Совершенно безопасное умножение

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 23:55, 23 декабря 2015.
Perfectly-Secure Multiplication for any t < n/3
Two-Output Secure Computation with Malicious Adversaries.png
Авторы Gilad Asharov, Yehuda Lindell1, and Tal Rabin Bar-Ilan University, Charlottesville, VA 22904, E-mail: [1]
Опубликован 2010 г.
Сайт Department of Computer Science
Перевели Maxim Kuyanov
Год перевода 2015 г.
Скачать оригинал



Аннотация. В настройках безопасного многостороннего вычисления множество из n сторон с личными входами желают совместно вычислить некоторую функциональность своих входов. Один из самых фундаментальных результатов информационно-теоретически безопасных вычислений были представлены Бен-Ором, Голдвассером и Вигдерсоном (БГВ) в 1988 году. Они показали, что какая-либо функциональность n-участника может быть вычислена совершенно безопасно в модели частных каналов. Наиболее технически сложной частью этого результата является протокол для умножения двух общих значений с совершенной безопасностью при наличии вплоть до вредоносных противников.
В этой статье мы предлагаем полную спецификацию протокола совершенного умножения БГВ и доказываем ее безопасность. Он включает в себя один новый шаг для протокола совершенного умножения в случае, если . Как и в оригинальном протоколе БГВ, этот протокол работает всякий раз, когда стороны занимают одномерные (Шамир) долю входных значений. Кроме того, мы представляем новый протокол умножения, который использует двумерное секретное разделение надлежащим образом для достижения более высокой эффективности при сохранении круглой сложности, что является постоянным в умножении. Оба наших протокола представлены полными доказательствами их безопасности.

Введение

Новаторский протокол БГВ[1] совершенно безопасного многостороннего вычисления появился больше 20 лет назад и оказал огромное влияние влияние в нашей области. Протокол БГВ позволяет множеству сторон вычислить некую функциональность их входных данных, сохраняя безопасность при наличии вплоть до вредоносных сторон. Протокол включает в себя немного компонентов: метод проверяемого секретного разделения (VSS), протокол для добавления двух секретов, которые находятся в общей форме и протокол для умножения двух секретов, данных в общей форме. Несмотря на его важность и тот факт, что более тысячи работ, построенных на данном протоколе, полного доказательства его правильности никогда не было представлено. В работе[2] мы исправили эту ситуацию и представили доказательство протокола БГВ вместе с новым более эффективным протоколом умножения, представленным здесь. В дополнение, мы предоставляем полную спецификацию протокола. Она включает в себя новый шаг, который необходим для случая . В данном расширенном вступлении мы сфокусированы на вопросе о совершенном умножении, включающем новый шаг, необходимый для протокола БГВ и нашего нового более эффективного протокола.

Протокол совершенного умножения БГВ

Целью протокола умножения БГВ ставиться возможность вычислить раздельное произведение умножения для множества сторон, полученное разделением индивидуальных значений и . Пусть обозначим как доли , и пусть обозначим как доли . Протокол работает согласно следующим шагам:

  1. Каждая сторона делится своими частями и вместе со всеми остальными сторонами. Это осуществляется таким образом (с помощью кодов, исправляющих ошибки), который предотвращает поврежденную от обмена значениями или .
  2. Далее, каждой стороне нужно поделиться частями произведения своих частей следующим образом. Мы cфокусируемся на фиксированной стороне , и пусть и будут соответствующими полиномами для обмена и из предыдущего шага.
    1. Сторона вычисляет полиномы так, что является полиномом со степенью вместе со свободным коэффициентом . Обратите внимание, что т.к. каждый многочлен умножается на , мы имеем то, что свободный коэффициент в всегда (т.е. . Как известно, в БГВ сторона может выбрать полином специальным образом так, чтобы отменить все коэффициенты со степенью выше, чем , и обеспечить, чтобы имел степень равную именно . Мы подчеркиваем, что если использует «неправильные» полиномы, тогда может бы со степенью выше, чем .
    2. Сторона обменивается многочленами с остальными сторонами.
    3. Каждая сторона вычисляет свою часть в на основе своих частей и полиномов .
    4. На данный момент, это гарантирует, что стороны посчитают свои части многочлена со свободным коэффициентом (как описано выше в шаге 2.1) и остается проверить, что эти части определят степень многочлена равным (а не выше).
  3. После того, как вышеперечисленные шаги выполнены для всех , мы имеем, что все стороны имеют действительные части всех частей произведений . Учитывая эти субчасти, достаточно для каждой стороны осуществить локальное линейное вычисление [3] вместе с результатом, являющимся тем, что они получают действительные части , как и требуется.

