Chapter 7 通过 Beaver 三元组实现 MPC¶

1 效率瓶颈与离线-在线思想¶

背景：计算开销不对称

Beaver 的核心思想是将与输入无关的重活提前到离线阶段（Offline）完成，在在线阶段（Online）只做少量线性计算与公开操作。

离线-在线范式

定义：满足 $c = a\cdot b$ 的随机共享三元组 $([a], [b], [c])$，其中 $a,b \xleftarrow{}_{\$} \mathbb{F}$ 均匀随机，$[\cdot]$ 表示加法秘密分享。

在线乘法公式

给定输入份额 $[x],[y]$，以及一个三元组 $([a],[b],[c])$

本地掩码

\[ [d]=[x]-[a],\qquad [e]=[y]-[b] \]
公开掩码差值

\[ d = Open([d]),\qquad e = Open([e]) \]
本地恢复结果

\[ xy = (d+a)(e+b)=de+db+ae+ab \]

\[ \Rightarrow [xy]=de + d[b] + e[a] + [c]. \]

为什么公开 $d,e$ 不泄露？

因为 $a,b$ 是均匀随机的，故

\[ d=x-a,\qquad e=y-b \]

在敌手看来也是均匀随机掩码，只是一种一次性掩盖后的差值。

假设参与方已经预先持有 $m$ 个 Beaver 三元组 $([a_k],[b_k],[c_k])_{k=1}^{m}$

输入分享阶段：每个参与方把输入 $x_{i,k}$ 做加法秘密分享，将相应份额分发给其他参与方，形成 $[x_{i,k}]$
计算阶段（逐门计算）
- 加法门 / 常数乘法门：本地线性运算 $[x+y]=[x]+[y]$
- 乘法门：消耗一个 Beaver 三元组
  1. 公开
    
    \[ d = Open([x]-[a]),\qquad e = Open([y]-[b]) \]
  2. 本地计算
    
    \[ [z] = de + d[b] + e[a] + [c] \]
输出重建阶段：对每条输出导线 $[y_i]$，各方把份额发送给指定接收者，接收者恢复最终输出

理想功能 $F_{triple}$

随机取 $a,b \xleftarrow{}_{\$}\mathbb{F}$，计算 $c=ab$，随机生成加法份额，满足加法分享性质，把 $(a_i,b_i,c_i)$ 分发给 $P_i$

模拟器 $S$ 的做法

理想/真实世界不可区分

实现最简单，但依赖一个半诚实且不串通的额外参与方，通常只适合特定部署环境。

TTP 随机选取 $a,b \xleftarrow{}_{\$}\mathbb{F}$，计算 $c=ab$
随机选取份额 $(a_1,\dots,a_n)$、$(b_1,\dots,b_n)$、$(c_1,\dots,c_n)$，满足

\[ a=\sum_i a_i,\qquad b=\sum_i b_i,\qquad c=\sum_i c_i \]
把 $(a_i,b_i,c_i)$ 发给 $P_i$

1. 为什么 Beaver 三元组对效率提升这么大？

因为它把“真正困难的乘法相关性”预先生成好了，在线时只需用随机掩码把真实输入贴到这个相关性上。

2. 恶意安全时还够吗？

还不够。
恶意模型下必须进一步验证三元组真的满足 $c=ab$，否则错误三元组会直接破坏正确性。

3. 除了三元组，还有类似的离线原语吗？

有。只要某类交互能被抽象成“与真实输入无关的相关随机数”，通常就能尝试做成预处理原语。