参考文献：

[Can01] Canetti R. Universally composable security: A new paradigm for cryptographic protocols[C]//Proceedings 42nd IEEE Symposium on Foundations of Computer Science. IEEE, 2001: 136-145.
[Gol04] Oded Goldreich. Foundations of Cryptography: Volume 2, Basic Applications. Cam bridge University Press, New York, NY, USA, 1st edition, 2004.
[Reg05]Oded Regev. On lattices, learning with errors, random linear codes, and cryptography. In STOC, pages 84–93, 2005.
[LP09] Yehuda Lindell and Benny Pinkas. A proof of security of yao’s protocol for two-party computation. J. Cryptology, 22(2):161–188, 2009.
[AJW11] Asharov G, Jain A, López-Alt A, et al. Multiparty computation with low communication, computation and interaction via threshold FHE[C]//Advances in Cryptology–EUROCRYPT 2012: 31st Annual International Conference on the Theory and Applications of Cryptographic Techniques, Cambridge, UK, April 15-19, 2012. Proceedings 31. Springer Berlin Heidelberg, 2012: 483-501.
[BGV12] Brakerski Z, Gentry C, Vaikuntanathan V. (Leveled) fully homomorphic encryption without bootstrapping[J]. ACM Transactions on Computation Theory (TOCT), 2014, 6(3): 1-36.
[MP12] Micciancio D, Peikert C. Trapdoors for lattices: Simpler, tighter, faster, smaller[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. Berlin, Heidelberg: Springer Berlin Heidelberg, 2012: 700-718.
[GSW13] Gentry C, Sahai A, Waters B. Homomorphic encryption from learning with errors: Conceptually-simpler, asymptotically-faster, attribute-based[C]//Annual Cryptology Conference. Springer, Berlin, Heidelberg, 2013: 75-92.
[CM15] Clear M, McGoldrick C. Multi-identity and multi-key leveled FHE from learning with errors[C]//Advances in Cryptology–CRYPTO 2015: 35th Annual Cryptology Conference, Santa Barbara, CA, USA, August 16-20, 2015, Proceedings, Part II 35. Springer Berlin Heidelberg, 2015: 630-656.
[MW16] Mukherjee P, Wichs D. Two round multiparty computation via multi-key FHE[C]//Advances in Cryptology–EUROCRYPT 2016: 35th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Vienna, Austria, May 8-12, 2016, Proceedings, Part II 35. Springer Berlin Heidelberg, 2016: 735-763.

注意，下文的 “TFHE” 是指：Tthreshold FHE（分布式门限解密），并非 TFHE 方案（GSW 的优化）。

文章目录

基于 TFHE 的 3 轮 MPC

基于 TFHE 的 3 轮 MPC

FHE 天然可以实现两方的 MPC 协议：Alice 生成 FHE 公私钥，将自己的输入加密，Bob 也使用 Alice 的公钥加密自己的输入，然后 Bob 执行同态计算，仅发送结果密文给 Alice 解密。

直接将上述思路扩展到多个参与方，有如下问题：

各方独立生成自己的公私钥，那么不同公钥加密出的密文之间难以运算（这其实是 MK-FHE，详见 [CM15]）
由单个参与方生成公私钥，其他参与方都使用这个公钥，那么一旦它被入侵，则破坏了所有参与方的隐私性

[AJW11] 提出了 threshold fully homomorphic encryption（TFHE，门限全同态加密），所有参与方协同生成一个公共的公私钥对，每个参与方仅持有私钥的秘密分享，解密过程是一个分布式解密协议，并且需添加 “污染（smudge）” 来隐藏各自的私钥信息。另外，BGV/BFV 路线的 FHE 还需要 evaluation key，生成它的过程较为复杂（而 GSW 不需要，可以简化）。

使用 TFHE 可以构造半诚实模型（诚实执行，随机带均匀）下安全的 3 轮 MPC 协议，采用多方掷硬币协议以及 ZKP 可以转化为恶意模型（任意执行）下安全的 MPC 协议，但是轮复杂度将会提升。事实上，[AJW11] 的 TFHE 是半恶意模型（诚实执行，但是任意选择随机带）下安全的，从而可以省略多方掷硬币协议。在 CRS 模型下存在 NP 语言的 NIZKP，因此可以获得一个 3 轮的恶意安全 MPC 协议，但是它并不高效，[AJW11] 为此设计了一个 RO 模型下的关于 LWE 语言的专用 Sigma 协议。

