回顾一下，最近几次的科普我们介绍了三方复制秘密共享的秘密分享方式，其主要应用为作为隐私保护机器学习的隐私保护框架，将数据作为秘密，按机器学习对数据的操作进行安全多方计算。

在三方复制秘密共享的基本操作中，有些操作在算数电路的环\( Z_{2^k} \)上进行效率高，而有些则在布尔电路上进行效率高，因此需要有操作将在环上表示的操作数转换为布尔表示（二进制表示），而操作数在安全多方计算中都是以子秘密（Share）的形式，因此实际是将环上表示的三方复制秘密共享子秘密转换为按比特共享的子秘...

上次在【隐私计算笔谈】系列科普里介绍了在布尔电路下和环下的三方复制秘密共享，以及其实现加法和乘法的方式。本次科普介绍两种三方复制秘密共享下的截断（Truncate） 操作。其中一种截断方式只需要三个参与者中的两者参加，不需要三者共同进行截断，以此减少截断操作所需要的通信量。在三方复制秘密共享中，任意两方合...

 上次科普介绍了在布尔电路下的三方复制秘密共享方案，这次科普介绍把它扩展到环 \( 2^n \) 下的方式。 首先是在环\( 2^n \)下生成三个随机数 \( 𝑎_1,𝑎_2,𝑎_3 \) ，并且满足 \( 𝑎_1+𝑎_2+𝑎_3=0 \) 。上次科普已经介绍过满足条件 \( 𝑎_1⊕𝑎_2⊕𝑎_3=0 \) 的随机数生成方式，满足条件满足 \( 𝑎_1+𝑎_2+𝑎_3=0 \) 的只需对上次的...

复制秘密共享（three-party replicated secret sharing），是另一种秘密共享技术。本次科普要介绍的是Araki等人的半诚实的三方复制秘密共享协议，用于在三方环境下的安全多方计算和秘密共享，可以容忍最多一个腐化用户，其相比于Shamir(2, 3)来说有非常小的通信量和计算量。 

不经意传输在之前的科普进行过介绍，该比较协议的主要思路为：将需要比较的两个比特串分为多个部分，每个部分再进行比较，最后利用树形结构进行组合。假设有比特串𝑥和比特串𝑦，将比特串𝑥划分为两个部分，分别为\( 𝑥_1,𝑥_0 \)，将比特串𝑦也划分为\( 𝑦_1 \)和\( 𝑦_0 \)。

上一次科普介绍了比特比较(Bitwise Compare)，比特比较可以实现多方下的比较，不过其要求比较的输入是按比特分享的。回忆一下，在Shamir(t,n)秘密分享机制中所有被分享的秘密都是一个完整的比特串的形式，通过一个秘密多项式被分享成𝑛个在域𝐹𝑞上的子秘密。

在介绍比特比较之前先简单介绍一下比特的或。比特异或的实现方法较为简单，利用之前介绍过的𝐹2下Shamir共享机制的加法就能实现。而比特或则无法直接通过Shamir共享机制的加法或者乘法实现。

本次科普主要介绍多方比较的实现方法。回忆一下，之前介绍过的Shamir(t,n)秘密分享协议可以实现秘密分享，Shamir(t,n)协议主要基于拉格朗日插值，也可以通俗地理解成𝑛个方程求解𝑛个未知数。

集合可以通俗地描述为确定的一堆东西。如有一个集合𝐴，一个元素𝑐要么属于集合𝐴，记做𝑐∈𝐴；要么不属于集合𝐴，记做𝑐∉𝐴，元素𝑐不能既属于集合𝐴又不属于𝐴。

首先假设Alice是发送方，Bob是接收方，Bob的𝑚比特长的选择比特串为𝑟，\( 𝑟_𝑗 \)表示选择比特串𝑟的第𝑗比特。Bob产生两个𝑚 × 𝑘的随机矩阵A和B： 

通用的半诚实公钥OT协议 之前已经介绍过Naor-Pinkas不经意传输协议，Naor-Pinkas不经意传输协议基于离散对数困难问题，这次介绍一个通用的基于公钥的半诚实安全的不经意传输协议和Beaver的非黑盒构造。 有一个发送方Alice和一个接收方Bob，这个协议的前提条件是能够在公钥空间里随机采样获得一个公钥。而不是先获得私钥...

