. Эта схема должна создать

принадлежащий
$K_i \in \mathcal R$ может получить / вычислить_$s$
. Эта схема должна создать $sG$_{так что даже исполнитель схемы не может получить}$s$_{. Возможно ли это без взаимодействия с держателями закрытых ключей?}

Неинтерактивно делиться секретом с группой, не раскрывая генератору?Точнее, мы можем оценить любую логическую схему polysize на входе частным образом (т.е. входы и выходы не просачиваются). Если вы хотите оценить машины Тьюринга, это в целом сложнее (и вы должны отказаться от сокрытия точного времени выполнения вычислений, чтобы это было интересно), но это
также можно сделать РЕДАКТИРОВАТЬ:
{} _{из ваших комментариев я теперь понимаю ваш вопрос более четко. Да, FHE никогда не покажет промежуточные вычисления в открытом виде. Это означает, что когда вы запускаете программу с зашифрованными значениями, шаблон вычислений должен игнорировать точные данные. Это не делает такие вычисления невозможными, как вы, кажется, полагаете, а просто менее эффективными.}Например, предположим, что вы должны выполнить следующую программу: если $a > b$, вывести $f(x)$, иначе вывести $g(x)$. Используя FHE, вы должны действовать следующим образом: вычислить бит $\beta$, равный $1$, если $a > b$, и $0$ в противном случае, и вывести $\beta\cdot f(x) + (1-\beta) \cdot г(х)$. Вы можете вычислить это на зашифрованных данных, и вам никогда не нужно знать точное значение $\beta$ для оценки этой программы с FHE.

Вычисление FHE не нуждается в «результате открытого текста», оно просто должно полагаться на алгоритм, который работает без учета точных входных данных, и обычно несложно преобразовать вычисление в вычисление без учета (хотя это тоже не всегда очевидно)._{Представьте, что кто-то знает набор} $n$ _{открытые ключи ЕСС} $\mathcal R = \{K_1, K_2, ... K_n\}$
но они не знают соответствующих закрытых ключей $k_1$_{$k_2$}$k_n$_{. Они хотят создать открытый ключ}
$sG$ чтобы любой, у кого есть закрытый ключ _{$k_i$} принадлежащий _{$K_i \in \mathcal R$}
может получить / вычислить $s$

В примере вопроса C действует как человек посередине (MitM), выдавая себя за B по отношению к A (на уровне связи) при получении {R_Б,В}_К, и олицетворение A по отношению к B (аналогично) при отправке {R_Б,В}_К. При отсутствии не описанных мер B примет сообщение {R_Б,В}_К посланный C, как если бы он пришел непосредственно от A.

Такая возможность MitM является стандартной гипотезой в криптографии и проектировании протоколов, потому что она физически возможна в подавляющем большинстве используемых сегодня средств связи: проводах, оптоволокне, радио (включая спутник).

Будет ли «B аутентифицировать C вместо A» - это вопрос соглашения и контекста, и они различаются.

В отсутствие другой атаки¹ протокол гарантирует, что А участвовал в обмене, и я бы не сказал, что свойство аутентификации протокола, ограниченное тем, что описано в вопросе², нарушено или бесполезно. Например, если A является пультом дистанционного управления для устройства B, то пульт был задействован в течение периода времени между созданием R_Б и принимая {R_Б,В}_К. Если далее B подтвердит, что этот период времени наиболее $t$, то B имеет страховку A находится на расстоянии $т\,с/2$, куда $с$ это скорость света.

¹ Атаки возможны или нет, в зависимости от свойств используемого шифрования и от того, как стороны, знающие ключ K (включая A и B), используют его сверх того, что описано в вопросе.

² Все было бы совсем иначе, если бы вопрос заканчивался словами: аутентифицировав А, В приступает к общению.

Основная проблема в этом вопросе - правильное понимание аутентификации.
Если B хочет аутентифицировать A, это означает, что B должен получить адекватное свидетельство аутентификации сообщения и аутентификации объекта от A.

А -> С: {RB,B}K
С -> В: {RB,B}К 

В этой схеме, с одной стороны, C просто действует как проводник, а с другой стороны, B получает достаточно доказательств аутентификации сообщения и аутентификации объекта от A.