Проверка степени полинома

Мы рассмотрим как проводить вышеописанный шаг 2.4, т.е. как проверить, что части, принадлежащие сторонам, определяют -степень полинома, а не полинома более высокой степени.

Во-первых, мы должны затронуть один тонкий момент, который является источником проблемы реализации проверочного шага. Вопрос в том, что мы подразумеваем, когда мы говорим, что части подлинных участников должны определить многочлен степени t (или меньше)? Существует четкое разделение между двумя случаями. Во-первых, учитывая набор частей, принадлежащих подлинным сторонам, мы хотим убедиться, что их все части принадлежат одной и той же -степени многочлена. Если этого не происходит, то мы готовы изменить до t подлинных участников для достижения этого результата. Это то, что происходит в шаге проверки протоколов VSS; посредник изменяет части, которые изначальны даны ему некоторыми из сторон, транслируя новые части. Вторая интерпретация заключается в том, что мы должны убедиться, что все части, принадлежавшие подлинным лицам изначально принадлежат одной t-степени многочлена. Если нет, то они должны быть уведомлены об этом факте, и не должны изменять свои доли. Это является причиной некоторых таких трудностей, как требование механизма различия подлинных и нелегитимных лиц, в частности, различий тех нелегитимных лиц, которые лежат около своих частей и подлинной стороны, у которого некорректная часть.

В шаге умножения БГВ мы оказываемся во втором случае. Те части, что содержат подлинные стороны, были созданы с помощью вычислений на шаге 2.3. Правильность расчета требует, чтобы постоянный член многочлена, определенный подлинной стороной, будет равен . Тем не менее, поврежденная сторона , которая не разделена -ом соответствующим образом может привести к результирующему многочлену , чтобы степень выше была . В этом случае, по крайней мере, два подмножества подлинных лиц имеют размер, равный . Т. ч. многочлены и определяют свои части различными свободными коэффициентами. Таким образом, по крайней мере одна сторона не равна .

Мы пришли к выводу, что для того, чтобы осуществить проверку, необходимую в умножении, мы не можем использовать стратегию проверки, предлагаемые известными протоколами VSS (в частности, один в БГВ). Это потому, что их стратегия просто гарантирует, что выходы всех сторон делятся на полином, определенный некоторым подмножеством частей подлинных сторон. Кроме того, любой метод проверки, который обеспечивает только эту гарантию, не может быть использована.

Таким образом, необходим новый протокол проверки, чтобы гарантировать, что многочлен имеет степень без изменения значения свободного коэффициента , т. е. без изменения частей подлинных сторон. Концептуально это может быть достигнуто путем создания такого протокола, который позволяет подлинным сторонам доказать, что их части неправильные, и доказать, что обмануто. Мы подчеркиваем, что методология VSS не достиг такого свойства, поскольку в случае несоответствия стороны не могут знать, обманывает ли их дилер или другая сторона.

Наши результаты

В этой статье мы сфокусируемся на идеальном умножении при наличии вредоносных узлов вплоть до . Мы представляем два метода для проведения проверки, а также полную спецификацию и доказательство безопасности результата протокола умножения. Первый протокол работает, когда стороны имеют одномерные части Шамира в качестве входных значений. Таким образом, это не зависит от каких-либо конкретных свойств метода VSS, использующегося для изначальной разделения значений. Кроме того, он близок к оригинального протоколу БГВ. Второй протокол, который мы представим, использует дополнительную информацию, приведенной в двумерной полиномиальном разделении (как и в подающемся проверке секретном методе разделения БГВ и методе Фельдмана[4] [5]) для того, чтобы значительно улучшить эффективность каждого умножения, при сохранении константы округления сложности для отдельного умножения. Например, мы можем полностью исключить первый шаг протокола умножения БГВ, в котором разделяются доли и . В дополнение к более высокой эффективности, получить результат работы нашего протокола умножения также значительно проще. Сложность коммуникации в нашем протоколе в худшем случае (т.е., когда некоторые стороны ведут себя вредоносно) равна для области элементов каналов «от точки до точки» и для области элементов канала вещания. Это отличается от первого протокола (оригинала протокола БГВ), который имеет наихудшую сложность коммуникации в области элементов для канала вещания. Заметим, что это в случае, когда и участники действительно не обмануты, и коммуникационная сложность протокола равна только для элементов каналов «из точки в точку», и не требуется передачи сообщений.