Threshold FHE

门限全同态加密方案（TFHE）的形式化定义如下：

$Key G e n (se t u p)$ ： $N$ 个参与者之间的交互式协议，各个参与者 $P_k,k \in [N]$ 一同执行协议，生成公共公钥 $p k$ ，公共重线性化秘钥 $e v k$ ，以及私钥的秘密分享 $sk_k$ ，它们隐含着公共私钥 $s k$
$Enc(pk,\mu)$ ：非交互算法，各个参与方使用 $p k$ 独立加密消息 $\mu$
$Eval(pk,f,c_1,\cdots,c_l)$ ：非交互算法，各个参与方使用 $p k$ 独立执行同态运算
$Dec(sk_1,\cdots,sk_N,c)$ ： $N$ 个参与者之间的交互式协议，各个参与者 $P_k,k \in [N]$ 使用各自的 $sk_k$ 作为输入，协议结束后各方都获得明文 $\mu$

[AJW11] 使用 BGV 方案作为基础加密方案，密文 $c = (a, b)$ 可以被视为多变元线性多项式 $\phi_c(x):=b-a^Tx$ ，解密算法为 $Dec(s,c)=(\phi_c(s)\pmod q)\pmod 2$ 。同态加法为 $\phi_{add}(x) = \phi_{c_1}(x)+\phi_{c_2}(x)$ ，密文仍为线性多项式；而同态乘法为 $\phi_{mul}(x) = \phi_{c_1}(x) \cdot \phi_{c_2}(x)$ ，多项式度数上升为 $2$ ，因此需要 “重线性化” 运算。假设原始私钥为 $s$ ，新的私钥为 $s^{'}$ ，令 $s[i]=s_i,i \in [n]:=\{1,\cdots,n\}$ 表述私钥向量的各分量，并设置 $s [0] = 1$ ，那么对应的重线性化秘钥为：
$\{\psi_{i,j,\tau} \leftarrow SymEnc(s', s_i \cdot s_j \cdot 2^\tau):\,\, i \in [n], j \in [n] \cup\{0\}, \tau \in \{0,\cdots,\lfloor\log(q)\rfloor\}\}$

Key-Homomorphic

我们将判定型 LWE 问题记为 $LWE_{n,q,\phi,\chi}$ ，其中 $\phi$ 是秘密 $s$ 的分布， $\chi$ 是噪声 $e$ 的分布。容易证明，当模数 $q$ 是奇数时， $LWE_{n,q,\phi,2\chi}$ 与 $LWE_{n,q,\phi,\chi}$ 一样难，其中的 $2\chi$ 是指采样 $\leftarrow \chi$ 然后将 $2 e$ 作为输出。

Uniqueness of LWE Secrets：安全参数 $\kappa$ ，令 $n$ 是正整数， $q$ 是素数，设置 $m>n\log(q)+w(\log(\kappa))$ 以及 $B < q /8$ ，那么均匀选取的 $\leftarrow \mathbb Z_q^{m \times n}$ 以概率 $1-negl(\kappa)$ 使得：对于任意的 $\in \mathbb Z_q^m$ ，存在至多单个 $(s, e)$ 满足 $\in \mathbb Z_q^n$ 以及 $\in [-B,B]^m$ ，使得 $p = A s + 2 e$ 。如果存在 $\neq (s',e')$ 使得 $p = A s + 2 e = A s^{'} + 2 e^{'}$ ，那么有 $\in [-2B,2B]^m$ ，对于任意固定的 $s^*=s-s'$ ，均匀选取的 $A$ 使得上式成立的概率仅为 $(4B/q)^m \le 2^{-m}$ 。

现在我们给出一个基于 LWE 的基本加密方案：

$Setup(1^\kappa)$ ：输入安全参数 $1^\kappa$ ，计算奇数 $q=q(\kappa)$ ，维度 $m=m(\kappa),n=n(\kappa)$ ，环 $\mathbb Z_q$ 上噪声分布 $\phi=\phi(\kappa),\chi=\chi(\kappa)$ ，输出参数 $params=(1^\kappa,q,m,n,\phi,\chi)$
$S y m Key G e n (p a r am s)$ ：采样秘密 $\leftarrow \phi^n$ ，输出 $s k := s$ 作为对称秘钥
$P u b Key G e n (s)$ ：均匀采样 $\leftarrow \mathbb Z_q^{m \times n}$ ，采样噪声 $\leftarrow \chi^m$ ，计算 $\in \mathbb Z_q^m$ （可视为 $m$ 个密文 $S y m E n c (s k, 0)$ ），输出 $p k := (A, p)$ 作为对应的公钥
$SymEnc(sk,\mu)$ ：输入消息 $\mu \in \{0,1\}$ ，均匀采样 $\leftarrow \mathbb Z_q^n$ ，采样噪声 $\leftarrow \chi$ ，计算 $b=a^Ts+2e+\mu \in \mathbb Z_q$ ，输出密文 $c t := (a, b)$
$PubEnc(pk,\mu)$ ：输入消息 $\mu \in \{0,1\}$ ，均匀采样 $\leftarrow \mathbb \{0,1\}^m$ ，计算 $a=r^TA \in \mathbb Z_q^n$ 以及 $b=r^Tp+\mu$ （若 $p = A s + 2 e$ ，则 $b$ 中的噪声为 $2r^Te$ ），输出密文 $c t := (a, b)$
$Dec (s k, c t)$ ：输入密文 $c t = (a, b)$ ，输出 $(b-a^Ts \pmod q) \pmod 2$

