非交互式安全计算的扭曲？

Question

非交互式安全计算(NISC) (由本论文引入，关注由其他引入)是安全2PC/MPC的变体，定义为以下设置：

Alice发布了f(*，y)的加密版本，这样Bob或任何其他熟悉x的人都可以构造消息m，将f(x，y)显示给Alice (而不需要与Alice进行任何其他交互)。

然而，在当前的建议中，如果我正确理解，Bob将无法在没有Alice的帮助下学习f(x，y)。但这正是我想要的。与NISC的文献相比，Bob对x的隐私和f(x，y)的隐私对我来说都不重要。只是Y的隐私很重要。有人知道这是否有可能/已经有人提出了吗？

Answer 1

如果Alice是唯一会说话的人，但是Bob可以学习输出，那么协议的泄漏必须不仅仅是f(x,y)。请参见：

Halevi，Lindell，Pinkas：网络上的安全计算:不同时交互的计算

本质上，Bob可以选择许多不同的y_i值并重新运行协议来学习许多不同的f(x,y_i)输出。由于鲍勃从来没有在协议中说过话，所以他可以“在头脑中”做到这一切，而没有爱丽丝的参与。因此，您可以期望的最好结果是，协议只泄漏给Bob，就像残差函数f(x,\cdot)的预言一样。

对于某些函数f，实现“最佳可能”泄漏是不可能的。定理2.3有一个例子(其中f是一个伪随机函数，x是它的种子)。对于其他函数，“最佳可能”泄漏相当于在清除中发出x。因此，并不总是清楚你能从这个有限的交互模型中得到什么。