So sánh số nguyên an toàn SS/HE/GC/OT

Tôi đã đọc một số bài báo để tìm cách 'nhanh hơn' để so sánh hai số nguyên mà không tiết lộ giá trị thực của chúng. Nhưng tôi nghĩ rằng tôi hơi bị lạc trong những bài báo đó do kiến ​​​​thức hạn chế của tôi về mật mã. Ví dụ, có một số bài báo so sánh hiệu quả của các giao thức dựa trên HE/ dựa trên GC/ dựa trên OT https://eprint.iacr.org/2016/544.pdf của Geoffroy Couteau (tôi vẫn còn hơi khó hiểu bài báo vào lúc này). Câu hỏi lớn nhất của tôi bây giờ là: tại sao các bài báo hiện có hiếm khi so sánh với các phương pháp chỉ dựa trên chia sẻ bí mật? Tôi nghĩ rằng chia sẻ bí mật là một cách tiếp cận khá đơn giản, có điều gì khá khó hiểu nhưng tôi chỉ nhớ điều đó làm cho việc chia sẻ bí mật dựa trên so sánh an toàn Không cạnh tranh với các phương pháp dựa trên HE/GC/OT đó? Tôi biết rằng câu hỏi của tôi có vẻ khá chung chung, nhưng tôi hơi lạc lõng ở đây và bất kỳ gợi ý nào cũng sẽ hữu ích.

Tôi nghĩ rằng có sự nhầm lẫn với thuật ngữ "tính toán an toàn từ chia sẻ bí mật". Hãy để tôi cố gắng làm rõ.

Có hai cài đặt chính để tính toán an toàn: cài đặt đa số trung thực (trong số $n$ các bên, nhiều nhất $(n-1)/2$ không trung thực) và bối cảnh đa số không trung thực (lên đến $n-1$ các bên có thể không trung thực). Hai cài đặt có một sự khác biệt rất quan trọng: cài đặt đầu tiên có thể đạt được mà không cần thực hiện bất kỳ giả định tính toán nào, vì cài đặt này có thể an toàn ngay cả trước các bên không trung thực với sức mạnh tính toán vô hạn. Mặt khác, cái thứ hai "trả" khả năng chống tham nhũng mạnh mẽ hơn, bằng cách nhất thiết phải yêu cầu các giả định tính toán (một giao thức MPC chiếm đa số không trung thực không thể an toàn trước các bên không bị ràng buộc về mặt tính toán).

Ở đây, bạn đang nói về so sánh an toàn và trích dẫn bài báo của tôi, vì vậy tôi cho rằng bạn đang nói về tính toán an toàn của hai bên. Tất nhiên, tính toán của hai bên thuộc loại thứ hai: bạn không thể có đa số trung thực giữa hai người chơi (trừ khi mọi người đều trung thực, trong trường hợp đó không có gì để bảo vệ). Điều này có nghĩa là bạn phải sử dụng giả thiết tính toán.

Chia sẻ bí mật là không phải một giả định tính toán. Chia sẻ bí mật tồn tại vô điều kiện: Ví dụ, chia sẻ bí mật Shamir chỉ là phép nội suy đa thức. Do đó, có thể chứng minh được Không thể nào để xây dựng một giao thức tính toán 2 bên an toàn để so sánh chỉ sử dụng chia sẻ bí mật. Tất cả các giao thức phải dựa trên một giả định tính toán, có thể là mã hóa đồng cấu, truyền không rõ ràng hoặc thứ gì khác.

Tôi nghĩ rằng nguồn gốc của sự nhầm lẫn có thể đến từ thuật ngữ phổ biến trong MPC: nhiều người sử dụng thuật ngữ "MPC dựa trên chia sẻ bí mật", ngay cả trong bối cảnh đa số không trung thực. Nhưng thuật ngữ này chỉ đơn giản có nghĩa là các kỹ thuật chia sẻ bí mật là được sử dụng trong giao thức, thường theo cách tương tự như giao thức GMW. Tuy nhiên, điều đó không có nghĩa là giao thức chỉ sử dụng chia sẻ bí mật - vì điều đó là không thể. Thông thường, khi chúng tôi nói "MPC dựa trên chia sẻ bí mật", chúng tôi đề cập đến một giao thức MPC thực sự sử dụng các kỹ thuật chia sẻ bí mật và chuyển giao không rõ ràng.

Vì vậy, "các phương pháp dựa trên chia sẻ bí mật" để so sánh an toàn, chính xác như bài báo của tôi, các phương pháp sử dụng chuyển giao không biết như một giả định tính toán. Nếu bạn xem bài viết của tôi trong phần 1.5, tôi cũng đã so sánh giao thức của mình với "2PC chung được áp dụng cho [GSV07]". Ở đây, '2PC chung' đề cập đến 2PC kiểu GMW tiêu chuẩn, chính xác là cái thường được gọi là 'MPC dựa trên chia sẻ bí mật'. Giao thức kiểu GMW yêu cầu biểu diễn mạch boolean của hàm đích; đó là lý do tại sao tôi nói "áp dụng cho [GSV07]", cung cấp chính xác một mạch như vậy. Do đó, tôi so sánh công việc của mình với cái thường được gọi là 'MPC chia sẻ bí mật' - nhưng đơn giản là tôi không sử dụng thuật ngữ có vẻ là nguồn gốc khiến bạn nhầm lẫn.