根据 [Reg05] 的文章，在 $LWE_{n,q,\phi,\chi}$ 假设下，上述加密方案是语义安全的，同时也是伪随机密文的。之后的一些著名全同态加密都是基于上述加密算法的，例如 BGV、BFV、CKKS 等等。除了加法同态和乘法同态，[AJW11] 进一步提出了“秘钥同态”，这可以用于构造分布式的门限解密协议。将系数 $a, A$ 以及噪声 $e$ 作为图灵机随机带，公钥生成算法的符号记为 $P u b Key G e n (s; A, e)$ ，加密算法的符号记为 $SymEnc(sk,\mu;a,e)$ 和 $PubEnc(pk,\mu;A,e)$ 。

Key-Homomorphic Properties：给定两个私钥 $s_1,s_2 \in \mathbb Z_q^n$ ，两个明文 $\mu_1,\mu_2 \in \{0,1\}$ ，

固定一个系数 $\in \mathbb Z_q^n$ ，任给两个噪声 $e_1,e_2 \in \mathbb Z_q$ ，对称加密 $(a,b_1) = SymEnc(s_1,\mu_1;a,e_1)$ 以及 $(a,b_2) = SymEnc(s_2,\mu_2;a,e_2)$ ，那么密文 $a,b_1+b_2)$ 满足
$(a,b_1+b_2) = SymEnc(s_1+s_2,\mu_1+\mu_2;a,e_1+e_2)$
即密文第二分量相加，所得的新密文是在两私钥加和下的同态加法密文。
固定一个系数 $\in \mathbb Z_q^{m \times n}$ ，任给两个噪声 $e_1,e_2 \in \mathbb Z_q^m$ ，公钥生成 $A,p_1)=PubKeyGen(s_1;A,e_1)$ 以及 $A,p_2)=PubKeyGen(s_2;A,e_2)$ ，那么公钥 $A,p_1+p_2)$ 满足
$A,p_1+p_2)=PubKeyGen(s_1+s_2;A,e_1+e_2)$
即公钥第二分量相加，所得的新公钥是两私钥加和所对应的公钥。

我们期望在组合公钥 $A,p_1+p_2)$ 下，上述的基本加密方案仍是语义安全的，然而组合后的公钥分布与原始分布出现了差别。[AJW11] 提出可以使用一个很大的噪声来污染（smudge out）任意的较小值，进而证明在组合公钥下的密文被污染后的分布，与均匀分布不可区分。

Smudging Lemma：安全参数 $\kappa$ ，令 $B_1,B_2$ 是正整数， $e_1 \in [-B_1,B_2]$ 是固定整数， $e_2 \leftarrow [B_2,B_2]$ 是均匀随机数。那么只要 $B_1/B_2 = negl(\kappa)$ ，则 $e_2$ 的分布与 $e_1+e_2$ 的分布统计不可区分。确切地说，统计距离为：
$\Delta = \dfrac{1}{2}\sum_{x=-(B_1+B_2)}^{B_1+B_2}\Big| Pr[e_2=x] - Pr[e_1+e_2=x] \Big| = \dfrac{1}{2}\left( \sum_{x=-(B_1+B_2)}^{-B_2}\dfrac{1}{B_2} + \sum_{x=-(B_2)}^{B_1+B_2}\dfrac{1}{B_2} \right) = \dfrac{B_1}{B_2}$
组合秘钥的安全性：我们定义敌手 $\mathcal A$ 与挑战者 $\mathcal C$ 之间的游戏 $JoinKey^{\mathcal A}(params,B_1,B_2)$ ，

