在數(shù)字化浪潮席卷全球的今天，數(shù)據(jù)已成為驅(qū)動(dòng)社會(huì)進(jìn)步與經(jīng)濟(jì)發(fā)展的核心燃料。然而，“數(shù)據(jù)孤島”現(xiàn)象普遍存在，不同機(jī)構(gòu)、企業(yè)之間的數(shù)據(jù)因隱私、安全和法規(guī)的限制而難以流通與融合，極大地阻礙了數(shù)據(jù)價(jià)值的深度挖掘。在此背景下，如何在不泄露各方原始數(shù)據(jù)的前提下進(jìn)行聯(lián)合計(jì)算，成為了一個(gè)至關(guān)重要的核心挑戰(zhàn)。多方安全計(jì)算（Multi-Party Computation, MPC）為此提供了強(qiáng)大的理論框架和技術(shù)路徑，它描繪了一個(gè)無(wú)需可信第三方即可實(shí)現(xiàn)協(xié)同計(jì)算的理想藍(lán)圖。

MPC協(xié)議的安全性與功能性，在很大程度上依賴于其底層的密碼學(xué)原語(yǔ)。其中，承諾方案（Commitment Scheme, CS）扮演了不可或缺的角色。它如同一把數(shù)字化的“鎖”，將參與方的意圖預(yù)先鎖定，又像一個(gè)不透明的“密封信封”，在揭示前保護(hù)內(nèi)容的機(jī)密?？梢哉f(shuō)，承諾方案是構(gòu)筑MPC協(xié)議中公平性、正確性與可問(wèn)責(zé)性的基石。深入理解承諾方案的內(nèi)在屬性、工作機(jī)理及其與MPC協(xié)議的復(fù)雜交互關(guān)系，對(duì)于設(shè)計(jì)和部署更強(qiáng)大、更可靠的隱私保護(hù)計(jì)算應(yīng)用至關(guān)重要。

通過(guò)經(jīng)典論文《Commitment Schemes for Multi-Party Computation》對(duì)這個(gè)領(lǐng)域進(jìn)行深入的剖析與解讀（該論文由布加勒斯特大學(xué)的Ioan Ionescu與Ruxandra F. Olimid共同撰寫），本文嘗試系統(tǒng)性地梳理了承諾方案（Commitment Scheme, CS）在多方安全計(jì)算（MPC）中的核心作用與深遠(yuǎn)影響。以該論文的框架為基礎(chǔ)，我們將首先建立對(duì)承諾方案和多方安全計(jì)算的基礎(chǔ)認(rèn)識(shí)，然后將焦點(diǎn)置于兩者之間深刻且精妙的聯(lián)系之上，系統(tǒng)性地探討不同類型的承諾方案如何為MPC賦予關(guān)鍵的安全屬性。通過(guò)剖析具體的協(xié)議（如GMW、SPDZ）和豐富的應(yīng)用場(chǎng)景（如拍賣、投票），揭示其內(nèi)在的工作機(jī)理。

一、核心密碼學(xué)構(gòu)件：承諾方案（CS）

承諾方案是一種基礎(chǔ)但極為強(qiáng)大的密碼學(xué)原語(yǔ)，它允許一個(gè)參與方（承諾者）對(duì)一個(gè)選定的值做出承諾，并將其發(fā)送給另一方（驗(yàn)證者），同時(shí)保持該值的私密性，直到稍后的某個(gè)時(shí)間點(diǎn)再揭示它。這個(gè)過(guò)程可以被精準(zhǔn)地類比為將一張寫有秘密的紙條鎖入一個(gè)保險(xiǎn)箱，然后將保險(xiǎn)箱的鑰匙銷毀，并將保險(xiǎn)箱本身交給驗(yàn)證者。在約定的“開(kāi)箱”時(shí)刻到來(lái)之前，驗(yàn)證者無(wú)法通過(guò)任何方式（哪怕是暴力砸開(kāi)）得知紙條上的內(nèi)容，而承諾者也因?yàn)闆](méi)有鑰匙而無(wú)法在不被發(fā)現(xiàn)的情況下替換箱中的紙條。

