Классические схемы разделения секретов против гомоморфных схем разделения секретов

При традиционном обмене секретами вы распределяете секрет между несколькими сторонами, которые впоследствии могут восстановить его. С другой стороны, при гомоморфном совместном использовании секрета вы хотите, чтобы стороны могли применять определенные *локальные* операции к своим общим ресурсам перед реконструкцией, чтобы восстановленный секрет был не исходным распределенным значением, а скорее его функцией. Например, в линейной схеме разделения секрета (такой, как у Шамира) каждая сторона может умножить свою долю на константу $c$, чтобы восстановить не секрет, а секретное время $c$. Фактические документы HSS рассматривают другие функции.

@ Даниэль, я перефразирую свой вопрос. Можем ли мы использовать гомоморфную схему разделения секретов для разработки безопасных многосторонних протоколов связи, подобных протоколам Бен-Ора и Рабина или протоколов Бен-Ора, М., Голдвассера, С., Вигдерсона?

Гомоморфное совместное использование секрета (HSS) для произвольных функций тривиально обеспечивает безопасное вычисление для любой функции: просто разделяйте входные данные секретом, каждая сторона локально применяет требуемую операцию, а затем секрет реконструируется для получения результата вычисления на входных данных. Вам не нужно задействовать BGW или любой другой протокол, если у вас есть HSS для произвольных функций. Однако проблема заключается в разработке таких HSS.

Этот вопрос на других языках: