安全多方计算| 2021年1月| ACM通信</t我tle> <link href="//www.eqigeno.com/stylesheets/all.css" rel="stylesheet"> <link href="//www.eqigeno.com/stylesheets/jplayer.pink.flag.css" rel="stylesheet"> <link href="//www.eqigeno.com/stylesheets/sections/videos.css" rel="stylesheet"> <link href="//www.eqigeno.com/stylesheets/tipsy.css" rel="stylesheet"> <link href="//www.eqigeno.com/stylesheets/colorbox.css" rel="stylesheet"> <style> html{overflow: auto !important;} </style> <style> iframe body { overflow: hidden; } iframe { border: none; margin: 0; } .fav_hacker_news { background:url('https://img.icons8.com/color/48/000000/hacker-news.png') no-repeat center #FFF; background-size: 21.5px; } .fav_hacker_news:hover { background:url('https://img.icons8.com/color/48/000000/hacker-news.png') no-repeat center #e6e9ea; background-size: 21.5px; } .fav_bar a.fav_reddit { background-size: 22px; background:url('//www.eqigeno.com/images/icons/reddit.gif') no-repeat center #FFF; } .fav_bar a.fav_reddit:hover { background-color: #e6e9ea; } .fav_bar a.fav_facebook { background-size: 22px; background:url('//www.eqigeno.com/images/icons/facebook.gif') no-repeat center #FFF; } .fav_bar a.fav_facebook:hover { background-color: #e6e9ea; background:url('//www.eqigeno.com/images/icons/facebook.gif') no-repeat center #e6e9ea; } body { margin: 0 } #acmWidget.resourcesWidget .dateNews { margin-left: 10px; } </style> </head> <body id="body-main" itemscope itemtype="http://schema.org/Article"> <div id="domain-info" data-domain="www.eqigeno.com"></div> <div class="JumpLink" id="PageTop"></div> <div id="container"> <div id="layout"> <header class="topHeader"> <a href="//www.eqigeno.com/" title="ACM" id="topLogo">ACM</一个><d我v id="instName"> <img src="//www.eqigeno.com/images/icons/acm_header.png" height="40" width="40" class="logo-mini" alt="acm-header" ></d我v> <a href="//www.eqigeno.com/login" title="登录" id="topSignIn">登录</一个><d我v id="topForm"> <form action="/search" method="get"> <div class="portaInput"> <label for="searchInput" id="labelSearchInput" class="inField"></label> <input type="text" id="searchInput" class="st-default-search-input" placeholder="Search" name="q" aria-label="Search"> </div> <button name="search submit" type="submit" id="searchSubmit">去</button> </form> </div> <div id="topBar"> <ul> <li><a href="https://www.acm.org/" title="ACM.org" >ACM.org</一个></li> <li><a href="https://campus.acm.org/public/qj/brandingqj/cacm.cfm" target="_blank" title="加入ACM" >加入ACM</一个></li> <li><a href="//www.eqigeno.com/about-communications" title="vwin德赢AC米兰官网网址">vwin德赢AC米兰官网网址</a></li> <li><a href="//www.eqigeno.com/acm-resources" title="vwin德赢网页版">vwin德赢网页版</a></li> <li class="last-child"><a href="//www.eqigeno.com/alerts-and-feeds" title="警报&提要" >警报&提要</一个></li> <li class="last-child"><a href="https://www.facebook.com/Communications-of-the-ACM-521319564596131/" style="margin: 0;padding: 0;margin-right: 1px;margin-top: -2px;"><img src="//www.eqigeno.com/images/icons/facebook.png" alt="脸谱网" style="height: 18px;width: 18px;"></a><a href="https://twitter.com/cacmmag" style="margin: 0;padding: 0;margin-top: -1px;margin-right: 4px;"><img src="//www.eqigeno.com/images/icons/twitter.png" alt="推特" style="width: 16px;height: 16px;"></a><a href="//www.eqigeno.com/alerts-and-feeds/rss-feeds" style="margin: 0;padding: 0;"><img src="//www.eqigeno.com/images/icons/rss.png" alt="rss" style="width: 14px;height: 14px;"></a></li> </ul> </div> <hgroup> <h1><a href="//www.eqigeno.com/" title="ACM通信" >ACM通信</一个></h1> </hgroup> <nav> <ul> <li class="first-child"><a href="//www.eqigeno.com/" class="menuText itemHome">首页</一个></li> <li> <div class="portaDropdown"> <a class="withMenu menuText itemCurrent" href="//www.eqigeno.com/magazines/2022/5">vwin德赢AC米兰官网网址</a> <div class="menuLinks currenIssueDropdown"> <a class="menuCover" href="//www.eqigeno.com/magazines/2022/5"><img src="//www.eqigeno.com/system/assets/0004/2832/May2022-Cover-1000x1338.large.jpg?1650387722&1650387721" width="145" height="192" alt="最新一期" ></一个><年代p一个nclass="dropDownIssueTitle">vwin德赢AC米兰官网网址本期:2022年5月</年代p一个n><一个href="//www.eqigeno.com/magazines/2022/5/260359-acm-at-75">ACM在75</一个><一个href="//www.eqigeno.com/magazines/2022/5/260341-artificial-intelligence-for-synthetic-biology">合成生物学的人工智能</一个><一个href="//www.eqigeno.com/magazines/2022/5/260365-acms-2022-general-election">ACM 2022年大选</一个><一个class="lastLink" href="//www.eqigeno.com/magazines/2022/5">查看目录</一个></d我v> </div></li> <li> <div class="portaDropdown"> <a href="//www.eqigeno.com/news" class="withMenu menuText itemNews">新闻</一个><d我v class="menuLinks newsDropdown"> <a href="//www.eqigeno.com/news" class="lastLink">最新消息</一个><一个href="//www.eqigeno.com/news/archive" class="lastLink">新闻存档</一个></d我v> </div></li> <li> <div class="portaDropdown"> <a href="//www.eqigeno.com/blogs/about-the-blogs" class="withMenu menuText itemBlogs">博客</一个><d我v class="menuLinks blogsDropdown"> <a href="//www.eqigeno.com/blogs/about-the-blogs">关于博客</一个><一个href="//www.eqigeno.com/blogs/blog-cacm">BLOG@CACM</一个><一个href="//www.eqigeno.com/blogs/blogroll">友情链接</一个><一个href="//www.eqigeno.com/blogs/archive" class="lastLink">博客档案</一个></d我v> </div></li> <li> <div class="portaDropdown"> <a href="//www.eqigeno.com/opinion" class="withMenu menuText itemOpinion">的意见</一个><d我v class="menuLinks opinionDropdown"> <a href="//www.eqigeno.com/opinion/articles">文章</一个><一个href="//www.eqigeno.com/opinion/interviews">面试</一个><一个href="//www.eqigeno.com/opinion/archive" class="lastLink">意见归档</一个></d我v> </div></li> <li> <div class="portaDropdown"> <a href="//www.eqigeno.com/research" class="withMenu menuText itemResearch">研究</一个><d我v class="menuLinks researchDropdown"> <a