1.1 承諾方案的形式化定義與核心屬性

一個(gè)典型的承諾方案在形式上由三個(gè)核心算法構(gòu)成，它們共同協(xié)作以完成承諾的生命周期：

1. Setup（設(shè)置）: 這是一個(gè)公共的初始化隨機(jī)算法。它接收一個(gè)安全參數(shù) k 作為輸入（k 的大小決定了密碼系統(tǒng)的安全強(qiáng)度），并生成一個(gè)公開(kāi)的承諾密鑰 CK。這個(gè)密鑰是系統(tǒng)范圍內(nèi)的公共參數(shù)，所有參與方都將使用它來(lái)執(zhí)行后續(xù)的承諾和驗(yàn)證過(guò)程。
2. Commit（承諾）: 這是一個(gè)由承諾者執(zhí)行的隨機(jī)算法。承諾者使用公共的承諾密鑰 CK 和自己選擇的待承諾消息 m，同時(shí)引入一個(gè)新的隨機(jī)數(shù) r（有時(shí)稱為鹽值或盲化因子），共同生成一個(gè)承諾字符串 cs 和一個(gè)對(duì)應(yīng)的打開(kāi)字符串 os。通常，cs 是 m 和 r 的某種函數(shù)形式，而 os 則包含了 m 和 r 本身。承諾者會(huì)將承諾字符串 cs 公開(kāi)或發(fā)送給驗(yàn)證者，而將打開(kāi)字符串 os 作為秘密憑證自己妥善保存。
3. Open（打開(kāi)/揭示）: 這是一個(gè)由驗(yàn)證者執(zhí)行的確定性算法。當(dāng)承諾者希望揭示其承諾時(shí)，它會(huì)將之前秘密保存的打開(kāi)字符串 os 發(fā)送給驗(yàn)證者。驗(yàn)證者利用公共的承諾密鑰 CK、之前收到的承諾字符串 cs 以及新收到的打開(kāi)字符串 os，來(lái)恢復(fù)原始消息 m 并驗(yàn)證其有效性。驗(yàn)證過(guò)程通常是檢查 cs 是否確實(shí)能由 os 中包含的 m 和 r 按照承諾算法重新計(jì)算得出。

承諾方案的安全性與有效性，主要依賴于兩個(gè)不可或缺的基本屬性，這兩個(gè)屬性之間存在一種內(nèi)在的制衡關(guān)系：

• 隱藏性（Hiding）: 此屬性保證了在承諾被正式打開(kāi)之前，驗(yàn)證者無(wú)法從承諾字符串 cs 中獲取任何關(guān)于被承諾消息 m 的有效信息。這保證了消息在承諾階段的機(jī)密性。隱藏性可以是計(jì)算性的（Computational Hiding），即對(duì)于一個(gè)計(jì)算能力有限（多項(xiàng)式時(shí)間）的驗(yàn)證者來(lái)說(shuō)是安全的；也可以是信息論的，即完美隱藏性（Perfect Hiding），在這種情況下，即使是擁有無(wú)限計(jì)算能力的驗(yàn)證者，從其視角看，該承諾也可能對(duì)應(yīng)于任何一個(gè)可能的消息，因此無(wú)法獲取任何信息。
• 綁定性（Binding）: 此屬性保證了承諾者一旦完成承諾，就無(wú)法在打開(kāi)階段“反悔”，即無(wú)法聲稱一個(gè)與原消息不同的消息并讓驗(yàn)證者接受。形式上講，承諾者無(wú)法找到另一個(gè)消息 m′=m 和對(duì)應(yīng)的打開(kāi)字符串 os′，使得驗(yàn)證者能夠接受 (m′,os′) 作為對(duì)同一個(gè)承諾 cs 的有效打開(kāi)。這保證了承諾的不可篡改性。與隱藏性類似，綁定性也可以是計(jì)算性的（Computational Binding），或信息論的，即完美綁定性（Perfect Binding），這意味著即使是擁有無(wú)限計(jì)算能力的承諾者也無(wú)法打破承諾。