В целом, наши два протокола несравнимы. Первый протокол является менее эффективным, но работает с любым VSS частей Шамир, и не обязательно даже с VSS, который основан на двухмерной методике. Второй протокол является более простым и эффективным, но работает только тогда, когда стороны имеют дополнительную информацию о том, что части являются побочным результатом протокола VSS, основанного на двухмерности. Дополнительным важным вкладом в этой работе является то, что мы предоставляет полные доказательства безопасности всех наших протоколов и подпротоколов, соотносящиеся со стандартными определениями парадигмы идеальной/реальной модели[6] [7]. Это включается в себя нетривиальное определение функциональности идеального умножения и других используемых подфункциональностей. Полное доказательство протоколов в этой статье вместе с полным доказательством всего протокола БГВ (в том числе и в случае полуподлинных сторон, протокола VSS и других) представлено в работе[8].

Мы также рассматриваем нашу работу как решение вопроса, возможно ли создать протокол с более меньшей коммуникационной сложностью. Наш второй протокол делает первый шаг, уменьшая сложность коммуникации в БГВ и сохраняя константу округления сложности за счет умножения.

Одновременно составная и адаптивная безопасность

Оба наших протокола безопасности достигли идеальной безопасности, как и в оригинальной работе БГВ. Мы подчеркиваем, что идеальная безопасность не только вопрос эстетики, а также предоставляет существенное преимущество над протоколами, которые проверено только на статистическую безопасность. Во-первых, в работе[9] показано, что если протокол является абсолютно безопасным в автономном режиме и имеет черный ящик с прямолинейным симулятором, то он также безопасен при одновременной общей композиции или универсальной композиции. Во-вторых, это было показано в работе [10], что любой протокол, который является абсолютно безопасным в присутствии вредоносных статических противников при определении безопасности ref>Y. Dodis and S. Micali. Parallel Reducibility for Information-Theoretically Secure Computation. In CRYPTO 2000, Springer (LNCS 1880), pages 74–92, 2000.</ref>, также безопасны при наличии вредоносных адаптивных искажений. Дополнительные требования определения [10] четко проводят для всех протоколов и подпротоколов БГВ. Таким образом, мы получаем как и адаптивную безопасность, так и универсальную композицию.

Сопутствующие работы

Мы сравнили наш второй протокол с с существующими в литературе. Он является единственным протоколом для совершенно безопасного умножения для любого , что является константой (и в частности, не зависит от числа участвующих сторон), как и постоянная Крамера [8]. Этот протокол работает другим способом нежели протокол БГВ и имеет наихудшую коммуникационную сложность над полем элементов каналов «из точку в точку» и над полем элементов широковещательного канала в отличие от в канале нашего протокола.

Подготовительные мероприятия и инструменты

В данной работе мы будем ссылаться на несколько функций, описанных формально в полной версии [1]. Здесь мы приведем краткое описание этих функций. Мы используем следующие VSS-функциональности: FV SS. Посредник вводит многочлен степени и стороны получают доли этого полинома, т.е. стороны получают , где фиксированные элементы конечного поля. «Проверочная» сторона такова, что если имеет степень больше, чем , то стороны отвергают доли посредника и выходное значение . Заметим, что секретная часть только косвенно определяется в функциональности. Она, однако, хорошо определена.

Вторая функциональность, которая нам нужна для субобмена долями, обозначается . Неформально говоря, - функциональность – это способ выдавать проверяемым сторонам множество долей и их значений. В частности, предполагается, что стороны содержат значения соответственно, где – это степень – это -степень полинома. Целью каждой стороны является обмен своей части со всеми другими участниками, в том числе делясь с вредоносными сторонами корректным . Протокол для достижения этого суббмена весьма нетривиален и включает в себя вызовы VSS плюс передачу со сложностью .

Обозначим через индексы (до ) зловредные стороны.

Проверка общего многочлена степени Проверка общего многочлена степени t {\displaystyle t}

Как было сказано во введении, для того, чтобы выполнить совершенное умножение в протоколе БГВ, нам нужен подпротокол, который позволит сторонам убедиться, что доли, принадлежащие всем подлинным сторонам для , вычисленные в вышеописанном в Шаге 2 алгоритма совершенного умножения БГВ, принадлежат одному некоторому многочлену степени t. То есть, все стороны содержат части и они хотели бы убедиться, что их части определены на многочлене .

