什么是“乱码”？

#1 楼

电路只是表示计算的一种方式。关于电路，没有特别的加密方法。它只是意味着由只对位进行的运算（例如AND，OR，NOT）组成的直线计算（无循环或流控制构造）。 ”仅显示计算的输出，但不显示有关输入或任何中间值的任何信息。我们使用“电路”一词是因为乱码电路的工作方式是，将您关心的计算表示为电路，然后对电路中的每个操作（AND，OR，NOT）进行一些加密处理。 />如果我们想更精确一点，那么“乱码方案”包括：


（乱码）一种将（普通）电路$ C $转换为乱码的方法circuit $ \ widehat C $。
（编码）一种将电路的任何（普通）输入$ x $转换为乱码的输入$ \ widehat x $的方法。您需要用于使电路乱码的秘密随机性将$ x $编码为$ \ widehat x $。并计算电路输出$ C（x）$。任何人都可以做到这一点，您不必知道$ x $或$ \ widehat C $中的秘密随机性即可评估和学习$ C（x）$。

我正在简化一下在这里但是安全性的主要思想是$ \ widehat C $和$ \ widehat x $一起泄漏的信息不会超过$ C（x）$。特别是，它们没有揭示有关$ x $的任何信息，但允许进行$ C（x）$计算（显然）。这就是我所说的“加密计算”。

乱码电路的主要应用是安全的两方计算。想象一下，爱丽丝有私人输入$ x $，而鲍勃有私人输入$ y $。他们在某些函数$ f $上达成共识，并同意他们都想学习$ f（x，y）$，但又不想让对手学到超过$ f（x，y）$的东西。为此，他们可以执行以下操作（这是Yao的经典协议）：各方同意将$ f $表示为（普通）电路的方式。爱丽丝使电路$ f \ mapsto \ widehat f $出现乱码。她向Bob发送$ \ widehat f $以及她自己的“乱码输入” $ \ widehat x $。
Alice知道如何将$ f $的任何输入编码为“乱码”输入，但只有Bob知道他的私人投入$ y $。因此，各方安排Bob在不让Alice知道$ y $是什么的情况下选择乱码$ \ widehat y $。这可以通过称为“遗忘转移”的原语来完成。
现在Bob的电路$ \ widehat f $出现乱码，该电路的输入$ \ widehat x，\ widehat y $出现乱码。然后，他可以运行评估程序并学习$ f（x，y）$。他可以向Alice透露$ f（x，y）$。

我们可以说该协议通过以下方式透露了不超过$ f（x，y）$：


在该协议中，爱丽丝除了最终答案$ f（x，y）$之外没有其他任何东西（遗忘转移的安全性确保了她在步骤2中什么也学不到）。
尽管Bob看到$ \ widehat f $，$ \ widehat x $和$ \ widehat y $，但乱码的安全性确保这些值不会显示$ f（x，y）$之外的任何值。

这种方法在爱丽丝与鲍勃（Alice＆Bob）不诚实的情况下有效（即，他们按照指示遵守协议）。但是，当爱丽丝恶意时，她可以使其他功能$ f'$乱码，而不是他们同意的$ f $。因此，当我们想要针对恶意攻击者的安全性时，还需要在协议中添加其他内容以防止这种情况的发生。

参考资料： >瑶族建筑及其安全证明
（视频），Yehuda Lindell

Yahu的安全两方计算协议的证明，Yehuda Lindell和Benny Pinkas

乱码基金会，Mihir Bellare，越南通黄，菲利普·罗加威（Phillip Rogaway）

实际电路故障优化的简要历史，我的视频。前几张幻灯片介绍了乱码电路的“经典”构造。