一個(gè)重要的理論結(jié)論是，任何承諾方案都無(wú)法同時(shí)實(shí)現(xiàn)完美隱藏性和完美綁定性。這背后的直覺(jué)是：如果一個(gè)方案是完美隱藏的，意味著從驗(yàn)證者的角度看，任何一個(gè)承諾值都可能對(duì)應(yīng)于空間內(nèi)所有的消息，信息上完全無(wú)法區(qū)分。那么，一個(gè)擁有無(wú)限算力的承諾者，總能找到兩個(gè)不同的消息m1和m2（以及對(duì)應(yīng)的隨機(jī)數(shù)），它們會(huì)生成完全相同的承諾值。這樣，他就可以在打開(kāi)階段靈活地選擇揭示m1或m2，從而打破了綁定性。反之亦然。因此，在實(shí)踐中，方案設(shè)計(jì)者必須根據(jù)應(yīng)用需求做出權(quán)衡，選擇一種是完美的，而另一種是計(jì)算安全的。例如，Pedersen承諾方案就提供了完美的隱藏性和計(jì)算的綁定性。

1.2 承諾方案的擴(kuò)展屬性及其價(jià)值

除了隱藏性和綁定性這兩個(gè)基本屬性外，為了滿足更復(fù)雜的密碼學(xué)協(xié)議需求，許多承諾方案還被設(shè)計(jì)出具備其他高級(jí)屬性，這些屬性極大地?cái)U(kuò)展了它們?cè)贛PC等場(chǎng)景中的應(yīng)用潛力和威力。

• 同態(tài)性（Homomorphism）: 這是最具影響力的屬性之一。同態(tài)承諾方案允許在不打開(kāi)承諾的情況下，對(duì)已承諾的值執(zhí)行特定的代數(shù)運(yùn)算（如加法或乘法）。例如，著名的Pedersen承諾方案 C(m,r)=gmhr(modp) 就是加法同態(tài)的。如果有兩個(gè)承諾 C(m1,r1) 和 C(m2,r2)，任何人都可以通過(guò)計(jì)算它們的乘積 C(m1,r1)?C(m2,r2)=(gm1hr1)(gm2hr2)=gm1+m2hr1+r2=C(m1+m2,r1+r2)，從而得到一個(gè)對(duì) m1+m2 的新承諾。這個(gè)強(qiáng)大的特性是構(gòu)建高效MPC協(xié)議（如SPDZ）的核心，因?yàn)樗试S各方在加密狀態(tài)下對(duì)秘密份額進(jìn)行線性運(yùn)算，并能公開(kāi)驗(yàn)證運(yùn)算的正確性。
• 非延展性（Non-malleability）: 此屬性旨在防止攻擊者在給定一個(gè)承諾 C(m) 的情況下，能夠系統(tǒng)性地生成另一個(gè)與原始消息 m 存在某種已知關(guān)系的消息 m′ 的有效承諾 C(m′)。例如，在拍賣中，如果承諾方案是可延展的，攻擊者看到某人的出價(jià)承諾 C(b) 后，或許能構(gòu)造出一個(gè)對(duì) b?1 的承諾 C(b?1)，從而在不知道具體出價(jià)的情況下進(jìn)行有效的低價(jià)競(jìng)標(biāo)。非延展性對(duì)于維護(hù)協(xié)議的公平性和防止戰(zhàn)略性攻擊至關(guān)重要。
• 可提取性（Extractability）: 在某些特殊的安全模型中（通常需要一個(gè)可信的設(shè)置階段或一個(gè)“陷門”），一個(gè)被授權(quán)的實(shí)體（通常是安全證明中的“模擬器”）可以從承諾中“提取”出被承諾的原始消息，而無(wú)需承諾者的配合。這個(gè)屬性在構(gòu)建滿足通用可組合性（UC）安全的協(xié)議時(shí)是不可或豁缺的，因?yàn)樗试S模擬器在模擬證明中洞察并控制敵手的輸入，從而證明協(xié)議在復(fù)雜并發(fā)環(huán)境下的安全性。
• 定時(shí)承諾（Timed Commitment）: 這種承諾方案引入了時(shí)間維度，允許在特定時(shí)間延遲后強(qiáng)制打開(kāi)承諾，即使承諾者拒絕合作。這通常通過(guò)時(shí)間鎖謎題（Time-lock Puzzles）或可驗(yàn)證延遲函數(shù)（VDFs）來(lái)實(shí)現(xiàn)。它為解決公平性問(wèn)題提供了強(qiáng)有力的保障，尤其是在拍賣、擲幣或合同簽署等需要同步行動(dòng)的競(jìng)爭(zhēng)性場(chǎng)景中。
• 公共可驗(yàn)證性（Public Verifiability）: 此屬性允許任何第三方（不僅僅是最初接收承諾的驗(yàn)證者），僅憑公開(kāi)信息（如公共密鑰 CK 和承諾值 cs）就能驗(yàn)證一個(gè)打開(kāi)的承諾是否有效。這與只有原始接收方才能驗(yàn)證的“指定驗(yàn)證者”方案形成對(duì)比。公共可驗(yàn)證性對(duì)于構(gòu)建需要公共監(jiān)督和審計(jì)的去中心化系統(tǒng)（如區(qū)塊鏈上的應(yīng)用或公共電子投票系統(tǒng)）是至關(guān)重要的。
• 多項(xiàng)式承諾（Polynomial Commitment）: 這是一種更高級(jí)的承諾形式，允許承諾者對(duì)一個(gè)多項(xiàng)式 P(x) 進(jìn)行承諾，然后在后續(xù)階段可以打開(kāi)該多項(xiàng)式在任意點(diǎn) z 的求值結(jié)果 P(z)，并提供一個(gè)簡(jiǎn)短的證明來(lái)證實(shí)該求值的正確性。這個(gè)工具在零知識(shí)證明系統(tǒng)（如SNARKs）和一些高級(jí)MPC協(xié)議中扮演核心角色，因?yàn)樗芨咝У仳?yàn)證大規(guī)模計(jì)算的完整性。