href="//www.eqigeno.com/research">最新的研究</一个><一个href="//www.eqigeno.com/research/archive" class="lastLink">研究档案</一个></d我v> </div></li> <li> <div class="portaDropdown"> <a href="//www.eqigeno.com/practice" class="withMenu menuText itemPractice">实践</一个><d我v class="menuLinks practiceDropdown"> <a href="//www.eqigeno.com/practice">最新的实践</一个><一个href="//www.eqigeno.com/practice/archive" class="lastLink">实践存档</一个></d我v> </div></li> <li> <div id="careersNav" class="portaDropdown"> <a href="//www.eqigeno.com/careers" class="withMenu menuText itemOpinion">职业生涯</一个><d我v class="menuLinks opinionDropdown"> <ul> <li><a href="http://jobs.acm.org/jobs/search/results?rows=15&radius=0&view=List_Detail&sort=score+desc" target="_blank">找工作</一个></li> <li><a href="http://jobs.acm.org/jobs/resumes/create" target="_blank">发布一个简历</一个></li> <li><a href="http://jobs.acm.org/jobs/products" target="_blank">发布一个职位</一个></li> <li><a href="https://www.acm.org/publications/advertising" target="_blank">广告与我们</一个></li> <li class="lastLink"><a href="mailto:careers@acm.org">联系我们</一个></li> </ul> </div> </div></li> <li> <div class="portaDropdown"> <a href="//www.eqigeno.com/magazines" class="withMenu menuText itemPrevious on">存档</一个><d我v class="menuLinks previousDropdown"> <span class="previousIssueTitle">该杂志的档案包括在<我>ACM通信</我>在过去的50年里。</年代p一个n><d我v class="issue"> <a href="//www.eqigeno.com/magazines/2022/5">2022年5月(第65卷第5期)</一个></d我v> <div class="issue"> <a href="//www.eqigeno.com/magazines/2022/4">2022年4月(第65卷第4期)</一个></d我v> <div class="issue"> <a href="//www.eqigeno.com/magazines/2022/3">2022年3月(第65卷第3期)</一个></d我v> <a href="//www.eqigeno.com/magazines" class="lastLink">查看更多问题</一个></d我v> </div></li> <li><a href="//www.eqigeno.com/videos" class="menuText itemVideos">视频</一个></li> </ul> </nav> </header> <section> <div class="breadcrum"> <a href="//www.eqigeno.com/">首页</一个><年代p一个n>/</年代p一个n><一个href="//www.eqigeno.com/magazines/decade">杂志存档</一个><年代p一个n>/</年代p一个n><一个href="//www.eqigeno.com/magazines/2021/1">2021年1月(第64卷第1期)</一个><年代p一个n>/</年代p一个n><一个href="//www.eqigeno.com/magazines/2021/1/249459-secure-multiparty-computation">安全多方计算</一个><年代p一个n>/</年代p一个n>全文</d我v> <div class="col0 floatLeft firstCol"> <span class="label">评论文章</年代p一个n><h2>安全多方计算</h2> <h6 class="subheader"></h6> </div> <hr class="dotted"> <div id="articleFullText" class="col1 floatLeft firstCol"> <span class="byline">由耶胡达Lindell<br>ACM通信，2021年1月，第64卷第1期，86-96页<br>10．1145/3387108<br><一个href="#comments">评论</一个></年代p一个n><d我v class="fav_bar"> <span>认为:</年代p一个n><一个href="#" onclick="javascript:window.print();" class="fav_print" title="打印" >打印</一个><一个href="//www.eqigeno.com/about-communications/mobile-apps/" class="mobile-apps" title="手机应用程序" >手机应用程序</一个><一个href="https://dl.acm.org/citation.cfm?id=3444848.3387108&coll=portal&dl=ACM" class="fav_acm_digital" target="_blank" title="ACM数字图书馆" >ACM数字图书馆</一个><一个href="//www.eqigeno.com/magazines/2021/1/249459-secure-multiparty-computation/pdf" class="fav_pdf" rel="nofollow" target="_blank" title="全文(PDF)" >全文(PDF)</一个><一个href="https://dl.acm.org/ft_gateway.cfm?id=3387108&ftid=2147883&dwn=1" class="fav_de" target="_blank" title="数码版" >数码版</一个><年代p一个n>分享:</年代p一个n><一个href="javascript:void(0);" class="fav_email" title="通过电子邮件发送" id="sendByEmail">通过电子邮件发送</一个><一个href="javascript:void(0);" class="fav_reddit" onclick="addthis_sendto('reddit');" title="在reddit分享" >在reddit分享</一个><一个href="javascript:void(0);" class="fav_su" onclick="addthis_sendto('stumbleupon');" title="在StumbleUpon分享" >在StumbleUpon分享</一个><一个href="https://news.ycombinator.com/" class="fav_hacker_news" title="在黑客新闻上分享" >在黑客新闻上分享</一个><一个href="javascript:void(0);" class="fav_twitter" onclick="addthis_sendto('twitter');" title="在推特上分享" >在推特上分享</一个><一个href="javascript:void(0);" class="fav_facebook" onclick="addthis_sendto('facebook');" title="在Facebook上分享" >在Facebook上分享</一个><d我v class="addthis_toolbox "> <a href="https://www.addthis.com/bookmark.php?v=250&pubid=xa-4dcbeff2515fc93c" class="addthis_button_compact fav_more no_border">分享</一个></d我v> </div> <div class="clearer"></div> <div class="imageWithCaptionLeft" id="asset-38793"> <figure> <img alt="用链条和锁连接的街区" src="//www.eqigeno.com/system/assets/0003/8793/121620_CACMpg87_Secure-Multiparty.large.jpg?1608154191&1608154191" title="blocks connected by chains and locks"> <figcaption> <p class="credit">图片来源:Weibel Christophe / Shutterstock</p></figcaption> </figure> </div> <div class="videoThumb"> <iframe src="https://player.vimeo.com/video/481422927" width="640" height="360" frameborder="0" allow="autoplay; fullscreen" allowfullscreen></iframe> </div> <p><a name="body-1"></a></p> <p><em>分布式计算</em>考虑这样一种场景:许多不同的，但相互连接的计算设备(或各方)希望对某些功能进行联合计算。例如，这些设备可能是容纳分布式数据库系统的服务器，而要计算的函数可能是某种类型的数据库更新。的目的<em>安全多方计算</em>是使各方能够以安全的方式执行这种分布式计算任务。分布式计算通常处理机器崩溃和其他意外故障威胁下的计算问题，而安全多方计算则关注由一些敌对实体故意恶意行为的可能性(这些在分布式文献中也被考虑过，它们被称为拜占庭错误)。也就是说，假设协议执行可能受到外部实体的“攻击”，甚至可能受到参与方的一个子集的“攻击”。这种攻击的目的可能是了解私人信息或导致计算结果不正确。因此，任何安全计算协议都有两个重要要求<em>隐私</em>而且<em>正确性</em>．隐私要求规定，除了绝对必要的以外，不应了解任何信息;更确切地说，各方应该学习他们的输出，而不是其他。正确性要求规定每一方都应收到其正确的输出。因此，对手必须不能使计算的结果偏离双方当事人打算计算的功能。</p><p><一个href="#PageTop">回到顶部</一个></p><p><一个name="body-2"></a></p> <h3>关键的见解</h3> <p><img alt="ins01.gif" src="https://dl.acm.org/cms/attachment/a13a75ba-83bf-4dcc-857e-cf2c0ed9f5fd/ins01.gif"></p> <p>安全的多方计算可用于解决各种各样的问题，使数据的利用不影响隐私。例如，考虑将一个人的DNA与癌症患者的DNA数据库进行比较的问题，目的是发现这个人是否属于患某种癌症的高风险群体。这一任务显然具有重要的健康和社会效益。然而，DNA信息是高度敏感的，不应该透露给私人机构。这种困境可以通过运行安全的多方计算来解决，该计算只揭示患者DNA接近(或不接近)癌症的类别。在本例中，隐私要求确保只透露癌症的类别，而不透露任何人的其他DNA(无论是被比较者的DNA还是数据库中患者的DNA)。此外，正确性要求保证恶意的一方不能改变结果(例如，使人认为他们有患某种癌症的风险，因此需要进行筛查)。</p><p>在另一个例子中，考虑一个交易平台，其中各方提供报盘和报盘，并在报盘大于报盘时进行匹配(例如，交易价格是报盘和报盘价格的某种函数)。在这种情况下，从博弈论的角度来看，不透露各方的实际出价和出价是有益的(因为这些信息可能被其他人用来人为地提高价格或提供低于其效用的出价)。这里的私密性保证了只显示买方和卖方之间的匹配和结果价格，而正确性将保证根据函数显示的价格是正确的(例如，而不是某个较低的值)。