Kolesnikov的门估值秘密共享方案（Gate Evaluation Secret Sharing，GESS）是高效的信息论安全的乱码电路方案。  

交互式证明系统由两方参与，分别为证明者（Prover）和验证者 （Verifier）。证明者掌握某一秘密，证明者需要让验证者相信自己掌握该秘密。

 用[∗]表示秘密被分享之后的状态，如[𝑎]表示秘密𝑎已经通过秘密分享函数被分享给了参与者，如果有n个参与者，则[𝑎] = {\( 𝑎_1,𝑎_2,…,𝑎_𝑛 \)}。假设秘密共享函数为𝑓(𝑥)，𝑥为待共享的秘密，参与者为\( 𝑃_1,𝑃_2,…,𝑃_𝑛 \)，参与者\( 𝑃_𝑖 \)拿到的𝑥的子秘密记为\( 𝑥_𝑖 \)。

GMW协议由Goldreich等人提出，基于混淆电路（Garbled Circuit），支持多方的半诚实的安全计算协议。和之前所述的姚氏混淆电路估值方案的不同之处在于，GMW混淆电路估值方案不需要使用混淆真值表，因此没用混淆真值表带来的查表和加解密操作，节省了非常大的计算量和通信量。

不经意传输（Oblivious transfer，OT，也有翻译是茫然传输）是在构建安全多方计算时经常需要使用的一个模块。在双方参与的不经意传输中，一方“Bob”输入一组数据，另一方“Alice”输入一个选择，从Bob输入的数据中选取一个。Alice只获得其所选择的数据，无法得知 Bob输入的其他数据。Bob无法知道Alice选择获得了哪个数据。...

在web3.0世界中，交易的处理性能一直是公链面临的一大技术挑战，如何在不降低安全性和去中心化程度的前提下显著的提升区块链交易的TPS无疑成为众多公链技术专家追逐的目标。以Solana、Aptos为代表的新一代公链的出现更是吹响了通过并行执行交易来攻克公链可扩展性瓶颈的号角。

7月23日，隐私学院【PrivacyIN】第一期ZK训练营第四课——《ZK Hands-on》如期开讲。本期课堂由资深隐私开发工程师Kelvin Wong讲授，主要介绍Circom电路开发和ZK应用实践。

2022年7月23日9:30，隐私学院PrivacyIN首期ZK训练营第三课——《Applied ZK In Practice》准时开课。本期课程由香港科技大学在读博士韩思远讲授，以ZK电路开发和zkEVM设计为主题，围绕零知识证明应用电路设计及zkEVM构建思路展开，帮助学员学懂ZKP电路设计。此次培训延续小班授课，数十名国内外密码学及相关领域的专家学者...

隐私研究院【PrivacyIN】第一期ZK训练营课程精讲内容上线啦，本期课堂邀请到美国德州农工大学（Texas A&M University）计算机科学与工程学院的助理教授张宇鹏，主要介绍经典零知识证明协议设计原理，课堂主题为《Basic Principles of the Classic ZK Protocols (Groth16 Plonk Stark)》。

隐私学院【PrivacyIN】第一期ZK训练营课程精讲内容上线啦，本期课堂邀请到美国德州农工大学（Texas A&M University）计算机科学与工程学院的助理教授张宇鹏，主要介绍ZK理论及相关应用，课堂主题为《Basics of ZK Cryptography & Research Overview》。

PrivacyIN 隐私学院 (Privacy Institution) 致力于建设开放的密码和隐私技术布道和研究社区，并联合全球顶尖的学者、隐私技术开发者推动ZK(零知识证明)、MPC(安全多方计算)、FHE(全同态密码)的创新和落OP地。

汪骁是西北大学计算机科学系助理教授，在马里兰大学取得博士学位后，他曾在麻省理工学院和波士顿大学从事博士后工作，研究范畴涵盖计算机安全、隐私和密码学。他目前的研究方向包括可实用安全多方计算、零知识证明、不经意随机访问机（ORAM）和后量子密码学。2017年，汪骁荣获ACM CCS最佳论文奖。

由LatticeX基金会发起的PrivacyIN隐私学院首期ZK训练营已结束近一个月的课程。密集而又富有应用性、实践性的课程广受密码学爱好者推崇。

安全多方计算的安全显然是在有攻击者情况下的安全。在不同情形下，实现安全的难度也不同。最极端的例子是一个安全多方计算协议的所有参与者都是恶意参与者，那么这个协议的安全性就很难保证了。要实现安全，首先应该针对不同的情况建立不同的模型，而后针对这些模型进行研究。

姚期智院士于1982年通过 “百万富翁问题”提出了安全双方计算问题，“百万富翁问题”即两个百万富翁如何在没有第三者参与的情况下，比较二者间谁更加富有：

隐私AI工程技术实践指南--整体介绍 隐私AI框架整体设计思路 Rosetta框架核心设计思想 融合MPC技术的分布式隐私AI架构 多方网络的建立 隐私数据的流动 DAG的执行 小结 参考资料