密码算法与协议7_安全多方计算协议分析.ppt

* * Addition gate c1 = a1+b1 c2 = a2+b2 c1+c2 = a1+a2+b1+b2 * * NOT gate NOT(a) = NOT(a1+a2) NOT(a) = NOT(a1)+a2 * * Multiplication gate c1+c2 = (a1+a2)(b1+b2) (c1,c2) should be uniformly chosen amongst all solutions We use Oblivious Transfer * * Oblivious transfer in the case of semi-honest parties Sender has t1, t2, …, tk (bits) Receiver chooses some 1 ≤ i ≤ k Goal: Receiver gets ti, Sender does not know i Learns nothing tj Alice j Bob t0, t1 1-out-of 2 Oblivious Transfer (OT12) * * OT Using RSA for semi-honest Sender chooses RSA keys, sends public key to Receiver Receiver chooses random e1, e2, …, ek Receiver computes RSApub(ei) Receiver sends Sender: Sender computes: * * OT Using RSA for semi-honest Sender sends Receiver: Receiver computes: * * Privately computing c1+c2=(a1+a2)(b1+b2) We use Oblivious transfer with four shares Party 1 chooses a random c1 in 0,1 Party 1 has a1, b1, and plays the OT sender with Party 2 has a2, b2, and plays the OT receiver with * * Correctness (1,1) (1,0) (0,1) (0,0) (a2,b2) 4 3 2 1 i = 1 + 2a2 + b2 c1+ (b1+1)(a1+1) c1+b1(a1+1) c1+a1(b1+1) c1+a1b1 Output (c2) * * Protocol: 输入阶段：n 个参与者, P1 , ,Pn 拥有各自的函数输入自变量xi(i = 1,2, n) ∈{0,1} , Pi 将其自变量xi随机分解成 xi,1,…,xi,n 使得xi=xi,1⊕xi,2 ⊕…⊕xi,n , xi,j, 秘密发送给Pj 。 计算阶段： （1）二元XOR 运算——设运算逻辑上的输入分别为a,b，且a,b 已经分 别被表示成n a = a1⊕a2⊕…⊕an ，b = b1⊕b2 ⊕…⊕ bn，其中 Pi 只知 道ai ,bj 。则经过XOR 运算后，各Pi将其XOR 运算输出设置为ai⊕bi 。运算的正确性可由下式保证： a⊕b=(a1⊕a2⊕…⊕an) ⊕(b1⊕b2⊕…⊕bn) =(a1⊕ b1)⊕(a2⊕b2) ⊕ … ⊕(an⊕bn) 对于n=2的情况自然成立。 * * （2）、二元AND 运算——设运算逻辑上的输入分别为a,b 且a,b 已经分别被表示成且a,b 已经分别被表示成n a = a1⊕a2⊕…⊕an ，b = b1⊕b2 ⊕…⊕ bn，其中 Pi 只知道ai ,bj 。我们的目标是得到c1,c2,…cn 保证Pi 只知ci并满足 (c1⊕c2⊕…⊕cn)= a.b=(a1⊕a2⊕…⊕an).(b1⊕b2⊕…⊕bn) 我们以n=2为例来说明过程。 这时候我们的目标是得到c1, c2 ，保证P1 只知道c1， P2 只知道c2， 使得(c1⊕c2)= a.b=(a1⊕a2).(b1⊕b2) 可以利用OT[( t1,t2,t3,t4),i,S,R]达到我们的目标： P1充当S 的角色， P2 充当R 的角色， P1 随机的选择 c1 ∈{0,1} ，并设置各参数如右P2 设置i如下。作为作为OT 的输入，执行OT[( t1,t2,t3,t4),i,S,R]协议，由OT 的性质，P2 只能得到c2 =ti=t1+2a2+b2,而P1 不知道