$\mathcal C$ 生成私钥 $\leftarrow SymKeyGen(params)$ ，计算公钥 $(A, p) = P u b Key G e n (s)$ ，将公钥发送给 $\mathcal A$
$\mathcal A$ 自适应地选择 $p^{'}, s^{'}, e^{'}$ ，满足 $p^{'} = A s^{'} + 2 e^{'}$ 以及 $\|e'\|_1 \le B_1$ ，选择明文 $\mu$ ，发送 $(p',s',e',\mu)$ 给 $\mathcal C$
$\mathcal C$ 计算组合秘钥 $A,p^*=p+p')$ ，均匀掷硬币 $\beta \leftarrow \{0,1\}$ ，当 $\beta=0$ 时均匀采样 $pk^*=(a^*,b^*) \leftarrow \mathbb Z_q^{n+1}$ ，当 $\beta=1$ 时计算 $(a^*,b) \leftarrow PubEnc(pk^*,\mu)$ ，采样 “污染噪声” $e^* \leftarrow [-B_2,B_2]$ ，设置 $b^*=b+2e^*$ ，发送 “污染密文” $a^*,b^*)$ 给 $\mathcal A$
$\mathcal A$ 区分 $a^*,b^*)$ 是哪种情况，输出 $\beta' \in \{0,1\}$

我们说组合秘钥是安全的，如果对于任意的 PPT 敌手 $\mathcal A$ ，都有
$\Big|Pr[JoinKey^{\mathcal A}(params,B_1,B_2)=1] - \dfrac{1}{2}\Big| = negl(\kappa)$
可以证明，给定一组参数 $p a r am s$ 使得基础加密方案是语义安全的，那么对于任意的 $B_1,B_2$ ，满足 $B_1/B_2 = negl(\kappa)$ ，组合秘钥是安全的。否则，存在一个 PPT 敌手 $\mathcal A$ 打破组合秘钥安全性。我们构造另一个敌手 $\mathcal B$ ，它的输入是公钥 $p k = (A, p)$ 和密文 $(a, b)$ ，它试图区分 $(a, b)$ 是真正的密文 $P u b E n c (p k, 0)$ 还是均匀随机数。敌手 $\mathcal B$ 以敌手 $\mathcal A$ 作为子程序，为它模拟 $JoinKey^{\mathcal A}$ 游戏中的视图，

$\mathcal B$ 直接将 $p k$ 发送给 $\mathcal A$ ，收到回应 $(p',s',e',\mu)$
$\mathcal B$ 采样噪声 $e^* \leftarrow [-B_2,B_2]$ ，设置 $a^*=a,b^*=b+a^Ts'+\mu+2e^*$ ，发送 $a^*,b^*)$ 给 $\mathcal A$
$\mathcal B$ 输出 $\mathcal A$ 所返回的 $\beta$

易知 $\mathcal B$ 是 PPT 敌手。假设 $(a, b)$ 是均匀的，那么 $a^*,b^*)$ 明显也是均匀的。假设 $\leftarrow PubEnc(pk,0)$ ，由于 $p^{'} = A s^{'} + 2 e^{'}$ ，那么有
$b^* = (r^Tp+2e)+r^T(p'-2e')+\mu+2e^* = r^Tp^*+\mu+(2e^*-2r^Te')$
因为 $r^Te' \le \|e'\|_1 \le B_1$ , 是个小常数，因此根据 Smudging Lemma 可知 $b^* \overset{s}{\equiv} r^Tp^*+\mu+2e^*$ ，所以 $\mathcal B$ 为 $\mathcal A$ 模拟出了统计不可区分的视图。从而 $\mathcal A$ 打破组合秘钥的安全性的同时， $\mathcal B$ 也打破了基础加密方案的密文伪随机性，出现矛盾。所以，组合秘钥下的污染密文与均匀随机数不可区分，组合秘钥是安全的。

Construction

使用 BGV 作为基础加密算法，TFHE 构造如下：

$TF H E . S e t u p ()$ ：所有参与者对以下所有参数达成共识，确定 BGV 的运算深度 $D$ ，每层的加密算法参数为 $param_d:=(1^\kappa,q_d,m,n,\phi,\chi)$ ，噪声范围 $B_\phi,B_\chi \in \mathbb Z$ ，污染噪声的范围 $B_{eval},B_{enc},B_{dec} \in \mathbb Z$ ，系数 $\{A_d \leftarrow \mathbb Z_{q_d}^{m \times n}\}$ 和 $\{a_{d,i,\tau}^k \leftarrow \mathbb Z_{q_d}^{n}\}$
$TF H E . Key G e n (se t u p)$ ：两轮交互协议，