二、隱私保護(hù)計(jì)算的核心技術(shù)：多方安全計(jì)算（MPC）

多方安全計(jì)算（MPC）是一門密碼學(xué)分支，它允許多個(gè)互不信任的參與方共同計(jì)算一個(gè)約定好的函數(shù)，而在此過(guò)程中無(wú)需向其他方透露他們各自的私有輸入。協(xié)議執(zhí)行結(jié)束后，各方只能得到正確的計(jì)算結(jié)果，而關(guān)于其他方輸入的任何額外信息都不會(huì)被泄露。其經(jīng)典隱喻是“姚氏百萬(wàn)富翁問(wèn)題”：兩個(gè)百萬(wàn)富翁想知道誰(shuí)更富有，但又不想讓對(duì)方或任何第三方知道自己的具體財(cái)富數(shù)額。MPC提供了一套數(shù)學(xué)工具，使他們能夠在不泄露財(cái)富的情況下安全地得出結(jié)論。

2.1 MPC的核心目標(biāo)與安全模型

一個(gè)MPC協(xié)議設(shè)計(jì)時(shí)必須達(dá)成的核心目標(biāo)可以概括為兩點(diǎn)，它們共同定義了協(xié)議的“安全性”：

• 隱私性（Privacy）: 協(xié)議的整個(gè)執(zhí)行過(guò)程（包括所有交換的消息）都不會(huì)泄露任何參與方的私有輸入，除了可以從最終輸出結(jié)果中合法推斷出的信息之外。這意味著參與方學(xué)習(xí)到的信息嚴(yán)格等同于將數(shù)據(jù)交給一個(gè)完全可信的第三方進(jìn)行計(jì)算后返回結(jié)果所能學(xué)習(xí)到的信息。
• 正確性（Correctness）: 即使系統(tǒng)中存在部分參與方是惡意的或出現(xiàn)故障，協(xié)議也必須保證最終輸出的結(jié)果是根據(jù)所有誠(chéng)實(shí)參與方的真實(shí)輸入正確計(jì)算得出的。協(xié)議必須能夠抵御惡意方通過(guò)提供錯(cuò)誤信息或偏離協(xié)議流程來(lái)操縱最終結(jié)果的企圖。