有趣的是，在某些情况下隐私更重要(如DNA例子)，而在其他情况下正确性更重要(如贸易例子)。在任何情况下，MPC都保证了这两个属性，甚至更多。</p><p><年代trong>关于术语的说明。</年代trong>在文献中，除了安全多方计算(缩写为MPC，有时是SMPC)，也有关于安全函数求值(SFE)的参考文献。这些概念有很大的重叠，经常同义使用。此外，MPC的特殊情况通常有自己的名称。两个例子是私有集交集(PSI)，它考虑私有集交集的安全计算，以及阈值密码学，它考虑数字签名和解密的安全计算，其中没有任何一方持有私有密钥。</p><p><一个href="#PageTop">回到顶部</一个></p><p><一个name="body-3"></a></p> <h3>安全政策委员会</h3> <p><strong>明确的范例。</年代trong>如前所述，我们所考虑的设置是敌对实体控制各方的某个子集，并希望攻击协议执行。在对手控制下的一方被称为<code>损坏</code>，并遵从对手的指示。安全协议应该经得起任何对抗性攻击(对手的确切力量将在后面讨论)。为了正式声明和证明一个协议是安全的，需要对多方计算的安全性进行精确的定义。已经提出了许多不同的定义，这些定义旨在确保一些重要的安全属性足够通用，以捕获大多数(如果不是所有)多方计算任务。我们现在描述这些属性中最核心的:</p><ol> <li><em>隐私:</em>任何一方都不应学到任何超出其规定产出的东西。特别是，应该了解的关于其他方面的投入的唯一信息是从输出本身中可以得到什么。例如，在一场拍卖中，只有最高出价者的出价被披露，显然可以推导出所有其他出价都低于胜出的出价。然而，对于失败的投标，不应披露其他任何信息。</li> <li><em>正确性:</em>每一方都保证其接收到的输出是正确的。继续以拍卖为例，这意味着出价最高的一方肯定会获胜，而拍卖商等任何一方都无法影响这一点。</li> <li><em>独立的输入:</em>腐败的一方必须独立于诚实的一方选择他们的投入。这种财产在密封拍卖中至关重要，在密封拍卖中，出价是保密的，各方必须独立确定自己的出价。我们注意到投入的独立性是<em>不</em>隐含的隐私。例如，在不知道原始出价的情况下，可能会产生更高的出价。这样的攻击实际上可以在某些加密方案上执行(也就是说，给定$100的加密，可以在不知道原始加密值的情况下生成$101的有效加密)。</li> <li><em>保证输出功率交付:</em>腐败的一方不应阻止诚实的一方获得其产出。换句话说，对手不应该能够通过执行“拒绝服务”攻击来中断计算。</li> <li><em>公平:</em>当且仅当诚实的一方也收到他们的产出时，腐败的一方应该收到他们的产出。不应该允许出现腐败一方获得输出而诚实一方得不到输出的情况。这个属性可能非常重要，例如，在合同签署的情况下。具体来说，如果腐败的一方收到了签署的合同，而诚实的一方没有收到，这将是非常有问题的。注意，有保证的输出交付意味着公平，但反过来就不一定了。</li> </ol> <p>我们强调，这个清单可以<em>不</em>构成安全的定义，而应该是对任何安全协议都适用的一组需求。实际上，定义安全性的一种可能的方法是仅仅生成一个单独的需求列表(如上所述)，然后如果所有这些需求都得到满足，就说一个协议是安全的。然而，由于以下原因，这种方法并不令人满意。首先，有可能错过了一个重要的需求。这一点尤其正确，因为不同的应用程序有不同的需求，我们希望有一个足够通用的定义来捕获所有的应用程序。第二，定义应该足够简单，这样看起来就很容易了<em>所有</em>提出的定义防止了可能的对抗性攻击。</p><p>今天的标准定义<年代up><a href="#R5">5</一个></年代up>因此，以以下一般方式形式化安全性。作为一个心理实验，考虑一个“理想世界”，在这个世界中，一个外部的受信任的(且不腐败的)一方愿意帮助各方进行计算。在这样的世界中，各方可以简单地将它们的输入发送给受信任方，然后由受信任方计算所需的函数并将规定的输出传递给各方。由于一方所执行的唯一行动是将其输入发送给受信任的一方，因此给予对手的唯一自由是选择被破坏方的输入。注意，所描述的所有安全属性(以及更多)都包含在这个理想的计算中。例如，隐私之所以保留，是因为一方接收到的唯一消息是它的输出(因此它不能了解更多信息)。同样，正确性是成立的，因为受信任方不能被破坏，因此总是能够正确地计算函数。</p><p>当然，在“现实世界”中，不存在可以被各方信任的外部一方。相反，各方之间在没有任何帮助的情况下运行一些协议，其中一些是腐败和勾结的。尽管如此，安全协议应该模拟所谓的“理想世界”。也就是说，一个由各方(在不存在可信方的世界中)运行的真正的协议被称为<code>安全</code>如果在现实的执行中没有对手能比在理想世界的执行中造成更大的伤害。这可以这样表述:对于任何在现实世界中成功实施攻击的对手，都存在一个在理想世界中成功实施攻击并产生相同效果的对手。然而，成功的对抗性攻击<em>不能</em>在理想世界中得以实现。因此，我们得出结论，在现实世界中，所有针对协议执行的对抗性攻击也一定会失败。</p><p>更正式地说，协议的安全性是通过比较实际协议执行的结果和理想计算的结果来确定的。也就是说，对于任何攻击真实协议执行的对手，都存在一个攻击理想执行的对手(有一个受信任的方)，这样，在真实执行和理想执行中，对手和参与方的输入/输出分布本质上是相同的。因此，真正的协议执行“模拟”了理想世界。这种安全的表述被称为<code>理想的/真实的模拟范例。</code>为了激发这个定义的有用性，我们描述了为什么所描述的所有属性都是隐含的。隐私源自这样一个事实:对手的输出在真实和理想的执行中是相同的。因为对手在理想执行中除了被破坏方的输出之外什么也学不到，所以在实际执行中也是如此。正确性来源于诚实方在实际执行和理想执行中输出相同的事实，以及在理想执行中，诚实方都收到由受信任方计算的正确输出的事实。关于输入的独立性，请注意，在理想的执行中，在接收任何输出之前，将所有输入发送给受信任方。因此，腐败方在发送输入时对诚实方的输入一无所知。换句话说，按照要求，腐败方的投入是独立于诚实方的投入选择的。最后，有保证的输出交付和公平在理想世界中是成立的，因为受信任的一方总是返回所有的输出。它在现实世界中同样成立的事实又源于诚实当事人在现实和理想执行中的产出是相同的这一事实。</p><p>我们注意到，在某些情况下，该定义是宽松的，以排除公平和有保证的输出交付。排除这些因素时所达到的安全级别称为“带中止的安全”，其结果是对手可能能够获得输出，而诚实的一方则不能。使用这种松弛法主要有两个原因。首先，在某些情况下，不可能实现公平(例如，不可能实现双方抛硬币的公平<年代up><a href="#R11">11</一个></年代up>)。其次，在某些情况下，当公平性得不到保证时，更有效的协议是已知的。因此，如果应用程序不要求公平(特别是在只有一方接收输出的情况下)，这种放松是有帮助的。</p><p><年代trong>额外的定义参数。</年代trong>对抗的力量。安全性的非正式定义忽略了一个非常重要的问题:攻击协议执行的对手的力量。正如我们已经提到的，对手控制协议中参与方的一个子集。然而，我们还没有确定这样的对手拥有什么样的力量。我们描述了定义对手的两个主要参数:它被允许的对抗行为(即，对手只是被动地收集信息，还是它可以指示腐败方恶意行动?)和它的腐败策略(即，各方何时或如何处于对手的“控制”下?)</p><hr> <blockquote> <p><em>协议的安全性是通过比较实际协议执行的结果和理想计算的结果来确定的。</em></p> </blockquote> <hr> <ol> <li><strong>允许敌对的行为:</年代trong>最重要的参数必须是腐败方被允许采取的行动。主要有三种类型的对手:<ol> <li><code>Semi-honest对手</code>:在半诚实对抗模型中，即使是被破坏的一方也能正确地遵循协议规范。然而，攻击者获得了所有被破坏方的内部状态(例如收到的所有消息的抄本)，并试图利用这一点来了解应该保持隐私的信息。这是一个相当弱的对抗模型，但是具有这种安全级别的协议确实可以保证没有意外的数据泄漏。在某些情况下，这是足够的，尽管在今天的敌对环境中这往往是不够的。半诚实的对手也被称为“诚实但好奇”和“被动”。(有时,<code>停止运行故障</code>对手也被考虑在内;这些本质上是半诚实的对手，他们也可能提前停止协议的执行。)</li> <li><code>恶意的敌人:</code>在这种对抗模式中，腐败的一方可以<code>任意</code>根据对手的指示偏离协议规范。一般来说，在恶意对手存在的情况下提供安全是首选，因为它确保了任何对抗性攻击都不会成功。恶意的对手也被称为“主动的”。</li> <li><code>秘密的敌人:</code><sup><a href="#R1">1</一个></年代up>这种类型的对手可能会采取恶意行为，试图破坏协议。但是，所提供的安全保证是，如果它确实尝试了这样的攻击，那么它将以某种指定的概率被检测到，该概率可以调优到应用程序。我们强调，与恶意模型不同的是，如果没有检测到对手，那么它可能成功地欺骗(例如，了解诚实方的输入)。该模型适用于这样的情况:检测到对手时可能会受到一些现实世界的惩罚，而对手的预期是，如果它试图攻击，就会全盘失败。</li> </ol></li> <li><strong>腐败的策略:</年代trong>腐败战略处理的是政党何时以及如何腐败的问题。主要有三种模式:<ol> <li><code>静态腐败模型:</code>在这个模型中，在协议开始之前，被对手控制的一方集合就被固定了。诚实的政党始终保持诚实，腐败的政党始终保持腐败。</li> <li><code>自适应腐败模型:</code>在计算过程中，自适应对手被赋予了破坏方的能力，而不是拥有固定的破坏方集合。腐败的对象和时间的选择可以由对手任意决定，可能取决于其对执行的看法(因此被称为适应性)。该策略模拟了外部“黑客”在执行过程中侵入机器的威胁，或者最初诚实但后来改变行为的一方的威胁。我们注意到，在这种模式中，一旦一个政党腐败了，它就会从此保持腐败。</li> <li><code>主动安全模型:</code><sup><a href="#R7">7</一个>，<一个href="#R30">30.</一个></年代up>这个模型只考虑了当事人在某一段时间内被破坏的可能性。因此，诚实的一方可能在整个计算过程中被破坏(例如在自适应对抗模型中)，但被破坏的一方也可能变得诚实。当威胁来自可能破坏网络并侵入服务和设备的外部对手，并且正在进行安全计算时，主动模型是有意义的。当漏洞被发现时，系统就会被清除，对手就会失去对某些机器的控制，使双方再次诚实。安全保证是，对手只能从被破坏的机器的本地状态中得知它所派生的东西，尽管它们已经被破坏了。这样的对手有时被称为移动对手。</li> </ol></li> </ol> <hr> <blockquote> <p><em>实际上，安全的多方计算协议并不是孤立运行的;相反，它是系统的一部分。</em></p> </blockquote> <hr> <p>在考虑这些信息时，没有“正确的”模型。相反，使用的具体定义和考虑的对手取决于应用程序和正在处理的威胁。</p><p><年代trong>模块化顺序和并发组合。</年代trong>实际上，安全的多方计算协议并不是孤立运行的;相反，它是系统的一部分。Canetti<年代up><a href="#R5">5</一个></年代up>证明了如果你运行一个MPC协议作为一个更大的系统的一部分，那么它仍然以相同的方式运行，就像一个不可破坏的受信任方为各方执行计算一样。这个强大的定理被称为<code>模块化的组合</code>它支持使用安全子协议以模块化的方式构建更大的协议，以及分析使用MPC进行某些计算的更大系统。</p><p>在这种情况下，一个重要的问题是MPC协议本身是否与其他协议同时运行。在<em>顺序组成</em>， MPC协议可以作为另一个协议的子协议运行，在MPC协议之前或之后发送任意其他消息。然而，MPC协议本身必须在没有任何其他消息并行发送的情况下运行。这被称为独立设置，是Canetti安全的基本定义所考虑的设置。<年代up><a href="#R5">5</一个></年代up>Canetti的顺序模复合定理<年代up><a href="#R5">5</一个></年代up>指出，在这种设置下，MPC协议确实表现得像一个受信任的第三方进行的计算。</p><p>在一些(很多)情况下，MPC协议与自身的其他实例、其他MPC协议和其他不安全协议同时运行。在这些情况下，在上述安全的独立定义下被证明安全的协议实际上可能并不安全。提出了许多定义来处理这种情况，其中最流行的是通用可组合性。<年代up><a href="#R6">6</一个></年代up>根据此定义证明安全的任何协议都保证表现得像一个理想的执行，而不管与它同时运行的其他协议是什么。因此，这是MPC定义的黄金标准。然而，这是有代价的(效率和系统设置所需的假设)。</p><p><年代trong>重要的明确的含义。理想模型和MPC在实际中的应用。</年代trong>定义安全的理想/现实范式实际上对MPC的实际使用具有非常重要的意义。