SS/HE/GC/OT comparație securizată de numere întregi

Am citit câteva lucrări pentru a găsi o modalitate „mai rapidă” de a compara două numere întregi fără a dezvălui valorile lor reale. Dar cred că sunt puțin pierdut în acele lucrări din cauza cunoștințelor mele limitate în criptografie. Există câteva lucrări care compară eficiența protocoalelor bazate pe HE/ GC/ OT, ​​de exemplu https://eprint.iacr.org/2016/544.pdf de Geoffroy Couteau (încă mi-e cam greu să înțeleg lucrarea în acest moment). Cea mai mare întrebare acum este: de ce lucrările existente se compară rar cu metodele bazate doar pe partajarea secretă? Cred că partajarea secretă este o abordare destul de simplă, există ceva destul de neglijent, dar mi-e dor care face ca o comparație sigură bazată pe partajare secretă să nu fie competitivă cu acele metode bazate pe HE/GC/OT? Știu că întrebarea mea poate părea destul de generală, dar sunt cam pierdut aici și orice indicații ar ajuta.

Cred că există o confuzie cu terminologia „calcul securizat din partajarea secretă”. Lasă-mă să încerc să clarific.

Există două setări majore pentru calculul sigur: setarea majorității sincere (din $n$ petreceri, cel mult $(n-1)/2$ sunt necinstiți) și setarea majorității necinstite (până la $n-1$ petrecerile pot fi necinstite). Cele două setări au o diferență foarte importantă: prima poate fi realizată fără a face nicio presupunere de calcul, deoarece poate fi sigură chiar și împotriva părților necinstite cu putere de calcul nelimitată. Pe de altă parte, cel de-al doilea „își plătește” rezistența mai puternică la corupție, solicitând în mod necesar ipoteze de calcul (un protocol MPC majoritar necinstit nu poate fi asigurat împotriva părților nelimitate din punct de vedere computațional).

Aici, vorbiți despre comparație securizată și citați lucrarea mea, așa că presupun că vorbiți despre calcul securizat în două părți. Desigur, calculul în două părți se încadrează în a doua categorie: nu poți avea o majoritate cinstită între doi jucători (cu excepția cazului în care toată lumea este sinceră, caz în care nu este nimic de protejat). Asta înseamnă că tu trebuie sa utilizați ipoteza de calcul.

Partajarea secretă este nu o presupunere de calcul. Partajarea secretelor există necondiționat: partajarea secretelor Shamir, de exemplu, este doar interpolare polinomială. Prin urmare, este dovedit imposibil pentru a construi un protocol securizat de calcul cu două părți pentru comparare folosind doar partajarea secretă. Toate protocoalele trebuie sa bazați-vă pe o ipoteză de calcul, care poate fi criptare homomorfă, transfer neglijent sau altceva.

Cred că sursa confuziei provine probabil din terminologia comună în MPC: mulți oameni folosesc terminologia „MPC bazat pe partajare secretă”, chiar și în cadrul majorității necinstite. Dar această terminologie înseamnă pur și simplu că tehnicile de partajare secretă sunt folosit în protocol, de obicei într-un mod similar cu protocolul GMW. Cu toate acestea, nu înseamnă că protocolul folosește doar partajarea secretă - deoarece acest lucru este imposibil. De obicei, atunci când spunem „MPC bazat pe partajare secretă”, ne referim la un protocol MPC care utilizează de fapt tehnici de partajare secretă și transfer neglijent.

Deci, „metodele bazate pe partajarea secretelor” pentru comparație sigură sunt, exact ca lucrarea mea, metode care folosesc transferul neglijent ca ipoteză de calcul. Dacă vă uitați la lucrarea mea din secțiunea 1.5, am comparat și protocolul meu cu „2PC generic aplicat la [GSV07]”. Aici, „2PC generic” se referă la 2PC standard în stil GMW, care este exact ceea ce este adesea numit „MPC bazat pe partajare secretă”. Un protocol în stil GMW necesită o reprezentare în circuit boolean a funcției țintă; de aceea am spus „aplicat la [GSV07]”, care oferă tocmai un astfel de circuit. Prin urmare, îmi compar munca cu ceea ce se numește adesea „partajare secretă MPC” - dar pur și simplu nu am folosit terminologia care pare a fi sursa confuziei tale.