tilde C$
$Eval((pk_1,\cdots,pk_N),\mathcal C,(\tilde c_1,\cdots,\tilde c_l))$ ：扩展私钥 $\tilde t=[t_1,\cdots,t_N]$ ，易知 $\tilde t \tilde C \approx \mu \tilde t \tilde G$ ，因此扩展密文的同态运算与 GSW 完全相同，但是矩阵维度扩张到了 $n^{'} = n N, m^{'} = m N$
$Dec((sk_1,\cdots,sk_N),c)$ ：令 $w=(0,\cdots,0,\lceil q/2\rceil) \in \mathbb Z_q^{nN}$ 是列矢，计算 $\tilde t \tilde C\tilde G^{-1}(w) \approx \mu \tilde t w = \mu\lceil q/2\rceil$ ，从而计算出明文 $\mu$

上述的 MK-FHE 的语义安全性，完全就是 GSW Masking Scheme 的语义安全性，进而依赖于 GSW 的语义安全性。在 $LWE_{n-1,q,\chi,B_\chi}$ 假设下，这个 MK-FHE 是语义安全的。扩展的正确性，对于 $\tilde t \tilde C = \mu \tilde t \tilde G+e$ ，根据 Masking Scheme 可知 $\|e\|_\infty \le (m^4+m)B_\chi$ ，因此设置初始噪声界 $\beta_{init} = (m^4+m)B_\chi$ 。同态运算的正确性，深度 $d$ 的电路运算后噪声为 $\|e'\| \le \beta_{init} \cdot (mN+1)^d$ ，因此设置最终噪声界 $\beta_{final} = (m^4+m)(mN+1)^dB_\chi$ 。为了解密正确性，需要设置足够大的模数 $\ge 4mN \cdot \beta_{final} = 2^{O(d\log\kappa)}B_\chi$ 。所以本方案的噪声比值是亚指数的，需要设置足够大的 $n, m$ 使得方案实际安全。

Threshold Decryption

在上一节中 MK-FHE 解密算法需要知道所有参与者的私钥信息，但在网络协议中人们并不会将自己的私钥交给其他人。因此，构造一个分布式解密算法是有必要的。首先给出 MK-FHE 的门限解密协议抽象定义：它是一对算法 $Dec := (P a r t Dec, F in Dec)$ ，

$p_i \leftarrow PartDec(\tilde c,(pk_1,\cdots,pk_N),i,sk_i)$ ：PPT 随机算法，扩展密文 $\tilde c$ 是关于此公钥序列的，参与者 $P_i$ 输出关于 $sk_i$ 的 “partial decryption” $p_i$
$\mu = FinDec(p_1,\cdots,p_N)$ ：PPT 确定性算法，根据 $N$ 个部分解密，计算出明文 $\mu$

除了功能描述，下面我们再描述门限解密协议需要满足的性质。对于任意的 $N, d$ ，在参数 $\leftarrow Setup(1^\kappa,1^d)$ 下 $N$ 个参与者各自的公私钥为 $sk_i,pk_i)$ ，给定任意的明文序列 $(\mu_1,\cdots,\mu_l)$ 和任意的索引序列 $(I_1,\cdots,I_l),I_i \in [N]$ ，计算密文序列 $\{c_i \leftarrow Enc(pk_{I_i},\mu_i)\}_{i \in [l]}$ ，对应的扩展密文是 $\{\tilde c_i \leftarrow Expand((pk_1,\cdots,pk_N),I_i,c_i)\}$ ，令 $\mathcal C$ 是深度 $d$ 的任意电路，计算 $\tilde c = Eval(\mathcal C,(\tilde c_1,\cdots,\tilde c_l))$ ，