具体来说，是为了<em>使用</em>对于MPC协议，所有从业者需要做的是考虑他们的系统的安全性，当一个不可破坏的受信任方执行MPC所用于的计算。如果系统在这种情况下是安全的，那么即使使用真正的MPC协议(在适当的组合情况下)，它也将保持安全。这意味着非密码学家不需要了解<em>如何</em>MPC协议工作，甚至是如何定义安全。理想的模型提供了一个清晰且容易理解的抽象，可以被那些构建系统的人所利用。</p><p><年代trong>任何输入都是允许的。</年代trong>尽管理想模型范式提供了一个简单的抽象，但正如所描述的，有一个微妙的点有时会被误解。MPC协议的行为就像一个理想的执行;因此，所获得的安全性类似于理想执行的安全性。然而，在理想的执行中，敌对方可以输入他们希望的任何值，实际上没有一般的方法来防止这种情况。因此，如果两个人都想知道谁的工资更高(除了这一点信息之外不透露任何其他信息)，那么没有什么能阻止其中一人输入最大可能值作为他们的工资(然后在MPC协议本身中诚实地行事)，其结果是，输出的结果是他们挣得更多。因此，如果应用程序的安全性取决于一方的使用<em>正确的输入</em>，那么必须使用机制来执行这一点。例如，可以要求有签名的输入，并将签名作为MPC计算的一部分进行验证。根据特定的协议，这可能会增加很大的成本。</p><p><年代trong>MPC保护的是进程，而不是输出。</年代trong>另一个经常被误解的微妙之处是MPC保护了这个过程，这意味着计算本身不会泄露任何信息。然而，这并不意味着正在计算的函数的输出不显示敏感信息。举一个极端的例子，假设两个人计算他们的平均工资。确实，只有平均值才会输出，但是给定一个人自己的工资和两个工资的平均值，他们可以得到另一个人的确切工资。因此，仅仅使用MPC并不意味着解决了所有的隐私问题。相反，MPC保证了计算过程的安全，由于隐私问题，应该和不应该计算什么函数的问题仍然需要解决。在某些情况下，例如阈值密码学，这个问题不是问题(因为假设密钥是安全的，密码学函数的输出不会显示密钥)。然而，在其他情况下，可能就不那么清楚了。</p><p><一个href="#PageTop">回到顶部</一个></p><p><一个name="body-4"></a></p> <h3>MPC的可行性</h3> <p>安全性的定义似乎非常严格，因为不容忍对抗成功，协议应该表现得像一个受信任的第三方正在执行计算。因此，人们可能会怀疑，在这个定义下是否可能获得安全协议，如果可能，那么针对哪些分布式计算任务。也许令人惊讶的是，已经建立了强大的可行性结果，证明了事实上，<em>任何</em>分布式计算任务(函数)可以在恶意对手存在的情况下安全计算。我们现在简要说明这些结果中最核心的部分。让<em>n</em>表示参与方的数量，让<em>t</em>表示可能被损坏的一方数量的界限(损坏方的身份是未知的):</p><ol> <li>为<em>t < n /</em>3(即当少于三分之一的参与方可能被破坏时)，任何具有计算安全性的功能都可以实现具有公平性和有保证输出交付的安全多方协议，假设一个具有认证通道的同步点对点网络，<年代up><a href="#R18">18</一个></年代up>根据信息论的安全假设信道也是私有的。<年代up><a href="#R3">3.</一个>，<一个href="#R9">9</一个></年代up></li> <li>为<em>t < n /</em>2(也就是说，在保证诚实多数的情况下)，对于任何具有计算和信息论安全性的功能，都可以实现具有公平性和有保证输出传递的安全多方协议，假设各方也可以访问广播通道。<年代up><a href="#R18">18</一个>，<一个href="#R33">33</一个></年代up></li> <li>为<em>t≥n /</em>2(即在不限制损坏方数量的情况下)，可以实现安全的多方协议(没有公平性或有保证的输出传递)。<年代up><a href="#R18">18</一个>，<一个href="#R37">37</一个></年代up></li> </ol> <p>在前面描述的并发组合设置中，还证明了任何函数都可以安全计算。<年代up><a href="#R6">6</一个>，<一个href="#R8">8</一个></年代up></p> <p>总之，安全的多方协议适用于任何分布式计算任务。这一事实提供了它的巨大潜力——任何需要计算的东西都可以安全地计算!然而，我们强调，上述的可行性结果是<em>理论</em>这意味着他们证明了这在原则上是可能的。他们没有考虑实际的效率成本;这些将在后面提到。</p><p>我们用一个警告来结束这一节。在特定的模型中，以及在加密硬度和/或设置假设下，验证了该方法的可行性。描述这些细节超出了本文的讨论范围，但重要的是要意识到需要考虑这些细节。</p><p><一个href="#PageTop">回到顶部</一个></p><p><一个name="body-5"></a></p> <h3>技术</h3> <p>在过去的三十年中，许多不同的技术被开发出来，用于构造具有不同属性和不同设置的MPC协议。提及所有的技术已经超出了本文的范围，我们强烈推荐阅读<年代up><a href="#R15">15</一个></年代up>为MPC写得非常好和友好的介绍，如主要技术的调查。然而，我们将提供几个简单的例子来说明MPC协议是如何构造的，以便说明它是如何工作的。</p><p><年代trong>沙米尔秘密共享。</年代trong>面向诚实多数的MPC协议通常使用秘密共享作为基本工具。因此，我们将从简要描述沙米尔的秘密分享计划开始。<年代up><a href="#R34">34</一个></年代up></p> <p>秘密分享方案解决了交易商希望分享秘密的问题<em>年代</em>在<em>n</em>党，使任何子集<em>t</em>+ 1或更多的方可以重建秘密，但没有子集<em>t</em>否则就会有更少的人知道这个秘密。满足这些要求的方案称为(<em>t</em>+ 1) -<code>外,<em>n</em>)秘密共享方案</code>．</p><p>沙米尔的秘密分享计划利用了这样一个事实<em>t</em>二维平面上的+ 1个点(<em>x</em><sub>1</年代ub>，<em>y</em><sub>1</年代ub>),…,(<em>x</em><sub><em>t</em>+ 1</年代ub>，<em>y</em><sub><em>t</em>+ 1</年代ub>)具有独特的<em>x<年代ub>我</年代ub></em>，存在一个唯一的多项式<em>问</em>（<em>x</em>)最多是学位<em>t</em>这样<em>问</em>（<em>x<年代ub>我</年代ub></em>)=<em>y<年代ub>我</年代ub></em>对于每一个<em>我</em>．此外，有效地重构多项式是可能的<em>问</em>（<em>x</em>)，或任何具体的点。一种方法是用拉格朗日基多项式ℓ<年代ub>1</年代ub>（<em>x</em>),…,ℓ<年代up><em>t</em></sup>（<em>x</em>)，其中通过计算进行重构<我mg alt="cacm6401_a.gif" src="https://dl.acm.org/cms/attachment/f0f9da7c-8905-47ff-9749-9817cfa13369/cacm6401_a.gif">．从这里开始，我们假设所有的计算都在有限域Z内<年代ub><em>p</em></sub>，对于质数<em>p</em>><em>n</em>．</p><p>既然如此，为了分享一个秘密<em>年代</em>，庄家随机选择一个多项式<em>问</em>（<em>x</em>)最多是学位<em>t</em>在约束条件下<em>问</em>(0) =<em>年代</em>．(具体地说，发牌人设<em>一个</em><sub>0</年代ub>＝<em>年代</em>选择随机系数<em>一个</em><sub>1</年代ub>、……<em>一个<年代ub>t</年代ub></em>∈Z<年代ub><em>p</em></sub>,集<我mg alt="cacm6401_b.gif" src="https://dl.acm.org/cms/attachment/f43ddaff-4ff1-4d8b-a387-185e7972b789/cacm6401_b.gif">然后,对于每一个<em>我</em>= 1,…,<em>n</em>，经销商提供<em>我</em>有份额的一方<em>y<年代ub>我</年代ub></em>＝<em>问</em>（<em>我</em>）;这就是为什么我们需要<em>p</em>><em>n</em>，这样双方就可以分到不同的份额。由any的子集重构<em>t</em>党的工作原理是简单地对多项式进行插值计算<em>问</em>（<em>x</em>)，然后推导<em>年代</em>＝<em>问</em>(0),虽然<em>t</em>+ 1方可以完全恢复<em>年代</em>，这一点不难证明<em>任何</em>的子集<em>t</em>或者更少的人无法了解<em>年代</em>．这是由于他们已经<em>t</em>或者说多项式上的点更少，所以存在一个经过这些点的多项式和(0，<em>年代</em>)尽可能地<em>年代</em>∈Z<年代ub><em>p</em></sub>．此外，因为多项式是随机的，所有多项式都是等可能的，所以所有的值<em>年代</em>∈Z<年代ub><em>p</em></sub>是等可能的。</p><p><年代trong>诚实多数MPC与秘密共享。</年代trong>大多数协议的第一步<em>一般</em>MPC(即可用于计算任何函数的协议)是将被计算的函数表示为一个布尔或算术电路。在基于秘密共享的诚实多数MPC中，算法电路(由乘法门和加法门组成)在一个有限域Z上<年代ub><em>p</em></sub>与<em>p</em>><em>n</em>．我们注意到算术电路是图灵完备的，因此任何函数都可以用这种形式表示。参与MPC协议的各方都被提供在这个电路中，我们假设他们都可以安全地彼此通信。针对半诚实对手的协议(在这里查看恶意对手的情况下需要什么)由以下阶段组成:</p><ol> <li><strong>输入共享:</年代trong>在此阶段，每一方使用Shamir的秘密共享与其他方分享其输入。也就是说，对于电路的每一根输入导线，其输入与该导线相关联的一方在沙米尔的秘密共享中扮演经销商，将价值分享给所有各方。使用的秘密共享是(<em>t</em>+ 1)的-<em>n</em>,<我mg alt="cacm6401_c.gif" src="https://dl.acm.org/cms/attachment/01ce308f-aa66-419c-aaed-c7092a4e3ea3/cacm6401_c.gif">(因此，多项式的次数为<em>t</em>)。这提供了防范腐败党派中的任何少数群体的安全，因为这些少数群体无法学到任何关于共同价值观的东西。在此步骤之后，双方持有每个输入导线上的值的秘密份额。</li> <li><strong>电路的评估:</年代trong>在这一阶段，从输入门到输出门，双方每次评估一个门。评估保持不变，对于各方持有的每个门(<em>t</em>+ 1)的-<em>n</em>共享两个输入导线上的值，计算结果为a (<em>t</em>+ 1)的-<em>n</em>门的输出线上的值的秘密共享。</li> </ol> <ol> <li><em>计算加法盖茨:</em>根据不变量，每一方都秘密共享到门的输入电线上的值;我们用<em>一个</em>（<em>x</em>),<em>b</em>（<em>x</em>)，这意味着<em>我</em>党持有价值观<em>一个</em>（<em>我</em>),<em>b</em>（<em>我</em>)。这个门的输出线应该是a (<em>t</em>+ 1)的-<em>n</em>秘密分享价值<em>一个</em>(0) +<em>b</em>(0).这很容易用<em>我</em>一方本地设置其在输出线上的份额为<em>一个</em>（<em>我</em>)+<em>b</em>（<em>我</em>)。通过定义多项式来观察<em>c</em>（<em>x</em>)=<em>一个</em>（<em>x</em>)+<em>b</em>（<em>x</em>)，这意味着<em>我</em>th方持有<em>c</em>（<em>我</em>)。此外,<em>c</em>（<em>x</em>)是一个学位-<em>t</em>多项式,<em>c</em>(0) =<em>一个</em>(0) +<em>b</em>(0).因此，双方持有有效的(<em>t</em>+ 1)的-<em>n</em>秘密分享价值<em>一个</em>(0) +<em>b</em>(0)。注意不需要通信来计算加法门。</li> <li><em>计算乘法盖茨:</em>再一次，表示到门的输入导线上的多项式<em>一个</em>（<em>x</em>),<em>b</em>（<em>x</em>)。