Многосторонний протокол схемного вычисления

Ниже описывается m-арный аналог вышеописанного субпротокола «Редукция КВ^m=2». Показывается, что вычисления любой детерминированной функции, вычислимой посредством арифметической схемы надGF(2), конфиденциально сводимы к вычислениям функции из уравнений (3.3) - (3.4).

В частности разделение битового значения vмеждуmпроцессорами означает равномерно выбраннуюm-арную последовательность битов (v₁,...,v_m) так, чтоv=, гдеi-тый процессор содержитv_i. Наша цель заключается в разделении, через частные вычисления, долей входных линий схемы на доли всех линий схемы так, чтобы, в конце концов, мы получили бы доли выходных линий схемы.

В начале мы рассмотрим нумерацию всех линий схемы. Входные линии схемы (n) для каждого процессора будут пронумерованы 1,2,...,mnтак, что дляj=1,...,nj-тый вход процессора iсоответствует ((i-1)n+j)-той линии. Линии будут пронумерованы так, чтобы выходные линии каждого вентиля имеют большую нумерацию, чем его входные линии. Для простоты предположим, что каждый процессор получаетnвыходных битов, и чтоj-тый выходной битj-того процессора соответствуют линииN-(m+1-i)+j, гдеN– размер схемы.

Ниже приводится алгоритм сведения любой детерминированной m-арной вычислимой функции (m2) к функции, вычислимой в соответствии с уравнениями (3.3) и (3.4).

Редукция к кВm

Вход.Процессорiсодержит строку битовx_i¹...x_i^m{0,1}^m,i=1,...,m.

1. Разделение входов. Каждый процессор делит каждый из своих входных битов с другим процессором. То есть для каждогоi=1,...,mиj=1,...,nи каждогоkiпроцессорiравномерно выбирает битr_k^(i-1)n+jи посылает его процессору k, как долю входной линии (с нумерацией (i-1)n+j) последнего. Процессорiустанавливает свою собственную долю на входной линии с нумерацией (i-1)n+jв значениеx_i^j+.

2. Эмуляция схемы. Следуя нумерации линий, процессоры используют свои доли двух входных линий схемы, чтобы конфиденциально вычислить доли для выходной линии вентиля.

Предположим, что процессоры имеют общие две входные линии вентиля, то есть для i=1,...,mпроцессорiсодержит долиa_i,b_i, гдеa₁,...,a_m- доли на первой линии иb₁,...,b_m- доли на второй линии. Рассмотрим два случая.

2.1. Эмуляция аддитивного вентиля.Каждый процессор только устанавливают свою долю выходной линии вентиля в значениеa_i+b_i.

2.2. Эмуляция мультипликативного вентиля. Доли выходной линии вентиля получаются посредством вызова оракула для вычисления функции (см.(3.4)-(3.5), где процессорiобеспечивает вход (часть запроса) (a_i,b_i). После ответов оракула, каждый из процессоров устанавливают свою долю выходной линии вентиля в значение равное своей части ответа оракула.

3. Восстановление выходных битов. Как только доли выходных линий схемы вычислены, каждый процессор посылает долю с каждой из таких линий процессору, с которым линия связана. То есть дляi=1,...,mиj=1,...,nкаждый процессор посылает свою долю с линииN-(m+1-i)n+jпроцессоруi. Каждый из процессоров восстанавливает соответствующие выходные биты, складывая соответствующиеmдолей; то есть доли, которую он получил на шаге 2 иm-1 долей, полученных на текущем шаге.

Выход.Каждый процессор локально выдает биты, восстановленные на шаге 3.

Сначала необходимо проверить, что выходы действительно корректны. Это можно сделать методом индукции, которая состоит в том, что значение доли каждой линии прибавляются к корректному значению на линии. Базис индукции – номер входной линии схемы. А именно, ((i-1)n+j)-тая линия имеет значениеx_i^jи ее доли прибавляютсяx_i^j. На каждом шаге индукции рассматривается эмуляция аддитивного или мультипликативного вентиля. Предположим, что значения входных линий –aиbи что их долиa₁,...,a_mиb₁,...,b_mдействительно удовлетворяют=aи=b. В случае аддитивного вентиля доли на выходной линии установить в значенияa₁+b₁,...,a_m+b_m, что удовлетворяет=()+()=a+b. В случае мультипликативного вентиля доли выходной линии были установлены в значениеc₁,...,c_mтак, что=()+(). Таким образом,=a^b, что и требовалось показать.

В работе [Go2] приводятся формальные аргументы для конфиденциального сведения вычисления на арифметической схеме надGF(2) кm-арной функции, вычислимой в соответствии с уравнениями (3.3)-(3.4). А следующая теорема, устанавливает главный результат для конфиденциального вычисления любой вычислимой функции для многостороннего протокола взаимодействия.

Теорема 3.5.Предположим, что односторонние перестановки с секретом существуют. Тогда любая вычислимаяm-арная функция для получестной модели иm-стороннего протокола взаимодействия конфиденциально вычислима.