第一轮通信（生成公共公钥）：
1. 各方 $P_k$ 独立生成每层的公私钥对 ${(s_d^k,(A_d,p_d^k:=A_ds_d^k+2e_d^k))\}$ ，这里的 $A_d$ 是公共随机串。各方 $P_k$ 独立计算 $(a_{d,i,\tau}^k,b_{d,i,\tau}^{k,k}) \leftarrow BGV.SymEnc(s_d^k, 2^\tau \cdot s_{d-1}^k[i]; a_{d,i,r}^k,e_{d,i,\tau}^{k,k})$ 以及 $(a_{d,i,\tau}^l,b_{d,i,\tau}^{l,k}) \leftarrow BGV.SymEnc(s_d^k, 0; a_{d,i,r}^l,e_{d,i,\tau}^{l,k}),l \neq k$ ，这些 ${b_{d,i,r}^{l,k}\}$ 将被用于创建重线性化秘钥。
2. 各方广播 ${p_d^k\},\{b_{d,i,r}^{l,k}\}$ ，计算 $p^*_d:=\sum_l p_d^l$ ， $b_{d,i,\tau}^l:=\sum_l b_{d,i,\tau}^{l,k}$ ，将 $A_d,p_d^*)$ 作为每一层的公共公钥，而 $\{b_{d,i,\tau}^l\}$ 则是私钥碎片的密文。
3. 可以验证，
  $\begin{aligned} (A,d,p_d^*) &= BGV.PubKeyGen(s_d^*;A_d,e_d^*), s_d^*:=\sum_{l=1}^N s_d^l, e_d^*:=\sum_{l=1}^N e_d^l\\ (a_{d,i,\tau}^l, b_{d,i,\tau}^l) &= BGV.SymEnc(s_d^*,2^\tau \cdot s_{d-1}^l[i];a_{d,i,\tau}^l,e_{d,i,\tau}^l), e_{d,i,\tau}^l:=\sum_{k=1}^N e_{d,i,\tau}^{l,k} \end{aligned}$
第二轮通信（生成公共重线性化秘钥）：
1. 各个参与方 $P_k$ 采样 $(v_{d,i,j,\tau}^{l,k},w_{d,i,j,\tau}^{l,k}) \leftarrow BGV.PubEnc(p_d^*,0)$ 以及污染噪声 $\leftarrow [-B_{eval},B_{eval}]$ ，计算 $(\alpha_{d,i,j,\tau}^{l,k}, \beta_{d,i,j,\tau}^{l,k}) := s_{d-1}^k[j]\cdot(a_{d,i,\tau}^l, b_{d,i,\tau}^l) + (v_{d,i,j,\tau}^{l,k}, w_{d,i,j,\tau}^{l,k} + 2e)$
2. 各方广播 $\{(\alpha_{d,i,j,\tau}^{l,k}, \beta_{d,i,j,\tau}^{l,k})\}$ ，对于 $\in [n]$ 计算 $\phi_{d,i,j,\tau} := \sum_l\sum_k(\alpha_{d,i,j,\tau}^{l,k}, \beta_{d,i,j,\tau}^{l,k})$ ，对于 $j = 0$ 计算 $\phi_{d,i,j,\tau} := \sum_l(a_{d,i,j,\tau}^{l}, b_{d,i,j,\tau}^{l})$
3. 可以验证，
  $\begin{aligned} (\alpha_{d,i,j,\tau}^{l,k}, \beta_{d,i,j,\tau}^{l,k}) &= BGV.SymEnc(s_d^*,2^\tau \cdot s_{d-1}^l[i]\cdot s_{d-1}^k[j])\\ \phi_{d,i,j,\tau} &= BGV.SymEnc(s_d^*,2^\tau \cdot s_{d-1}^*[i]\cdot s_{d-1}^*[j])\\ \end{aligned}$
算法输出为：公共公钥 $pk:=(A_0,p_0^*)$ ，公共重线性化秘钥 $evk:=\{\phi_{d,i,j,\tau}\}$ ，参与者 $P_k$ 持有私钥 $sk_D$ 的秘密分享 $s_D^k$
$TFHE.Enc(pk,\mu)$ ：在参数 $param_0$ 下计算密文 $\leftarrow BGV.Enc(pk,\mu)$ ，然后采样额外的污染噪声 $\leftarrow [-B_{enc},B_{enc}]$ ，输出密文 $c := ((v, w + 2 e), l e v e l = 0)$
$TFHE.Eval(evk,f,c_1,\cdots,c_l)$ ：非交互算法，简单输出 $BGV.Eval(evk,f,c_1,\cdots,c_l)$
$TFHE.Dec(s_D^1,\cdots,s_D^N,c)$ ：一轮交互协议，
1. 假设密文形如 $c = (v, w, D)$ ，组合私钥为 $s_D^*:=\sum_k s_D^k$
2. 各方 $P_k$ 计算 $w^k = v^Ts_D^k+2e_k$ ，其中 $e_k \leftarrow [-B_{dec},B_{dec}]$ 是污染噪声，将部分解密值 $w^k$ 广播给其他参与者
3. 各方计算 $\phi_c(s_D) = w-\sum_k w^k$ ，输出明文 $(\phi_c(s) \pmod q_D) \pmod 2$