至于加门，则<em>我</em>该党派可以在当地乘以其股份来定义<em>c</em>（<em>我</em>)=<em>一个</em>（<em>我</em>)·<em>b</em>（<em>我</em>)。根据多项式乘法的性质，这定义了一个多项式<em>c</em>（<em>x</em>),这样<em>c</em>(0) =<em>一个</em>(0)。<em>b</em>(0)。<em>c</em>（<em>x</em>)是正确值的共享(输入导线上的值的乘积)。然而,<em>c</em>（<em>x</em>)为-2度<em>t</em>，因此，这是a (2<em>t</em>+ 1)的-<em>n</em>秘密分享而不是(<em>t</em>+ 1)的-<em>n</em>秘密共享。为了完成乘法门的计算，因此有必要对当事人进行一次<em>度降低</em>步骤，将各方共享的多项式的次数从2安全地减少<em>t</em>来<em>t</em>，而不改变其在0处的值。在继续描述它之前，观察它为<em>t</em><<em>n</em>/2，所持有的股份<em>n</em>方完全决定多项式<em>c</em>（<em>x</em>) 2度<em>t</em>+ 1。</li> </ol> <p>为了计算度降阶步骤，我们使用了来自Damgård和Nielsen的一个想法<年代up><a href="#R12">12</一个></年代up>(我们在这里描述了基本的想法，尽管Damgård和尼尔森<年代up><a href="#R12">12</一个></年代up>有一个比我们这里描述的更有效的实现方法)。假设各方都持有两个独立的未知随机值的秘密共享<em>r</em>，第一次共享通过一个-2次的多项式<em>t</em>表示<em>R</em><sub>2<em>t</em></sub>（<em>x</em>)和第二次共享通过一个次-的多项式<em>t</em>表示<em>R<年代ub>t</年代ub></em>（<em>x</em>)。请注意,<em>R</em><sub>2<em>t</em></sub>(0) =<em>R<年代ub>t</年代ub></em>(0) =<em>r</em>．然后，每一方都可以在本地计算自己的份额<em>t</em>多项式<em>d</em>（<em>x</em>)=<em>c</em>（<em>x</em>) - - -<em>R</em><sub>2<em>t</em></sub>（<em>x</em>)通过设置<em>d</em>（<em>我</em>)=<em>c</em>（<em>我</em>) - - -<em>R</em><sub>2<em>t</em></sub>（<em>我</em>)。请注意,这两个<em>c</em>（<em>x</em>),<em>R</em><sub>2<em>t</em></sub>（<em>x</em>)为2度<em>t</em>．接下来，各方重建<em>d</em>(0) =<em>一个</em>(0)。<em>b</em>(0) -<em>r</em>通过将他们所有的股份转让给其他各方。最后,<em>我</em>所有人的聚会<em>我</em>= 1,…,<em>n</em>计算它在输出线上的份额为<em>c '</em>（<em>我</em>)=<em>R<年代ub>t</年代ub></em>（<em>我</em>)+<em>d</em>(0)。</p><hr> <blockquote> <p><em>在过去的三十年中，许多不同的技术被开发出来，用于构造具有不同属性和不同设置的MPC协议。</em></p> </blockquote> <hr> <p>观察到<em>c '</em>（<em>x</em>)是程度的<em>t</em>作为<em>R<年代ub>t</年代ub></em>（<em>x</em>)是程度的<em>t</em>，通过添加一个常数来定义<em>d</em>(0)<em>R<年代ub>t</年代ub></em>（<em>x</em>)。接下来,<em>c '</em>(0) =<em>一个</em>(0)。<em>b</em>(0)<em>R<年代ub>t</年代ub></em>(0) =<em>r</em>而且<em>d</em>(0) =<em>一个</em>(0)。<em>b</em>(0) -<em>r</em>；因此<em>r</em>当值相加时消掉。因此，双方持有有效的(<em>t</em>+ 1)的-<em>n</em>根据需要，秘密共享输入导线上的值的乘积。此外，请注意值<em>d</em>(0)向各方披露的信息并不泄露任何信息，因为<em>R<年代ub>t</年代ub></em>（<em>x</em>完美地掩盖了的所有值<em>c</em>（<em>x</em>)，特别是它掩盖了值<em>一个</em>(0)。<em>b</em>(0)。</p><p>还需要说明各方如何生成两个独立的未知随机值的秘密共享<em>r</em>通过2次多项式<em>t</em>而且<em>t</em>．这可以通过<em>我</em>派对，为了所有人<em>我</em>= 1,…,<em>n</em>，扮演庄家并分享一个随机值<em>r<年代ub>我</年代ub></em>通过一个2阶<em>t</em>多项式<em>R</em><sup><em>我</em></sup><sub>2<em>t</em></sub>（<em>x</em>)和通过学位-<em>t</em>多项式<em>R</em><sup><em>我</em></sup><sub><em>t</em></sub>（<em>x</em>)。然后，在从各方获得该等股份后，<em>我</em>所有人的聚会<em>我</em>= 1,…,<em>n</em>定义其股份<em>R</em><sub>2<em>t</em></sub>（<em>x</em>),<em>R<年代ub>t</年代ub></em>（<em>x</em>)通过计算<我mg alt="cacm6401_d.gif" src="https://dl.acm.org/cms/attachment/90f39f60-af73-4916-a08d-765a8ca2b736/cacm6401_d.gif">而且<我mg alt="cacm6401_e.gif" src="https://dl.acm.org/cms/attachment/d367f970-83e7-45f6-b4e0-10894e40ba45/cacm6401_e.gif">．因为各方都贡献了秘密随机值<em>r</em><sub>1</年代ub>、……<em>r<年代ub>n</年代ub></em>我们有这个<我mg alt="cacm6401_f.gif" src="https://dl.acm.org/cms/attachment/66324671-c74c-4344-b6a8-81f485797ff6/cacm6401_f.gif">因此，没有任何一方知道<em>r</em>．</p><ol> <li><strong>输出重建:</年代trong>一旦双方获得了输出线上的份额，他们就可以通过简单地发送彼此的份额并通过插值重构输出来获得输出。请注意，如果需要，不同方面也可能获得不同的产出。在这种情况下，各方只将用于重建的股份发送给应该在给定线路上获得输出的相关方。</li> </ol> <p>这个协议是安全的<em>semi-honest对手</em>只要小于<em>n</em>/2方被破坏。这是因为在计算过程中，双方看到的唯一价值是秘密股份(对所隐藏的价值没有任何透露)，并且是公开的<em>d</em>(0)由于每次使用的是独立的随机共享，这些值没有显示关于线路上实际值的任何信息。注意，为了实现安全存在<em>恶意的敌人</em>谁可能偏离协议规范，就有必要利用不同的方法来防止欺骗。见Beerliová-Trubíniová和Hirt<年代up><a href="#R4">4</一个></年代up>， Chida等，<年代up><a href="#R10">10</一个></年代up>古川和林德尔<年代up><a href="#R16">16</一个></年代up>下面是一些关于如何在恶意对手存在的情况下有效实现安全性的示例。</p><p><年代trong>私人设置的十字路口。</年代trong>前面我们描述了一种方法<em>一般</em>可用于安全计算任何函数的安全计算。在许多情况下，这些通用方法实际上是最有效的(特别是在考虑恶意对手时)。然而，在某些情况下，正在被解决的函数的特定结构使我们能够找到更快的、量身定制的解决方案。在本节和下一节中，我们将展示这类函数的两个示例。</p><p>在私有集交集协议中，拥有私有值集的双方希望找到集合的交集，而不透露交集中的元素以外的任何信息。在某些情况下，需要得到交集的某些函数，例如它的大小。在这个问题上已经有了很多工作，针对半诚实和恶意对手的安全，以及不同的效率目标(少轮，低通信，低计算，等等)。在本节中，我们描述了Kolesnikov等人的协议背后的思想;<年代up><a href="#R23">23</一个></年代up>科列斯尼科夫等人的实际协议。<年代up><a href="#R23">23</一个></年代up>要复杂得多，但我们在它们的构造之下提出了概念上简单的想法。</p><hr> <blockquote> <p><em>阈值密码学的目的是使一组方能够执行密码学操作，而没有任何一方持有密钥。</em></p> </blockquote> <hr> <p>一个伪随机函数<em>F</em>是一个键控函数，其性质是函数在已知输入上的输出看起来完全随机。因此，对于任何给定的元素列表<em>x</em><sub>1</年代ub>、……<em>x<年代ub>n</年代ub></em>，一系列的值<em>F<年代ub>k</年代ub></em>（<em>x</em><sub>1</年代ub>),…<em>F<年代ub>k</年代ub></em>（<em>x<年代ub>n</年代ub></em>)是随机的。尤其是,考虑到<em>F<年代ub>k</年代ub></em>（<em>x<年代ub>我</年代ub></em>)时，确定的值是不可行的<em>x<年代ub>我</年代ub></em>．在下面的简单协议中，我们使用一个名为<em>无关伪随机函数的求值</em>．这是一种特定类型的MPC协议，由第一方进行输入<em>k</em>第二方投入<em>x</em>，另一方接收<em>F<年代ub>k</年代ub></em>（<em>x</em>)，而第一方对此一无所知<em>x</em>(注意，第二方会学到<em>F<年代ub>k</年代ub></em>（<em>x</em>)但除此之外别无其他;特别是,<em>k</em>仍然是秘密)。可以用多种方式构建这样的原语，我们在这里不进行描述。</p><p>现在，考虑有各自私人元素集的双方;表示他们<em>x</em><sub>1</年代ub>、……<em>x<年代ub>n</年代ub></em>而且<em>y</em><sub>1</年代ub>、……<em>y<年代ub>n</年代ub></em>(为简单起见，我们假设它们的列表大小相同，尽管不需要这样做)。然后，协议进行如下操作:</p><ol> <li>第一方选择钥匙<em>k</em>对于伪随机函数。</li> <li>两党共同执政<em>n</em>无关伪随机函数的计算:在<em>我</em>执行时，第一方输入<em>k</em>第二方投入<em>y<年代ub>我</年代ub></em>．结果，另一方会从中吸取教训<em>F<年代ub>k</年代ub></em>（<em>y</em><sub>1</年代ub>),…<em>F<年代ub>k</年代ub></em>（<em>y<年代ub>n</年代ub></em>)，而第一方对此一无所知<em>y</em><sub>1</年代ub>、……<em>y<年代ub>n</年代ub></em>．</li> <li>第一方在本地计算<em>F<年代ub>k</年代ub></em>（<em>x</em><sub>1</年代ub>),…<em>F<年代ub>k</年代ub></em>（<em>x<年代ub>n</年代ub></em>)，并将清单送交另一方。它可以计算这个，因为它知道<em>k</em>．</li> <li>另一方计算列表之间的交集<em>F<年代ub>k</年代ub></em>（<em>y</em><sub>1</年代ub>),…<em>F<年代ub>k</年代ub></em>（<em>y<年代ub>n</年代ub></em>),<em>F<年代ub>k</年代ub></em>（<em>x</em><sub>1</年代ub>),…<em>F<年代ub>k</年代ub></em>（<em>x<年代ub>n</年代ub></em>)，并输出所有值<em>y<年代ub>j</年代ub></em>的<em>F<年代ub>k</年代ub></em>（<em>y<年代ub>j</年代ub></em>)在十字路口。(政党知道这些价值，因为它知道两者之间的联系<em>y<年代ub>j</年代ub></em>而且<em>F<年代ub>k</年代ub></em>（<em>y<年代ub>j</年代ub></em>))。