解密正确性（Correctness of Decryption）：令 $p_i \leftarrow PartDec(\tilde c,(pk_1,\cdots,p_N))$ 是部分解密，总有 $FinDec(\tilde c,(p_1,\cdots,p_N)) = \mathcal C(\mu_1,\cdots,\mu_l)$ 成立。
可模拟性（Simulatability of partial decryption）：存在 PPT 模拟器 $\mathcal S^{thr}$ ，使得 $\ { i } ) p_i' \leftarrow \mathcal S^{thr}(\mu,\tilde c,i,\{sk_j\}_{j \in [N]\verb|\|\{i\}})$ 满足 $p_i' \overset{s}{\equiv} p_i$ ，这里 $p_i \leftarrow PartDec(\tilde c,(pk_1,\cdots,pk_N),i,sk_i)$ 是真实执行结果。

需要注意的是，可模拟性的定义中，仅仅要求模拟器模拟出单个用户 $P_i$ 的部分解密值 $p_i'$ ，并且 [MW16] 没能给出可模拟任意子集 $\subseteq [N]$ 的更强安全性证明。

现在给出基于 GSW 的 MK-FHE 方案的门限解密协议：

$PartDec(\tilde c,(pk_1,\cdots,pk_N),i,sk_i=t_i)$ ：将扩展密文 $\tilde C \in \mathbb Z_q^{nN \times mN}$ 分拆为 $N$ 的子矩阵 $\tilde C_i \in \mathbb Z_q^{n \times mN}$ ，
$\tilde C = \begin{bmatrix} \tilde C_1\\ \vdots\\ \tilde C_N\\ \end{bmatrix} \in \mathbb Z_q^{nN \times mN}$
设置列矢 $w=(0,\cdots,0,\lceil q/2\rceil) \in \mathbb Z_q^{nN}$ ，计算 $\gamma_i=t_i\tilde C_i\tilde G^{-1}(w)$ ，采样 $e_i \leftarrow [-B_{dec},B_{dec}]$ ，这里 $B_{dec}=2^{d\kappa\log\kappa}B_\chi$ 是充分大的污染噪声界，设置 $p_i=\gamma_i+e_i \in \mathbb Z_q$ 作为部分解密值
$FinDec(p_1,\cdots,p_N)$ ：计算 $p=\sum_i p_i$ ，输出明文 $\mu=\lfloor p/(q/2)\rceil \pmod 2 \in \{0,1\}$

[MW16] 的基于 GSW 的 MK-FHE，本质上也是将某消息用一个组合秘钥 $\tilde t=[t_1,\cdots,t_N]$ 来加密。分布式解密时，需要各方在 “部分解密” 上添加污染，根据 [AJW11] 的 Smudging Lemma 可证明组合秘钥的安全性。构造模拟器 $S^{thr}(\mu,\tilde C,i,\{t_j\}_{j \neq i})$ 如下：选取充分大的 $B_{dec}/\beta_{final} \ge 2^\kappa$ ，采样污染噪声 $e_i \leftarrow [-B_{dec},B_{dec}]$ ，计算所有 $\neq i$ 的部分解密 $\gamma_j=t_j\tilde C_j\tilde G^{-1}(w)$ ，模拟出第 $i$ 个参与者的部分解密
$p_i' = \mu\lfloor q/2 \rceil + e_i - \sum_{j \neq i} \gamma_j$
而真实世界中， $\sum_j \gamma_j=\mu\lfloor q/2\rceil + e'$ ，其中 $\|e'\|_\infty \le mN\beta_{final}$ ，，带入 $p_i=\gamma_i+e_i$ 可得 $p_i = \mu\lfloor q/2 \rceil + e'+e_i - \sum_{j \neq i} \gamma_j$ 。由于 $e^{'}$ 是个较小噪声，而 $e_i$ 是很大的污染噪声，因此 $e_i \overset{s}{\equiv} e_i+e'$ ，因此模拟器 $S^{thr}$ 给出了与真实视图统计不可区分的模拟视图。