我们选取一组参数使得基础 FHE 方案是语义安全的，然后选择合适的污染噪声 $B_{eval},B_{enc},B_{dec}$ 使得组合秘钥 $p^*_d=\sum_l p_d^l$ 是安全的。此外 TFHE 还需要证明其门限解密算法的安全性。

Semi-Malicious MPC

现在，我们使用上述的 TFHE，立即得到了一个通用 MPC 协议：令 $f:(\{0,1\}^{l_{in}})^N \to \{0,1\}^{l_{out}}$ 是任意公共输出的确定性函数，对应逻辑电路的乘法深度为 $D$ ，协议 $\Pi_f$ 步骤如下：

初始化：各参与方协商出 TFHE 的参数 $se t u p$ ，设 $P_k$ 的输入为 $x_k \in \{0,1\}^{l_{in}}$
第一轮通信：每个参与方 $P_k$ 执行 $TF H E . Key G e n (se t u p)$ 的第一轮，获得公共公钥 $p k$ 和私钥秘密分享 $sk_k$
第二轮通信：每个参与方 $P_k$ 使用获得的 $p k$ 逐比特地加密 $x_k$ ，获得密文 $c_{k,i} \leftarrow TFHE.Enc(pk,x_k[i])$ 。同时执行 $TF H E . Key G e n (se t u p)$ 的第二轮，获得公共重线性化秘钥 $e v k$ ，将 ${c_{k,i}\},evk)$ 打包广播给其他参与者
第三轮通信：令 $f_j$ 是函数 $f$ 的各个输出比特的运算函数，各方同态计算 $c_j = Eval(evk,f_j,\{c_{k,i}\})$ 。需要解密时，所有参与者协同执行 $y_j = TFHE.Dec(s_D^1,\cdots,s_D^N,c_j)$ 获得输出值 $y=f(x_1,\cdots,x_N)$

根据 [Gol04] 中的标准转换技术，对于任意的随机函数 $g(x_1,\cdots,x_N;r) \mapsto y$ ，我们都可以定义一个确定性函数
$f((x_1,r_1),\cdots,(x_N,r_N)) := g(x_1,\cdots,x_N; \bigotimes_{i=1}^N r_i)$
只要存在某个均匀掷硬币的参与者，那么 $\bigotimes_{i=1}^N r_i$ 就会是一个无偏的随机串。上述的转换过程并不增加 MPC 的轮复杂度。

根据 [LP09] 中的标准转换技术，对于任意的私人输出函数 $g(x_1,\cdots,x_N) \mapsto (y_1,\cdots,y_N)$ ，我们都可以定义一个公共输出函数
$f((x_1,s_1),\cdots,(x_N,s_N)) := y_1 \otimes s_1\| \cdots \|y_N \otimes s_N$
其中 $s_k$ 是各方独立选取的对称加密私钥。执行 MPC 协议计算上述函数，最后各个参与方 $P_k$ 对计算结果中的 $y_k \otimes s_k$ 部分解密。这仅仅增加了一个开销极小的本地后处理过程，也不增加 MPC 的轮复杂度。

可以证明上述的 MPC 协议是在 UC 框架下半恶意安全的。UC 框架是在 [Can01] 中描述的，论文有 100 多页，本人还没看过，因此这儿的安全证明就不再写了。这里的 “半恶意敌手” 是 [AJW11] 提出的一个比半诚实敌手更强的概念，因此从半恶意安全协议转换到恶意安全协议将会更加容易。

Universal Composability Framework（[Can01]）：定义 PPT 环境 $\mathcal Z$ ，输入为安全参数 $1^\kappa$ 和辅助输入 $z$ ，它在真实世界或者理想世界中运行。

Ideal world：存在若干虚拟参与者 $\tilde P_1,\cdots,\tilde P_N$ ，一个理想敌手 $\mathcal S$ 入侵了某些虚拟参与者，它们计算一个函数性 $\mathcal F$
Real World：存在若干 PPT 参与者 $P_1,\cdots,P_N$ ，一个真实敌手 $\mathcal A$ 入侵了某些参与者，它们执行一个协议 $\pi$
环境 $\mathcal Z$ 为参与者提供输入，并在执行过程中与敌手交互，最后 $\mathcal Z$ 判断它是处于真实世界还是理想世界中。定义随机变量 $IDEAL_{\mathcal F,S,\mathcal Z}(1^\kappa,z)$ 是环境与理想世界中参与者和敌手交互后的视图，令 $IDEAL_{\mathcal F,S,\mathcal Z}$ 是分布簇。定义随机变量 $REAL_{\pi,\mathcal A,\mathcal Z}(1^\kappa,z)$ 是环境与理想世界中参与者和敌手交互后的视图，令 $REAL_{\pi,\mathcal A,\mathcal Z}$ 是分布簇。