為了精確地分析和證明協(xié)議的安全性，MPC研究中引入了不同的敵手模型來(lái)刻畫潛在威脅的能力和行為。最常見(jiàn)的兩種模型是：

• 半誠(chéng)實(shí)敵手（Honest-but-curious）: 也稱為被動(dòng)敵手或“誠(chéng)實(shí)的好奇者”。在此模型中，被腐化的參與方會(huì)嚴(yán)格遵守協(xié)議的每一步指令，不進(jìn)行任何篡改或偏離。然而，他們會(huì)像偵探一樣，記錄并分析其在協(xié)議執(zhí)行過(guò)程中收到的所有信息（包括所有中間消息），并試圖從中推斷出其他方的秘密輸入。
• 惡意敵手（Malicious）: 也稱為主動(dòng)敵手。這是更強(qiáng)大也更貼近現(xiàn)實(shí)的威脅模型。在此模型中，被腐化的參與方可以完全無(wú)視協(xié)議規(guī)則，任意偏離協(xié)議執(zhí)行流程。他們可以發(fā)送精心構(gòu)造的偽造信息，根據(jù)收到的消息動(dòng)態(tài)調(diào)整自己的策略，甚至可以提前中止協(xié)議以實(shí)現(xiàn)自身利益最大化。設(shè)計(jì)能夠抵御惡意敵手的MPC協(xié)議是該領(lǐng)域的一個(gè)主要挑戰(zhàn)和研究熱點(diǎn)。

2.2 MPC的關(guān)鍵屬性

除了隱私性和正確性這兩個(gè)基本安全目標(biāo)外，一個(gè)成熟、實(shí)用的MPC協(xié)議還追求其他一系列重要的屬性，這些屬性直接影響其在現(xiàn)實(shí)世界中的部署可行性和用戶體驗(yàn)。

• 公平性（Fairness）: 保證一種“同生共死”的結(jié)局，即“要么所有誠(chéng)實(shí)的參與方都得到正確的輸出結(jié)果，要么任何參與方都得不到任何結(jié)果”。這可以有效防止惡意參與方在自己率先得到結(jié)果后，通過(guò)提前退出協(xié)議來(lái)阻止其他誠(chéng)實(shí)方獲取結(jié)果，從而獲得不公平的優(yōu)勢(shì)。
• 可問(wèn)責(zé)性（Accountability）/作弊者識(shí)別: 相比于僅僅保證正確性（即協(xié)議在檢測(cè)到作弊時(shí)中止），可問(wèn)責(zé)性更進(jìn)一步。如果一個(gè)參與方在計(jì)算中作弊，協(xié)議不僅會(huì)中止，誠(chéng)實(shí)方還能收集到不可抵賴的證據(jù)來(lái)向第三方（如仲裁者）證明是哪個(gè)參與方進(jìn)行了作弊。這對(duì)于建立長(zhǎng)期合作中的信任和形成有效的經(jīng)濟(jì)威懾至關(guān)重要。
• 公共可審計(jì)性（Public Auditability）: 允許一個(gè)與計(jì)算無(wú)關(guān)的外部審計(jì)員，在不訪問(wèn)任何私有輸入的情況下，僅通過(guò)審查協(xié)議執(zhí)行過(guò)程中產(chǎn)生的公開(kāi)交互記錄（transcript），就能夠獨(dú)立地驗(yàn)證最終計(jì)算結(jié)果的正確性。這在需要向公眾或監(jiān)管機(jī)構(gòu)證明計(jì)算合規(guī)性的場(chǎng)景下尤為重要。
• 動(dòng)態(tài)性（Dynamicity）: 指協(xié)議能夠支持參與方群體發(fā)生動(dòng)態(tài)變化，即在協(xié)議執(zhí)行期間允許新的參與方安全地加入，或現(xiàn)有參與方安全地離開(kāi)，而不會(huì)損害已在進(jìn)行中的計(jì)算的安全性和正確性，也無(wú)需從頭重啟整個(gè)協(xié)議。
• 高效性（Efficiency）: 這是一個(gè)綜合性指標(biāo)，通常從三個(gè)維度來(lái)衡量：通信開(kāi)銷（協(xié)議執(zhí)行過(guò)程中總共需要交換多少數(shù)據(jù)）、計(jì)算開(kāi)銷（各參與方需要執(zhí)行多少次加密、解密、哈希等密碼學(xué)操作）和交互輪數(shù)（完成計(jì)算需要幾輪你來(lái)我往的通信）。高效性是決定MPC協(xié)議能否從理論構(gòu)想走向大規(guī)模實(shí)踐的決定性因素。