Semi-Malicious MPC

由于 MK-FHE 的门限解密，可模拟性中仅仅要求模拟器模拟出单个用户 $P_i$ 的部分解密值 $p_i'$ ，而非任意子集中多个用户的部分解密，因此直接利用 MK-FHE 只能构造出抵御恰好 $N - 1$ 个半恶意敌手的 MPC 协议。

公共输出的确定性函数性 $f:(\{0,1\}^{l_{in}})^N \to \{0,1\}^{l_{out}}$ 深度为 $d$ ，协议 $\pi_f$ 定义如下：

初始化，各方协同执行 $\leftarrow MFHE.Setup(1^\kappa,1^d)$
第一轮，
1. 各方 $P_k$ 独立生成公私钥 $(pk_k,sk_k) \leftarrow MFHE.KeyGen(param)$ ，
2. 逐比特地加密自己的输入值 $x_k$ ，得到 $c_{kj} \leftarrow MFHE.Enc(pk_k,x_k[j])$ ，
3. 广播 $pk_k,\{c_{kj}\})$ 给其他参与者
第二轮，
1. $P_k$ 收到全部消息后，执行密文扩展 $\tilde c_{ij} \leftarrow MFHE.Expand((pk_1,\cdots,pk_N),i,c_{ij})$
2. 接着执行同态运算 $\tilde c_j \leftarrow MFHE.Eval(f_j,(\tilde c_{1,1},\cdots,\tilde c_{N,l_{in}}))$ ，其中 $f_j,j \in [l_{out}]$ 是函数 $f$ 第 $j$ 比特输出对应的函数
3. 执行门限解密协议 $p_{jk} \leftarrow MFHE.PartDec(\tilde c_j,(pk_1,\cdots,pk_N),k,sk_k)$ ，广播给其他参与者
各方 $P_k$ 计算 $y_j \leftarrow MFHE.FinDec(p_{j,1},\cdots,p_{j,N})$ ，输出 $y=y_1\cdots y_{l_{out}}$ 作为运算结果

接下来，我们将 $\pi_f$ 扩展到抵御任意数量的半恶意敌手安全协议。[MW16] 定义了一个 “Extended function”：任给函数性 $f:(\{0,1\}^{l_{in}})^N \to \{0,1\}^{l_{out}}$ ，令 $PRF:\{0,1\}^\kappa \times [N] \to \{0,1\}^{l_{in}}$ 是一个伪随机函数。定义扩展函数 $\tilde f:(\{0,1\}^{l_{in}} \times \{1,2,3\} \times \{0,1\}^\kappa)^N \to \{0,1\}^{l_{out}}$ ，其输入形如 $x_k,mode_k,z_k)$ ，

当 $\forall i \in [N], mode_i=1$ ，则直接输出 $f(x_1,\cdots,x_N)$
若 $\exist! i \in [N],mode_i=2$ ，设置 $K=z_i$ 是 PRF 索引，
- 对于 $mode_j=3$ 的那些输入 $x_j$ ，设置 $x_j'=PRF(K,j) \oplus x_j$
- 而其他的那些 $x_j$ ，简单设置 $x_j'=x_j$
- 输出 $f(x_1',\cdots,x_N')$
对于其他情况（存在多个 $2$ ，或者不存在 $2$ 但存在 $3$ ），直接输出 $0^{l_{out}}$

那么将函数性 $f$ 扩展为 $\tilde f$ ，然后简单执行 $\pi_{\tilde f}$ ，其中 $P_k$ 的输入值为 $x_k,mode_k=1,z_k=0)$ ，则这个扩展协议是抵御任意数量半恶意敌手的 UC 安全的多方计算协议。安全归约较为复杂，这儿不写了，感兴趣的读者可以查阅 [MW16] 相关部分。采用 [AJW11] 中的标准技术，可以将公共输出的确定性函数性，扩展为私有输出的随机函数性。

基于 MK-FHE 的 MPC

文章目录