UC 安全性：给定正整数 $N$ ，令 $\mathcal F$ 是一个 $N$ 变元函数性， $\pi$ 是一个 $N$ 方协议。我们说 $\pi$ 安全计算 $\mathcal F$ ，如果对于任意的 PPT 真实敌手 $\mathcal A$ ，都存在 PPT 理想敌手 $\mathcal S$ ，使得任意的 PPT 环境 $\mathcal Z$ 都有
$REAL_{\pi,\mathcal A,\mathcal Z} \overset{c}{\equiv} IDEAL_{\mathcal F,S,\mathcal Z}$
为了方便协议构建，我们往往约束敌手能力，例如：半诚实敌手、恶意敌手、只能入侵一定数量的参与者，等等。另外还有 “security-with-abort”，其中的理想敌手 $\mathcal S$ 能够 abort，导致函数性在某些参与者上没有输出；而 “fairness” 意为，敌手没有 abort 的能力，诚实参与者总会获得函数性的输出。

Semi-Malicious Adversaries：半恶意敌手是一个交互图灵机，除了标准的输入输出带、随机带，额外拥有一条 “witness tape”。在协议的每一轮交互中，敌手代替 $P_k$ 发送消息 $m$ ，并在 witness tape 上写下元组 $(x, r)$ ，使得敌手 $P_k^*$ 的历史记录完全匹配诚实执行 $P_k(x,r)$ 的视图。在每一轮中，敌手收到诚实方的消息后，根据任意的 PPT 策略，自适应地选择 $(m, (x, r))$ ，在不同轮中写下的 $(x, r)$ 可以不一致。同时敌手可以在任意一轮交互中终止协议。

任意的半诚实敌手都均匀选取随机带，可以把随机带简单地写在 witness tape 上，因此半恶意敌手比半诚实敌手更加自由。同时半恶意敌手的所有行为都被写在 witness tape 上的 $(x, r)$ 所描述，因此它确实比恶意敌手更加受限。半恶意敌手的能力，严格介于半诚实敌手和恶意敌手之间。

Full-Malicious MPC

为了获得恶意模型下安全的 MPC 协议，可以使用标准的编译器去转化半诚实安全协议，这需要公平掷硬币协议以及零知识证明协议。由于 [AJW11] 构造的基于 TFHE 的 MPC 协议是半恶意安全的，因此可以省略掉掷硬币环节。在 CRS 模型下存在通用的 NIZKP 协议，但是效率较低。因此 [AJW11] 设计了一个高效的关于 LWE 语言的 Gap Sigma 协议（Sigma 协议的弱化），使用 FS 启发式可获得 RO 模型下的 NIZKP 协议。

Gap Sigma Protocol：令 $\mathcal R_{zk} \subseteq \mathcal R_{sound}$ 是两个 NP 关系，对应的语言为 $L_{zk} \subseteq L_{sound}$ 。关于语言 $L_{zk},L_{sound})$ 的 Gap Sigma 协议 $\langle P,V \rangle$ ，是一个三轮交互协议，声明 $x$ ，证据 $w$ ，过程 $\langle P(w),V \rangle(x)$ 产生的副本形如 $(a, c, z)$ 。它满足以下性质：

Correctness：对于任意的 $\in \mathcal R_{zk}$ ，都有 $\langle P(w),V \rangle(x)=1$
Special Soundness：存在 PPT 提取器 $E$ ，任给声明 $x$ 的两个可接受副本 $\neq c'$ ，那么 $\in \mathcal R_{sound}(x)$
Honest-Verifier Zero-Knowledge：存在 PPT 模拟器 $S$ ，给定任意声明 $\in L_{zk}$ 和挑战 $c$ ，使得 $\leftarrow S(x,c)$ 满足 $\{(a',c,z')\} \overset{s}{\equiv} \{(a,c,z)\}$ ，这里的 $(a, c, z)$ 是由协议双方 $\langle P(w),V \rangle(x)$ 交互产生的

在 Gap Sigma 协议中，其完备性和零知识性是关于关系 $\mathcal R_{zk}$ 的，而可靠性是关于关系 $\mathcal R_{sound}$ 的，满足关系 $\mathcal R_{zk} \subseteq \mathcal R_{sound}$ 。也就是说，在 $\mathcal R_{zk}$ 中的 $(x, w)$ 都满足上述三个性质；而对于 $\mathcal R_{sound}$ 中的一些 $(x, w)$ 仅仅满足可靠性，协议并不保证正确性以及零知识性。