Протокол проверки

Процедура проверки формально определяется в функциональности 1.

TemplateDifinitionIcon.svg Определение «Функциональность 1 (-функциональность)»
  1. получает доли подлинных сторон.
  2. Пусть и будут многочленами, которые определены из частей и соответственно, это предполагает, что все многочлены степени . Функциональность отправляет искаженные части сторон противнику.
  3. Если , то отправляет 1 каждой стороне в качестве выходного значения, в противном случае она отправляет 0 каждой стороне в качестве выходного значения и также оправляет противнику.

Мы подчеркиваем, что многочлен уже обменен с помощью и поэтому он гарантированно имеет степень . Таким образом, целью сторон ставится проверка того, что общая равна . Также отметим, что противник всегда получает искаженные части сторон в качестве выходных значений, а получает все части в том случае, если выходное значение подлинных сторон равно 0. Тот факт, что противник получает части зловредных сторон не играет разницы, так как он и так их уже знает в любой обстановке, где используется эта функция. Тем не менее, это необходимо по техническим причинам, чтобы доказать безопасность нашего протокола (в соответствии с определениями моделированиями).

Протокол. Протокол очень простой. Каждая сторона самостоятельно вычисляет и подает жалобу, если результат не равен . В такое случае, все стороны используют функциональность , описанном ниже в разделе 3.2, чтобы публично восстановить все входные значения частей стороны, подавшего жалобу, не вовлекая в это дело части других участвующих сторон. Это позволяет всем сторонам определить, была ли жалоба законна или нет. Подчеркиваем, что публичная реконструкция не раскрывает ничего, так как, если жалоба является законной и выходное значение нулевое, это так или иначе известно злоумышленнику. Кроме того, если жалоба не является легитимной, то заявитель (сторона, подавшая жалобу) является зловредным и все его части также подпадают под подозрение. Ниже представлен алгоритм протокола 2.

TemplateDifinitionIcon.svg Определение «Протокол 2 (Безопасное вычисление в -гибридной модели)»
  • Входные данные: Каждая сторона содержит части , соответственно принадлежащие многочленам с t-степенью .
  • Протокол:
  1. Каждая сторона вычисляет . Если , то начинает транслировать (жалоба, ).
  2. Для каждой части , что транслирует (жалоба, ) делается следующее:
    1. Инициируются вызовов функциональности : каждая сторона имеет в качестве входных данных соответственно для каждого вызова.
    2. Пусть и будут соответствующими выходными значениями вызовов.
    3. Если , то на выходе будет ноль и происходит остановка протокола.
  3. Если выходное значение не определено как 0, то тогда она равно 1.
TemplateTheoremIcon.svg Теорема Теорема 3.
Пусть . Тогда протокол 2 вычисляет в -гибридной модели при наличии статичного вредоносного противника.
Доказательство
Без доказательства


Проверка жалобы - -функциональностьПроверка жалобы - F e v a l j {\displaystyle F {eval}^{j}} -функциональность

Когда подлинные стороны подают жалобы, предполагается, что . Для того, чтобы проверит, является ли эта жалоба легитимной, нам необходимо реконструировать все входные части сторон , т. е. , не раскрывая остальное. Отметим, что каждое такое значение может быть рассчитано из значений подлинных сторон, так как все они определены как многочлены степени . Таким образом, используя эту информацию, мы можем «извлечь» значение заявителя. Тем не менее, это должно быть сделано, не раскрывая ничего, кроме «обжалованных» частей. Начнем с формального определения функциональности: она параметризована индексом , определяющим как часть сторон будет раскрыта, эквивалентно тому, в какой момент общий многочлен будет оценен.

TemplateDifinitionIcon.svg Определение «Функциональность 4 (-функциональность)»
  1. -функциональность получает в качестве входных данных подлинных сторон последовательность . Пусть будет уникальным многочленом степени , определенным в точках . (Если не все точки лежат в одном полиноме степени , то нет никаких гарантий безопасности.)
  2. -функциональность отправляет пару выходных значений каждой стороне .

Заметим, что хотя каждая сторона содержит как часть входных данных, нам необходимо включить выходные данные в симуляцию в том случае, когда подозреваемая сторона имеет некорректные входные данные. Это не будет иметь значение в его использовании, так как , как предполагается, будет известно сторонам .

В данной работе мы предлагаем два способа вычисления , которые зависят от конкретной реализации, которую мы используем для секретного обмена. В дальнейшем мы опишем первую реализацию, которая использует одномерные многочлены. Вторая реализация использует двумерный обмен и будет описано в разделе 4.