三、承諾方案與多方安全計(jì)算的深度交互

承諾方案（CS）和多方安全計(jì)算（MPC）之間存在著一種深刻的、密不可分的共生關(guān)系。CS不僅僅是MPC工具箱中的一個(gè)普通構(gòu)件，在許多情況下，它更是實(shí)現(xiàn)MPC核心安全屬性，特別是從半誠(chéng)實(shí)安全躍升至惡意安全的賦能者。CS的各種精妙特性，能夠被直接“翻譯”為MPC協(xié)議在不同敵手模型下的高級(jí)安全保障。

3.1 從半誠(chéng)實(shí)到惡意安全：承諾方案的關(guān)鍵作用

許多經(jīng)典的MPC協(xié)議，如GMW協(xié)議（基于姚氏混淆電路），其最初的設(shè)計(jì)是為了抵御能力較弱的半誠(chéng)實(shí)敵手。在半誠(chéng)實(shí)模型下，我們假設(shè)參與方會(huì)遵守規(guī)則。然而，為了將其強(qiáng)化以應(yīng)對(duì)更強(qiáng)大、更具破壞性的惡意敵手，一個(gè)核心且通用的技術(shù)就是引入承諾方案。

在GMW協(xié)議的惡意安全變體中，一個(gè)關(guān)鍵的增強(qiáng)步驟是要求每個(gè)參與方在執(zhí)行電路計(jì)算之前，對(duì)自己所有的秘密輸入以及在協(xié)議中使用的所有隨機(jī)性（如用于生成混淆電路的隨機(jī)幣拋擲）進(jìn)行密碼學(xué)承諾。例如，參與方可以計(jì)算其輸入 x 和一個(gè)秘密隨機(jī)數(shù) r 的哈希值 H(x∣∣r) 作為承諾，并將此哈希值廣播給所有其他參與方。

由于哈希函數(shù)的綁定性，參與方一旦提交了承諾，就如同立下了一個(gè)不可更改的“軍令狀”。在后續(xù)的計(jì)算中，他們必須使用與承諾一致的輸入和隨機(jī)性。如果在協(xié)議執(zhí)行的任何階段，一個(gè)參與方的行為被發(fā)現(xiàn)與其之前的承諾相矛盾（例如，在后續(xù)的驗(yàn)證步驟中，他揭示的輸入值無(wú)法重新生成當(dāng)初的哈希承諾），那么作弊行為就會(huì)被立即檢測(cè)到。協(xié)議將安全地中止，并且作弊方可以被準(zhǔn)確地識(shí)別出來(lái)。通過(guò)這種方式，CS的綁定性為協(xié)議強(qiáng)制注入了行為的一致性，將任何惡意的偏離行為都轉(zhuǎn)化為一個(gè)可被公開(kāi)驗(yàn)證的錯(cuò)誤。與此同時(shí)，CS的隱藏性則確保了在承諾最終被打開(kāi)以供驗(yàn)證之前，這些敏感的輸入值和隨機(jī)性不會(huì)被提前泄露，從而完美地保護(hù)了協(xié)議的隱私性。