</li> </ol> <p>协议只透露了交集，因为第一方什么也不知道<em>y</em><sub>1</年代ub>、……<em>y<年代ub>n</年代ub></em>从无关伪随机函数的值中，第二方对的值一无所知<em>x<年代ub>j</年代ub></em>它们不在交集中因为伪随机函数隐藏了原像的值。因此，这在半诚实模型中是安全的。在恶意模型中实现安全性更具挑战性。例如，恶意对手可能对第一个元素和后面的元素使用不同的键，然后得到的结果是值<em>y</em><sub>1</年代ub>当且仅当它是第二方列表的第一个元素时，则在输出中。</p><p>目前最高效的私有集交集协议使用先进的哈希技术，可以在几秒钟内处理数百万项。<年代up><a href="#R23">23</一个>，<一个href="#R31">31</一个>，<一个href="#R32">32</一个></年代up></p> <p><strong>阈值加密。</年代trong>阈值密码学的目的是使一组方能够执行密码学操作，而没有任何一方持有密钥。这可以用来确保事务上有多个签署人，或者通过在不同的设备上分散密钥共享来保护密钥不被窃取(因此攻击者必须破坏所有设备才能了解密钥)。我们为两方RSA演示了一个非常简单的协议，但警告说，对于更多的方(和其他方案)，它要复杂得多。</p><p>RSA是一种带有public-key (<em>e</em>，<em>N</em>)及私钥(<em>d</em>，<em>N</em>)。RSA的基本函数是<em>y</em>＝<em>x<年代up>e</年代up></em>国防部<em>N</em>，其逆函数为<em>x</em>＝<em>y<年代up>d</年代up></em>国防部<em>N</em>．RSA通过填充消息和其他技术用于加密和签名。这里，我们涉及到<em>生</em>RSA函数，并展示如何在双方之间安全地计算逆，其中任何一方都不能计算函数本身。为了达到这一目的，该制度的设立是由第一方持有(<em>d</em><sub>1</年代ub>，<em>N</em>)及持有(<em>d</em><sub>2</年代ub>，<em>N</em>),<em>d</em><sub>1</年代ub>而且<em>d</em><sub>2</年代ub>在约束条件下是随机的<em>d</em><sub>1</年代ub>+<em>d</em><sub>2</年代ub>＝<em>d</em>．(更正式地说，指数的顺序为<em>N</em>) -欧拉函数-因此值<em>d</em><sub>1</年代ub>，<em>d</em><sub>2</年代ub>∈Z<年代ub>（<em>N</em>）</年代ub>在约束条件下是随机的<em>d</em><sub>1</年代ub>+<em>d</em><sub>2</年代ub>＝<em>d</em>国防部(<em>N</em>))。以便安全地计算<em>y<年代up>d</年代up></em>国防部<em>N</em>，第一方计算<em>x</em><sub>1</年代ub>＝<em>y</em><sup><em>d</em>1</年代up>国防部<em>N</em>，另一方计算<em>x</em><sub>2</年代ub>＝<em>y</em><sup><em>d</em>2</年代up>国防部<em>N</em>，这些值在它们之间交换。然后，双方计算<em>x</em>＝<em>x</em><sub>1</年代ub>·<em>x</em><sub>2</年代ub>国防部<em>N</em>，通过检查输出是否正确<em>x<年代up>e</年代up></em>＝<em>y</em>国防部<em>N</em>，如果是则输出<em>x</em>．注意这个计算是正确的，因为</p><p><我mg alt="ueq01.gif" src="https://dl.acm.org/cms/attachment/ef5c766f-f83b-4b69-93b3-d0eeeaeca03e/ueq01.gif"></p> <p>此外，观察给定的输出<em>x</em>和它分享<em>d</em><sub>1</年代ub>私有指数，第一方可以计算<em>x</em><sub>2</年代ub>＝<em>y / y</em><sup><em>d</em></sup><sub>1</年代ub>国防部<em>N</em>(这是正确的，因为<em>x</em><sub>2</年代ub>＝<em>y</em><sup><em>d</em><sub>2</年代ub></sup>＝<em>y</em><sup><em>d</em><sub>1</年代ub>+<em>d</em><sub>2</年代ub>- d<年代ub>1</年代ub></sup>＝<em>y / y</em><sup><em>d</em><sub>1</年代ub></sup>国防部<em>N</em>)。这意味着第一方只从协议的输出中学习到任何东西，因为它可以从自己的输入和输出中自行生成它在协议中接收到的消息。</p><p>我们强调，成熟的阈值密码学支持涉及多方的仲裁批准(例如，要求(<em>t</em>+ 1)的-<em>n</em>各方签署，并维护任何子集的安全<em>t</em>损坏的党派)。这需要额外的工具，但也可以非常有效地完成;看到Shoup博士<年代up><a href="#R35">35</一个></年代up>和引用。最近，由于阈值ECDSA在保护加密货币方面的应用，人们对它产生了浓厚的兴趣。<年代up><a href="#R14">14</一个>，<一个href="#R17">17</一个>，<一个href="#R26">26</一个>，<一个href="#R27">27</一个></年代up></p> <p><strong>Dishonest-majority MPC。</年代trong>在前面，我们描述了一个MPC通用协议，只要对手不能破坏超过少数当事人，该协议就是安全的。在多数不诚实的情况下，包括重要的两党(其中一方腐败)的特殊情况，需要完全不同的方法。从海狸等人的最初协议开始，在这个方向上已经进行了大量的工作。<年代up><a href="#R2">2</一个></年代up>， Goldreich等人。<年代up><a href="#R18">18</一个></年代up>,和姚明<年代up><a href="#R37">37</一个></年代up>那是关于可行性的，包括最近很多关于实现具体效率的工作。这方面的工作太多了，任何试图在这里描述它的尝试都将是严重的不公正。因此，我们建议读者参考埃文斯等人。<年代up><a href="#R15">15</一个></年代up>参阅主要方法的描述，包括GMW不经意转移方法，<年代up><a href="#R18">18</一个>，<一个href="#R21">21</一个></年代up>的电路,<年代up><a href="#R2">2</一个>，<一个href="#R37">37</一个></年代up>cut-and-choose,<年代up><a href="#R28">28</一个></年代up>SPDZ,<年代up><a href="#R13">13</一个></年代up>TinyOT,<年代up><a href="#R29">29</一个></年代up>MPC在头上，<年代up><a href="#R22">22</一个></年代up>和更多。(我们要强调的是，对于每一种方法，我们都进行了许多后续工作，取得了越来越好的效率。)</p><p><年代trong>高效实用的MPC。</年代trong>前20年的MPC研究主要集中在可行性:如何定义和证明多种对抗和网络模型的安全性，在什么样的密码和设置假设下可以实现MPC，等等。在接下来的十年中，我们看到了大量关于如何使MPC变得越来越高效的研究。这个过程的第一步是纯算法的，重点是减少密码原语的开销。在此之后，考虑了其他有重大影响的问题:内存和通信，硬件指令(如AES-NI)的使用，等等。此外，由于大多数通用协议都需要被计算函数的电路表示，而电路很难手动构造，因此还构造了从代码到电路的专用MPC编译器。这些编译器对MPC的特殊属性非常敏感。例如，在许多协议中，XOR门的计算几乎是免费的，<年代up><a href="#R24">24</一个></年代up>相比之下，和/或门的成本。因此，这些编译器减少了AND门的数量，甚至以牺牲更多的XOR门为代价。此外，一些协议的计算成本是由电路大小决定的，而另一些协议则是由电路深度决定的。因此，一些编译器旨在生成尽可能小的电路，而另一些编译器旨在生成具有最低深度的电路。参见Hastings等人。<年代up><a href="#R19">19</一个></年代up>查看MPC通用编译器及其可用性的调查。这些进步的结合使得MPC在短短几年内的性能提高了许多数量级，为MPC在实践中用于解决各种各样的问题铺平了道路。参见Evans等人。<年代up><a href="#R15">15</一个></年代up>(第4章)描述了这些进步中最重要的几个。</p><p><一个href="#PageTop">回到顶部</一个></p><p><一个name="body-6"></a></p> <h3>MPC的用例</h3> <p>关于MPC可以发挥作用的理论例子有很多。它可用于以保护隐私的方式比较禁飞名单，为医疗和其他目的进行私人DNA比较，收集统计数据而不透露任何信息，除了汇总结果，还有很多其他用途。直到最近，关于MPC的潜在好处，我们要说的几乎都是这些使用的理论例子。然而，今天的情况大不相同。MPC现在正被用于多个真实的用例中，而且使用量正在快速增长。</p><p>我们将用一些实际部署的MPC应用程序示例来结束本文。</p><p><年代trong>波士顿工资差距。</年代trong><sup><a href="#R25">25</一个></年代up>2017年，波士顿妇女劳动力委员会使用MPC计算了114家公司166,705名员工的薪酬统计数据，约占大波士顿地区劳动力的16%。MPC的使用至关重要，因为考虑到隐私问题，公司不会提供原始数据。结果显示，波士顿地区的性别差距甚至比美国劳工统计局此前估计的还要大。这是一个有力的例子，证明了MPC可以用于社会公益。</p><p><年代trong>广告转换。</年代trong><sup><a href="#R20">20.</一个></年代up>为了计算从广告到实际购买的准确转化率，谷歌计算<em>大小</em>显示广告的人名单与实际购买广告商品的人名单之间的交集。当商品不是在网上购买，因此无法跟踪显示的广告的购买连接时，谷歌和支付广告的公司必须共享各自的列表，以便计算交集大小。为了在计算时只显示交集的大小，谷歌使用了一种协议来保护隐私集交集。Ion等人描述了谷歌使用的协议。<年代up><a href="#R20">20.</一个></年代up>尽管这个协议还远远不是目前已知的最有效的协议，但它很简单，满足了他们的计算需求。</p><p><年代trong>用于加密密钥保护的MPC。</年代trong><sup><a href="#R38">38</一个></年代up>如前所述，阈值密码学提供了在不将私钥保存在任何单一位置的情况下执行密码学操作(如解密和签名)的能力。许多公司正在使用阈值加密技术作为传统硬件的替代方案来保护加密密钥。在这个应用程序中，MPC不是在持有私有信息的不同方之间运行的。相反，一个单一的组织使用MPC来生成密钥并计算加密操作，而密钥从来没有在一个单独的地方，它可能被窃取。通过将密钥股份放置在不同的环境中，对手很难窃取所有的股份并获得密钥。在这种情况下，前面描述的主动模型是最合适的。在此上下文中，MPC的另一个用途是保护用于保护加密货币和其他数字资产的签名密钥。在这里，定义一般的法定人数的能力支持对严格的政策进行加密执行，以批准金融交易，或者在托管提供者和客户机之间共享密钥。</p><p><年代trong>政府合作。</年代trong><sup><a href="#R39">39</一个></年代up>不同的政府部门拥有公民的信息，将这些信息关联起来可以获得显著的好处。然而，汇集私人信息所涉及的隐私风险可能会阻止政府这么做。例如，2000年，加拿大取消了一个收集公民信息的项目，因为有人批评他们正在建立一个“老大哥数据库”。利用MPC，爱沙尼亚收集了加密的所得税记录和高等教育记录，以分析在学位期间工作的学生是否比那些只专注于学习的学生更容易不及格。通过使用MPC，政府保证了所有的数据保护和税收保密法规都得到了遵守，而不会失去数据效用。</p><p><年代trong>保护隐私分析。</年代trong><sup><a href="#R40">40</一个></年代up>机器学习在许多领域的使用正在迅速增加。MPC可以用来对数据运行机器学习模型，而不向数据所有者透露模型(包含宝贵的知识产权)，也不向模型所有者透露数据。此外，为了反洗钱、风险评分计算等目的，还可以在组织之间进行统计分析。</p><p><一个href="#PageTop">回到顶部</一个></p><p><一个name="body-7"></a></p> <h3>讨论</h3> <p>安全多方计算是研究长期博弈中成功的一个极好的例子。<年代up><a href="#R36">36</一个></年代up>在MPC研究的最初20年里，没有任何应用，MPC是否会被使用还是个问题。