TemplateDifinitionIcon.svg Определение «Протокол 5 (Вычисление в -гибридной модели)»
  • Входные данные: Каждая сторона содержит значение . Мы полагаем, что точки для каждой подлинной стороны принадлежат единственному многочлену степени (смотрите определение функциональности ).
  • Протокол:
    1. Стороны вызывают -функциональность с каждой стороной , используя в качестве личных входных данных.
    2. В конце этого этапа, каждая сторона содержит , где все имеют степень , и для каждого из , .
    3. Каждая сторона локально вычисляет: , где . Каждая сторона отправляет каждой другой стороне.
    4. При получении каждая сторона запускает процедуру декодирования Рида-Соломона и получает . Затем идет реконструкция и вычисление .
    5. Каждая сторона на выходе имеет .
TemplateTheoremIcon.svg Теорема Теорема 6.
Пусть . Пусть . Тогда протокол 5 вычисляет в -гибридной модели при наличии статичного вредоносного противника.
Доказательство
Без доказательства


Эффективное умножение с использованием двумерного VSS

Мы представляем новый, основанный на БГВ, протокол, который является более эффективным, чем оригинал протокола БГВ. В двух словах, этот протокол использует двумерную структуру, введенную протоколом БГВ для VSS на протяжении всего протокола умножения. Хирт и др. [15] также отмечают, что использование двумерных многочленов может предложить улучшение эффективности. Однако, они не используют их в максимально возможной степени. В этом разделе мы покажем, как этот подход позволяет нам полностью избежать использования и более эффективно вычислить другие подпротоколы для процедуры умножения. Как мы уже обсуждали в разделе 2, дорог в плане вычислений, поэтому такой подход значительно лучше.

Напомним, что оригинальный протокол БГВ-умножения следует из одномерности и что каждое соединение в цепи скрыто случайным одномерным многочленом степени , а долей каждой из сторон является точка . Умножение работает следующим образом:

  1. : Даны части и значений и , каждая сторона обменивается своими частями с другими сторонами. Этот шаг осуществляется с использованием , описанным выше.
  2. Умножение субчастей : Каждая часть играет роль посредника в протоколе для которого результат состоит в том, что все стороны содержат части (с порогом ), полученные в результате умножения их инициализированных частей и . Этот шаг использует тот факт, что все стороны содержат субчасти и , которые были получены в предыдущем разделе.
  3. Линейная комбинация: как описано в [14], как только все стороны содержат части , то каждый из них может выполнить линейную комбинацию своих долей, в результате чего, они будут содержать части как результат умножения .

Свободное Свободное F V S S s u b s h a r e {\displaystyle F {VSS}^{subshare}}

Как было сказано выше, для того, чтобы осуществлять шаг умножения субчастей, стороны должны каждую своей частью поделиться с другими сторонами. Таким образом, в одномерном случае, стороны сначала запустят -протокол за счет выполнения VSS плюс передачи элементов поля. Наше первое важное наблюдение заключалось в том, что в двумерном случае субчасти каждой части уже распределены между сторонами. Для того, чтобы убедиться в этом, вспомни, что каждая сторона содержит части . Исходя из этого, мы можем определить инвариантное распределение Шамира через многочлен в качестве оригинального протокола БГВ; из-за свойств двумерного распределения является одномерным многочленом степени , который скрывает . Кроме того, поскольку каждая сторона содержит многочлен , она может вычислить свои части в одномерном многочлене .

Переход от одномерности к двумерности - Переход от одномерности к двумерности - F ~ e x t e n d {\displaystyle {\tilde {F}} {extend}}

TemplateDifinitionIcon.svg Определение « Функциональность 7 (Возвращающая функциональность
  1. Функциональность получает доли подлинных сторон . Пусть будет уникальным многочленом степени , заданным точками .
  2. В случае, если посредник коррумпирован, то отправляет q(x) противнику.
  3. получает от посредника. Затем, он проверяет, что является многочленом степени для обеих переменных , и .
  4. Если оба условия имеют место быть, принимает двумерный многочлен , и отправляет каждой стороне пару многочленов .
  5. Если ни одно из условий не выполняется, отвергает двумерный многочлен и отправляет каждой стороне значение .