3.2 同態(tài)承諾：SPDZ協(xié)議的支柱

SPDZ協(xié)議及其龐大的變種家族是當(dāng)前最高效、應(yīng)用最廣泛的惡意安全MPC協(xié)議之一。其核心思想是，在計(jì)算過(guò)程中，各方操作的不再是簡(jiǎn)單的秘密份額，而是“經(jīng)過(guò)認(rèn)證的”秘密份額。這種強(qiáng)大的認(rèn)證機(jī)制，其根基正是通過(guò)同態(tài)承諾方案（特別是Pedersen承諾）來(lái)實(shí)現(xiàn)的。

SPDZ協(xié)議巧妙地分為兩個(gè)階段：離線預(yù)處理階段和在線計(jì)算階段。在離線階段，各方協(xié)同生成大量的與具體計(jì)算無(wú)關(guān)的隨機(jī)數(shù)原材料，如用于乘法計(jì)算的“Beaver三元組” (a,b,c) 其中 c=ab，并對(duì)這些值進(jìn)行秘密共享。至關(guān)重要的是，他們還會(huì)對(duì)一個(gè)全局的MAC密鑰 α 和各自持有的秘密份額 xi 進(jìn)行承諾，形成一個(gè)對(duì)“認(rèn)證份額” ?x?i=(xi,γ(x)i) 的承諾，其中 γ(x)i 是份額 xi 對(duì)應(yīng)的消息認(rèn)證碼（MAC）標(biāo)簽，通常計(jì)算為 α?xi，這里 α 是一個(gè)全局的、秘密共享的MAC密鑰。這個(gè)小小的標(biāo)簽是SPDZ協(xié)議安全性的核心：它將每個(gè)秘密份額和一個(gè)全局秘密綁定在了一起。

當(dāng)進(jìn)入在線計(jì)算階段時(shí)，對(duì)秘密份額的加法和乘法運(yùn)算都伴隨著對(duì)MAC值的相應(yīng)同態(tài)運(yùn)算。由于Pedersen承諾的加法同態(tài)性，各方可以在不泄露任何秘密信息的情況下，公開(kāi)地驗(yàn)證這些運(yùn)算是否保持了MAC關(guān)系的正確性。

• 隱私性與正確性的雙重保障：由于Pedersen承諾具有信息論上的完美隱藏性，即使所有的承諾值都被公布在公共公告板上，敵手也無(wú)法獲知關(guān)于秘密份額的任何信息。同時(shí)，由于其計(jì)算上的綁定性，任何一方都無(wú)法在不被發(fā)現(xiàn)的情況下篡改自己的份額或MAC值。任何非法的修改都會(huì)在最終的驗(yàn)證環(huán)節(jié)中導(dǎo)致MAC校驗(yàn)失敗，從而暴露作弊行為。
• 通往公共可審計(jì)性的大門：SPDZ的一個(gè)重要擴(kuò)展是利用同態(tài)承諾實(shí)現(xiàn)了公共可審計(jì)性。因?yàn)樗械妮斎?、所有中間計(jì)算結(jié)果以及最終輸出的份額，都有其對(duì)應(yīng)的公開(kāi)承諾記錄，一個(gè)外部審計(jì)員可以在計(jì)算結(jié)束后，僅憑這些公開(kāi)承諾，利用其同態(tài)性來(lái)獨(dú)立地、端到端地驗(yàn)證整個(gè)計(jì)算過(guò)程的代數(shù)關(guān)系是否自洽，而完全無(wú)需訪問(wèn)任何參與方的私有數(shù)據(jù)。例如，如果協(xié)議聲稱計(jì)算了 z=x+y，審計(jì)員可以公開(kāi)驗(yàn)證承諾之間是否滿足 C(z)=C(x)?C(y) 的關(guān)系。任何不一致都將成為無(wú)可辯駁的作弊證據(jù)。

可以說(shuō)，同態(tài)承諾是SPDZ協(xié)議的“魔法”所在。它將對(duì)秘密值的復(fù)雜驗(yàn)證過(guò)程，巧妙地轉(zhuǎn)化為了對(duì)公開(kāi)承諾值的簡(jiǎn)單代數(shù)關(guān)系驗(yàn)證，這是SPDZ協(xié)議能夠在惡意模型下兼具驚人高效率和強(qiáng)大安全性的根本原因。