[AJW11] 构造了关于 LWE 语言的一个 Gap Sigma 协议。令 $B$ 是噪声的规模，我们定义一个 NP 关系：
$\mathcal R_{LWE}^B := \{ ((A,b),(s,2e)): b=As+2e, A \in \mathbb Z_q^{m \times n}, b \in \mathbb Z_q^{m}, s \in \mathbb Z_q^{n}, 2e \in [-B,B]^m \}$
它对应的语言记为 $L_{LWE}^B$ ，对于 $B^* \ge B$ ，易知 $\mathcal R_{LWE}^{B} \subseteq \mathcal R_{LWE}^{B^*}$ 以及 $L_{LWE}^{B} \subseteq L_{LWE}^{B^*}$ 。现在我们构造关于 $(\mathcal R_{LWE}^{B}, \mathcal R_{LWE}^{B^*})$ 的 Gap Sigma 协议 $\langle P,V \rangle_{LWE}$ ，声明为 $\in L_{LWE}^B$ ，证据为 $\in \mathcal R_{LWE}^B(A,b)$ ，

$P$ 均匀采样掩码 $\leftarrow \mathbb Z_q^n$ 以及偶噪声 $\leftarrow [-(B^*/2-B), B^*/2-B]^m$ ，计算 $b^{'} = A s^{'} + 2 e^{'}$ 并发送给 $V$
$V$ 随机选择挑战 $\in \{0,1\}$ 发送给 $P$
$P$ 计算 $z = s^{'} + cs$ 并发送给 $V$
$V$ 计算 $2e^* = b'+cb-Az$ ，判断它是否是个短的偶噪声 $2e^* \in [-B^*/2,B^*/2]^m$

可以证明，当 $B/B^* = negl(\kappa)$ 时，上述协议是一个 Gap Sigma 协议。

证明完备性：对于诚实证明者 $P$ ，容易验证 $A z = (b^{'} - 2 e^{'}) + c (b - 2 e) = b^{'} + c b - 2 (e^{'} + e)$ ，其中 $\in [-(B^*/2-B), B^*/2-B]^m, 2e \in [-B,B]$ ，因此 $b^{'} + c b - A z = 2 (e^{'} + e)$ 是个短的偶噪声
证明特殊可靠性：给定声明 $(A, b)$ 的两个可接受副本 $b',1,z_1), (b',0,z_2)$ ，我们构造提取器 $E$ ，它计算 $s^*=z_1-z_2$ 和 $2e^*=b-As^*$ ，输出 $s^*,2e^*)$ 。容易验证 $b=As^*+2e^*$ 且 $2e^* \in [-B^*,B^*]$ ，从而 $(s^*,2e^*) \in \mathcal R_{LWE}^{B^*}(A,b)$ 是个证据。
证明诚实验证者零知识性：给定 $(A, b)$ 和 $c$ ，我们构造模拟器 $E$ ，它均匀采样 $\leftarrow \mathbb Z_q^n$ 和 $2e^* \leftarrow [-(B^*/2-B), B^*/2-B]^m$ ，计算 $b'=Az+2e^*-cb$ ，输出模拟视图 $(b^{'}, c, z)$ 。由于 $b'=Az+2e^*-c(As+2e)$ ，因此令 $s'=z-cs, 2e'=2e^*-2ce$ ，则有 $b^{'} = A s^{'} + 2 e^{'}$ 。当 $c = 0$ 时，模拟视图恰好与 $V$ 的真实视图同分布。当 $c = 1$ 时，在真实视图中 $b^{'} = A s^{'} + 2 e^{'}$ ，其中 $\leftarrow [-(B^*/2-B), B^*/2-B]^m$ 。而在模拟视图中的 $b^{'} = A s^{'} + 2 e^{'}$ ，其中 $2e'=2e^*-2e$ ，这里的 $\in [-B,B]^m$ 是固定的小噪声，因为 $2e^* \leftarrow [-(B^*/2-B), B^*/2-B]^m$ 。根据 Smudging Lemma，当 $B/B^* = negl(\kappa)$ 时，模拟视图与真实视图中的 $2 e^{'}$ 的分布统计不可区分。

使用上述协议 $\langle P,V \rangle_{LWE}$ ，可以构造出多个关于其他相关语言的 ZKP 协议，再使用 FS 启发式可以获得 RO 模型下的 NIZKP。将它们组装到基于 TFHE 的半恶意安全 MPC 协议上，强制各个参与方都诚实地执行协议，从而实现恶意安全的 MPC 协议。另外还需证明 Gap 并不会影响协议的安全性。

基于 Threshold FHE 的 MPC