在过去的十年中，MPC可用性的状态经历了彻底的转变。在这段时间里，MPC不仅变得足够快，可以在实践中使用，而且得到了业界的认可，并实现了向实际部署的技术的过渡。MPC仍然需要大量的专业知识来部署，并且需要更多的研究突破来使安全计算在大型数据集和复杂问题上具有实用性，并使其易于为非专家使用。过去几年的进展和大量的应用研究正在产生，描绘了MPC在实践中的积极前景。与此同时，MPC的深入理论工作继续进行，确保应用的MPC解决方案建立在坚实的科学基础上。</p><p><我mg alt="uf1.jpg" src="https://dl.acm.org/cms/attachment/9fc91c6c-4ea4-4f29-843d-a11ea91a5e85/uf1.jpg"><br><strong>数字观看作者在独家报道中讨论这项工作<em>通信</em>视频。<一个href="//www.eqigeno.com/videos/secure-multiparty-computation">//www.eqigeno.com/videos/secure-multiparty-computation</一个></年代trong></p> <p><a href="#PageTop">回到顶部</一个></p><d我v id="article-references"> <a name="references"></a> <h3>参考文献</h3> <p><a name="R1"></a>1.针对隐蔽对手的安全:针对现实对手的有效协议。<em>j . Cryptol。23</em>， 2 (2010)， 281-343<em>移行细胞癌2007</em>)。</p><p><一个n一个me="R2"></a>2.比弗，米卡利，罗加韦，P.安全协议的整数复杂度。在<em>22<年代up>nd</年代up>获得STOC</em>(1990), 503 - 513。</p><p><一个n一个me="R3"></a>3.Ben-Or, M.， Goldwasser, S.， Wigderson .非密码容错分布式计算的完整性定理。在<em>20.<年代up>th</年代up>获得STOC</em>(1988), 1 - 10。</p><p><一个n一个me="R4"></a>4.Beerliová-Trubíniová，张晓东，张晓东。线性通信复杂度的完全安全MPC。在<em>移行细胞癌2008</em>(2008)，施普林格(LNCS 4948)， 213-230。</p><p><一个n一个me="R5"></a>5.多方加密协议的安全性和组成。<em>j . Cryptol。13</em>， 1(2000)， 143-202。</p><p><一个n一个me="R6"></a>6.通用组合安全性:加密协议的新范式。在<em>42<年代up>nd</年代up>foc</em>(2001), 136 - 145。</p><p><一个n一个me="R7"></a>7.Canetti, R.， Herzberg, A.在存在瞬时故障的情况下维护安全性。在<em>密码94</em>(1994)， Springer-Verlag (LNCS 839)， 425-438。</p><p><一个n一个me="R8"></a>8.Canetti, R.， Lindell, Y.， Ostrovsky, R.， Sahai, A.普遍可组合的两方和多方计算。在<em>34<年代up>th</年代up>获得STOC</em>(2002), 494 - 503。<一个href="https://eprint.iacr.org/2002/140">http://eprint.iacr.org/2002/140</一个>．</p><p><一个n一个me="R9"></a>9.乔姆，D. Crépeau, C. Damgård, I.多方无条件安全协议。在<em>20.<年代up>th</年代up>获得STOC</em>(1988), 11-19。</p><p><一个n一个me="R10"></a>10.Chida, K.， Genkin, K.， Hamada, K.， Ikarashi, D.， Kikuchi, R.， Lindell, Y.， Nof, A.针对恶意对手的快速大规模诚实多数MPC。在<em>密码2018</em>(2018)，施普林格(LNCS 10993)， 34-64。</p><p><一个n一个me="R11"></a>11.克里夫，R.当一半的处理器都有故障时，掷硬币的安全性限制。在<em>18<年代up>th</年代up>获得STOC</em>(1986), 364 - 369。</p><p><一个n一个me="R12"></a>12.Damgård, I.， Nielsen, J.可伸缩和无条件安全的多方计算。在<em>密码2007</em>(2007)，施普林格(LNCS 4622)， 572-590。</p><p><一个n一个me="R13"></a>13.Damgård, I.，帕斯特罗，V.， Smart, N.P, Zakarias, S.从某种同态加密的多方计算。在<em>密码2012</em>(2012)，施普林格(LNCS 7417)， 643-662。</p><p><一个n一个me="R14"></a>14.Doerner, J.， Kondi, Y.， Lee, E.， Shelat, A. ECDSA假设的阈值ECDSA:多方案例。在<em>2019年IEEE安全与隐私研讨会</em>(2019), 1051 - 1066。</p><p><一个n一个me="R15"></a>15.埃文斯，D.;科列斯尼科夫，V.;<em>安全多方计算的实用介绍</em>．现在出版社,2018。</p><p><一个n一个me="R16"></a>16.Furukawa, J, Lindell, Y.三分之二的诚实-大多数的MPC恶意对手几乎以半诚实为代价。在<em>26<年代up>th</年代up>ACM CCS</em>(2019), 1557 - 1571。</p><p><一个n一个me="R17"></a>17.Gennaro, R, Goldfeder, S.带有快速无信任设置的快速多方阈值ECDSA。在<em>25<年代up>th</年代up>ACM CCS 2018</em>(2018), 1179 - 1194。</p><p><一个n一个me="R18"></a>18.O.戈德里奇，米卡利，S.威格森，A.如何玩任何心理游戏-诚实多数协议的完整性定理。在<em>19<年代up>th</年代up>获得STOC</em>(1987)， O. golddreich主编<em>密码学基础-基本应用</em>(2004)，剑桥大学出版社，218-229。</p><p><一个n一个me="R19"></a>19.Hastings, M.， hemway, B.， Noble, D.， Zdancewic, S. SoK:用于安全多方计算的通用编译器。在<em>2019年IEEE安全与隐私研讨会</em>(2019), 1220 - 1237。</p><p><一个n一个me="R20"></a>20.Ion, M.， Kreuter, B.， Nergiz, E.， Patel, S.， Saxena, S.， Seth, K.， Shanahan, D.， Yung, M.私有交叉和协议及其用于归因聚合Ad转换的应用。<em>IACR密码学ePrint档案</em>，《报告2017》(2017)，738。</p><p><一个n一个me="R21"></a>21.伊沙伊，Y.， Kilian, J.， Nissim, K.， Petrank, E.有效扩展不经意转移。在<em>密码2003</em>(2003)，施普林格(LNCS 2729)， 145-161。</p><p><一个n一个me="R22"></a>22.Ishai, Y.， Prabhakaran, M.， Sahai, A.建立无关传输的密码学-有效。在<em>密码2008</em>(2008)，施普林格(LNCS 5157)， 572-591。</p><p><一个n一个me="R23"></a>23.Kolesnikov, V.， Kumaresan, R.， Rosulek, M.， Trieu, N.高效批量无关PRF及其在私有集合交集上的应用。在<em>23<年代up>理查德·道金斯</年代up>ACM CCS</em>(2016), 818 - 829。</p><p><一个n一个me="R24"></a>24.改进的乱码电路:自由异或门及其应用。在<em>ICALP 2008</em>(2008)，施普林格(LNCS 5126)， 486-498。</p><p><一个n一个me="R25"></a>25.Lapets, A.， Jansen, F.， Albab, k.d.， Issa, R.， Qin, L.， Varia, M.， Bestavros, A.用于评估和解决经济不平等的可访问的隐私保护网络数据分析。在<em>指南针2018</em>(2018), 48:1-48:5。</p><p><一个n一个me="R26"></a>26.林德尔，Y.快速安全的两方ECDSA签名。在<em>密码2017</em>(2017)，施普林格(LNCS 10402)， 613-644。</p><p><一个n一个me="R27"></a>27.Lindell, Y.， Nof, A.具有实际分布式密钥生成和加密货币托管应用的快速安全多方ECDSA。在<em>25<年代up>th</年代up>ACM CCS</em>(2018), 1837 - 1854。</p><p><一个n一个me="R28"></a>28.Lindell, Y.， Pinkas, B.在恶意对手存在的情况下，用于安全两方计算的有效协议。在<em>EUROCRYPT</em>(2007),施普林格,52 - 78。</p><p><一个n一个me="R29"></a>29.Nielsen, j.b.， Nordholt, p.s.， Orlandi, C.， Burra, S.S.一种实用的主动安全两方计算的新方法。在<em>密码2012</em>(2012)，施普林格(LNCS 7417)， 681-700。</p><p><一个n一个me="R30"></a>30.Ostrovsky, R, Yung, M.如何抵御移动病毒攻击。在<em>10<年代up>th</年代up>PODC</em>(1991), 51-59。</p><p><一个n一个me="R31"></a>31.Pinkas, B.， Rosulek, M.， Trieu, N.， Yanai, A.聚光灯:稀疏OT扩展的轻量级私有集合交集。在<em>密码2019</em>(2019)，施普林格(LNCS 11694)， 401-431。</p><p><一个n一个me="R32"></a>32.Pinkas, Schneider, T, Zohner, M.基于OT扩展的可扩展私有集交集。<em>隐私权第21条</em>(2018)， 1-35。</p><p><一个n一个me="R33"></a>33.拉宾，T.，本-奥尔，M.可验证的秘密共享和诚实多数的多方协议。在<em>21<年代up>圣</年代up>获得STOC</em>(1989), 73 - 85。</p><p><一个n一个me="R34"></a>34.沙米尔，a，如何分享秘密。<em>CACM 22</em>， 11(1979)， 612-613。</p><p><一个n一个me="R35"></a>35.实用阈值签名。在<em>EUROCRYPT 2000</em>(2000)，施普林格(LNCS 1807)， 207-220。</p><p><一个n一个me="R36"></a>36.研究的长期游戏。<em>CACM 62</em>9(2019)， 7。</p><p><一个n一个me="R37"></a>37.如何产生和交换秘密。在<em>27<年代up>th</年代up>foc</em>(1986), 162 - 167。</p><p><一个n一个me="R38"></a>38.的技术。<一个href="http://www.unboundtech.com">www.unboundtech.com</一个>), Sepior (<一个href="http://sepior.com">sepior.com</一个>）和Curv (<一个href="http://www.curv.co">www.curv.co</一个>）。</p><p><一个n一个me="R39"></a>39.Sharemind,<一个href="https://sharemind.cyber.ee">https://sharemind.cyber.ee</一个>．</p><p><一个n一个me="R40"></a>40.二元性,<一个href="https://duality.cloud">https://duality.cloud</一个>．