Проверка двумерной жалобы – -функциональностьПроверка двумерной жалобы – F e v a l k ~ {\displaystyle F {eval}^{\tilde {k}}} -функциональность

TemplateDifinitionIcon.svg Определение «Функциональность 8 (Функциональность
  1. получает от каждой подлинной стороны пару многочленов степени , для каждого . Путь будет единственным двумерным многочленом степени от двух переменных таким образом, чтобы удовлетворять условию для каждого .
  2. отправляет каждой стороне пару многочленов .


-функциональность для распределения результата умножения частейF ~ V S S m u l t {\displaystyle {\tilde {F}} {VSS}^{mult}} -функциональность для распределения результата умножения частей

TemplateDifinitionIcon.svg Определение «Функциональность 9 (Возвращающая функциональность
  1. получает в качестве входных значений части от каждой подлинной стороны .
  2. вычисляет уникальный многочлен степени и так, что и для каждой .
  3. отправляет посреднику .
  4. получает двумерный многочлен от и выбирает следующим образом:
    1. Если входные значения помечены специальным символом *, то выбирает случайный двумерный многочлен степени от двух переменных со ограничением, что .
    2. Иначе, если входной двумерный полином такой, что от двух переменных и , то задает .
    3. В противном случае, если ни , ни , то задает в качестве постоянного многочлена везде равному .
  5. отправляет посреднику и отправляет многочлены стороне для каждого из .
TemplateTheoremIcon.svg Теорема Теорема 10
Пусть . Тогда Протокол 11 безопасно вычислит -функциональность в -гибридной модели при наличии вредоносных противников.
Доказательство
Без доказательства


Финальный этап - совершенно-безопасное умножение

Учитывая двумерные части входных подключений для умножения, каждая сторона в свою очередь играют роль посредника в . В конце всех этих ухищрений, все стороны содержат двумерные части произведения частей остальных сторон (напомним, что двумерная часть – это пара одномерных многочленов). Как и в работе[11], стороны могут получить двумерные части, просто выполняя локальное вычисление своих частей. В этом заключается протокол умножения.

Анализ эффективности. Детальный анализ эффективности протокол отражен в работе[12]. Короче говоря, наш протокол использует двумерные свойства, которые имеют сложность до элементов поля частных каналов вместе с элементов поля в коммуникации через умножение в случае с вредоносным поведением. Заметим, что, когда стороны не лгут, то протокол требует только элементов поля для каналов и коммуникации в целом.


Литература

  1. M. Ben-Or, S. Goldwasser and A. Wigderson. Completeness Theorems for Non-Cryptographic Fault-Tolerant Distributed Computation. In 20th STOC, pages 1–10, 1988.
  2. M. Hirt and J.B. Nielsen. Robust Multiparty Computation with Linear Communication Complexity. In CRYPTO 2006, Springer (LNCS 4117), pages 463-482, 2006.
  3. I. Damg ̊ard and J.B. Nielsen. Scalable and Unconditionally Secure Multiparty Computation. In CRYPTO 2007, Springer (LNCS 4622), pages 572–590, 2007.
  4. M. Ben-Or, S. Goldwasser and A. Wigderson. Completeness Theorems for Non-Cryptographic Fault-Tolerant Distributed Computation. In 20th STOC, pages 1–10, 1988.
  5. P. Feldman. Optimal Algorithms for Byzantine Agreement. PhD thesis, Massachusetts Institute of Technology, 1988.
  6. R. Canetti. Security and Composition of Multiparty Cryptographic Protocols. Journal of Cryptology, 13(1):143–202, 2000.
  7. O. Goldreich. Foundations of Cryptography: Volume 2 – Basic Applications. Cambridge University Press, 2004.
  8. G. Asharov, Y. Lindell and T. Rabin. A Full Proof of the Perfectly-Secure BGW Protocol and Improvements. Cryptology ePrint Archive, 2011/136, 2011.
  9. E. Kushilevitz, Y. Lindell and T. Rabin. Information-Theoretically Secure Protocols and Security Under Composition. In the SIAM Journal on Computing, 39(5):2090–2112, 2010.
  10. R.Canetti. Universally Composable Security: A New Paradigm for Cryptographic Protocols. In 42nd FOCS, pages 136–145, 2001.
  11. M. Hirt, U.M. Maurer, B. Przydatek. Efficient Secure Multi-party Computation. In ASIACRYPT 2000, Springer (LNCS 1976), pages 143–161, 2000.
  12. M. Hirt and U. Maurer. Robustness for Free in Unconditional Multi-Party Computation. In CRYPTO 2001, Springer (LNCS 2139), pages 101-118, 2001.