</p></d我v> <p><a href="#PageTop">回到顶部</一个></p><d我v id="article-authorinfo"> <a name="authorinfo"></a> <h3>作者</h3> <p><strong>耶胡达Lindell</年代trong>（<一个href="mailto:lindell@biu.ac.il">lindell@biu.ac.il</一个>他是以色列巴伊兰大学计算机科学系的教授，也是Unbound Tech的首席执行官和联合创始人。</p></d我v> <div id="article-permission"> <hr> <a name="permission"></a> <p><strong>©2021 0001 - 0782/21/1 ACM</年代trong></p> <p>允许为个人或课堂使用部分或全部作品制作数字或硬拷贝，但不得为盈利或商业利益而复制或分发，且副本在首页上附有本通知和完整的引用。除ACM外，本作品的其他组件的版权必须受到尊重。允许有信用的文摘。以其他方式复制、重新发布、在服务器上发布或重新分发到列表，都需要事先获得特定的许可和/或费用。请求发布的权限<一个href="mailto:permissions@acm.org">permissions@acm.org</一个>传真(212)869-0481。</p></d我v> <p>数字图书馆是由计算机协会出版的。版权所有©2021 ACM, Inc.</p><d我v class="clearer"></div> <hr class="thick"> <a name="comments"></a> <div id="ArticleComments"> <span id="CommentHeader"></span> </div> <p class="view-all">没有发现记录</p></d我v> <div class="col3 floatLeft lastCol"> <div class="signInWidget widget"> <span class="signInTitle">登录<年代p一个nclass="noTransform">为完全访问</年代p一个n></年代p一个n> <form action="//www.eqigeno.com/login" method="post"> <div class="portaInputSignIn"> <label for="inputUser" class="inField">用户名</label> <input name="current_member[user]" type="text" id="inputUser"> </div> <div class="portaInputSignIn"> <label for="inputPassword" class="inField">密码</label> <input type="password" name="current_member[passwd]" id="inputPassword"> </div> <a href="//www.eqigeno.com/accounts/forgot-password" class="subText">»忘记密码?</一个><一个href="//www.eqigeno.com/accounts/new" class="subText"><strong>»创建ACM Web帐号</年代trong></a> <button type="submit" class="submitSignIn">登录</button> </form> </div> <div id="article-contents-widget" class="widget contentsWidget"> <h6 class="loud">文章内容:</h6> <ul> <li class="miniWidgetItem"><a href="#body-1">简介</一个></li> <li class="miniWidgetItem"><a href="#body-2">关键的见解</一个></li> <li class="miniWidgetItem"><a href="#body-3">安全政策委员会</一个></li> <li class="miniWidgetItem"><a href="#body-4">MPC的可行性</一个></li> <li class="miniWidgetItem"><a href="#body-5">技术</一个></li> <li class="miniWidgetItem"><a href="#body-6">MPC的用例</一个></li> <li class="miniWidgetItem"><a href="#body-7">讨论</一个></li> <li class="miniWidgetItem"><a href="#references">参考文献</一个></li> <li class="miniWidgetItem"><a href="#authorinfo">作者</一个></li> </ul> </div> <div id="SideColumn"> <div id="related-news-opinion-widget" class="blueWidget widget noBottom" data-swiftype-index="false"> <span class="widgetName">更多新闻和观点</年代p一个n><d我v class="singleNews firstNews"> <h5><a href="//www.eqigeno.com/magazines/2021/11/256376-filtering-for-beauty">过滤为美</一个></h5> <span class="dateNews">以斯帖Shein</年代p一个n></d我v> <div class="singleNews"> <h5><a href="//www.eqigeno.com/magazines/2022/3/258906-bursting-a-few-balloons-regarding-the-famous-darpa-red-balloon-challenge">关于著名的DARPA红气球挑战</一个></h5> <span class="dateNews">斯图尔特Madnick</年代p一个n></d我v> <div class="singleNews"> <h5><a href="//www.eqigeno.com/blogs/blog-cacm/258797-data-anonymization-using-the-random-sum-method">使用随机和方法的数据匿名化</一个></h5> <span class="dateNews">Alina Alemaskina和Andrei Sukhov</年代p一个n></d我v> </div> </div> </div> <a class=" hidden video-link" href="//www.eqigeno.com/magazines/2021/1/<iframe src=" https: player.vimeo.com video 481422927" width="640" height="360" frameborder="0" allow="autoplay; fullscreen" allowfullscreen>" ></一个></年代ect我on> <button class="to-top"></button> <footer> <nav> <ul> <li class="first-child"><a href="//www.eqigeno.com/about-communications/author-center" title="对于作者" >对于作者</一个></li> <li><a href="http://www.acm-media.org/" title="为广告客户" target="_blank">为广告客户<我mg src="//www.eqigeno.com/images/icons/new_page.png" alt="为广告客户" ></一个></li> <li><a href="//www.eqigeno.com/privacy" title="隐私政策" >隐私政策</一个></li> <li><a href="//www.eqigeno.com/help" title="帮助" >帮助</一个></li> <li><a href="//www.eqigeno.com/about-communications/contact-us" title="联系我们" >联系我们</一个></li> <li><a class="toggle-mobile" href="https://m-www.eqigeno.com/magazines/2021/1/249459-secure-multiparty-computation/fulltext?mobile=true" data-domain="www.eqigeno.com">手机网站</一个></li> </ul> </nav> <span id="footerText">vwin德赢ac米兰合作</span> </footer> </div> </div>  <div style="text-align:center;margin-bottom:5px;"><form action="http://www.baidu.com/baidu" target="_blank"><div bgcolor="#FFFFFF" style="text-align:center;"><input name="tn" type="hidden" value="baidu"><a href="http://www.baidu.com/"><img src="http://img.baidu.com/img/logo-80px.gif" width="80px" height="29px" alt="Baidu" align="bottom" border="0"></a><input type="text" name="word" size="30" placeholder="" value=""><input type="submit" value="baidusousou"></div></form></div><div id="so360" style="text-align:center;margin-bottom:5px;"><form action="https://www.so.com/" target="_blank" id="so360form"><img src="http://p1.qhimg.com/d/_onebox/search.png" width="100px" height="25px"> <input type="text" autocomplete="off" name="q" id="so360_keyword" placeholder="" value=""> <input type="submit" id="so360_submit" value="360sousou"> <input type="hidden" name="ie" value="gbk"><input type="hidden" name="src" value="zz"> <input type="hidden" name="site" value="so.com"> <input type="hidden" name="rg" value="1"></form></div><div id="sogou" style="text-align:center;margin-bottom:5px;"><form action="https://www.sogou.com/" target="_blank" id="so360form"><img src="https://www.sogou.com/web/index/images/logo_440x140.v.4.png" width="100px" height="25px"> <input type="text" autocomplete="off" name="q" id="sogou.com_keyword" placeholder="" value=""> <input type="submit" id="sogou_submit" value="sougou"> <input type="hidden" name="ie" value="gbk"><input type="hidden" name="src" value="zz"> <input type="hidden" name="site" value="so.com"> <input type="hidden" name="rg" value="1"></form></div><div align="center"><a target="_blank" href="/sitemap.xml">map</a></div></body> </html>