3.3 定時(shí)承諾與公平性保障

在許多競(jìng)爭(zhēng)性或時(shí)間敏感的MPC應(yīng)用中，如密封投標(biāo)拍賣、在線合同簽署或公平擲幣協(xié)議中，公平性是協(xié)議成敗的關(guān)鍵。一個(gè)常見(jiàn)的“最后一分鐘”攻擊是，惡意參與方等待看到其他人的部分信息或行為后，再?zèng)Q定自己是否繼續(xù)協(xié)議，或者通過(guò)在關(guān)鍵時(shí)刻中止協(xié)議來(lái)使自己獲利。

定時(shí)承諾為解決這一棘手的公平性問(wèn)題提供了強(qiáng)有力的密碼學(xué)工具。以密封投標(biāo)拍賣為例，所有競(jìng)標(biāo)者不再使用普通承諾，而是使用定時(shí)承諾來(lái)提交他們的出價(jià)。這意味著，每個(gè)承諾都內(nèi)嵌了一個(gè)“定時(shí)炸彈”。即使某個(gè)競(jìng)標(biāo)者在承諾階段結(jié)束后，發(fā)現(xiàn)情況不妙（例如，他通過(guò)某些側(cè)信道信息猜測(cè)自己的出價(jià)可能不是最優(yōu)的）并拒絕按時(shí)打開(kāi)他的出價(jià)，協(xié)議機(jī)制（或其他誠(chéng)實(shí)參與方）也能在預(yù)設(shè)的時(shí)間到達(dá)后，利用承諾的定時(shí)屬性強(qiáng)制“引爆”該承諾，從而恢復(fù)其出價(jià)。

這一機(jī)制確保了任何人都無(wú)法通過(guò)拒絕合作來(lái)單方面破壞拍賣的公平性和確定性。定時(shí)承諾將協(xié)議的公平終止，從依賴于所有參與方的主動(dòng)合作，轉(zhuǎn)變?yōu)橐粋€(gè)由時(shí)間驅(qū)動(dòng)的、不可阻擋的確定性過(guò)程，極大地增強(qiáng)了協(xié)議的魯棒性。

3.4 承諾方案在具體MPC應(yīng)用中的角色

為了更系統(tǒng)地理解承諾方案的“工具箱”特性，下表從承諾方案的關(guān)鍵屬性出發(fā)，梳理了它們?cè)诖硇缘腗PC協(xié)議或應(yīng)用場(chǎng)景中的具體作用、所依賴的核心密碼學(xué)特性以及典型的應(yīng)用領(lǐng)域。該表不僅是一個(gè)總結(jié)，更是一個(gè)索引，揭示了如何根據(jù)特定的應(yīng)用需求（例如，追求極致的公平性或需要公開(kāi)審計(jì)）來(lái)‘按圖索驥’，選擇最合適的承諾方案。

此表清晰地展示了CS屬性與MPC需求之間的精密映射關(guān)系。例如，在需要抵御最強(qiáng)敵手模型（即通用可組合性安全模型）的場(chǎng)景中，可提取承諾是必不可少的。因?yàn)樗试S安全證明中的模擬器“洞察”敵手到底承諾了什么，從而能夠有效地模擬真實(shí)世界中可能發(fā)生的任何復(fù)雜攻擊，進(jìn)而證明協(xié)議在最惡劣環(huán)境下的安全性。又如，在私人集合交集（Private Set Intersection, PSI）協(xié)議中，參與方可以對(duì)自己集合中的所有元素（或其集合的緊湊表示，如布隆過(guò)濾器或默克爾樹(shù)根）進(jìn)行承諾。承諾的綁定性確保了他們?cè)趨f(xié)議開(kāi)始后無(wú)法更改或添加其輸入集合的元素，從而保證了最終交集結(jié)果的完整性和正確性。

四、當(dāng)前局限與開(kāi)放性問(wèn)題

盡管承諾方案為MPC的理論大廈提供了堅(jiān)實(shí)的基礎(chǔ)，但在將這些精密的理論工具轉(zhuǎn)化為能夠在大規(guī)模、高性能的現(xiàn)實(shí)世界系統(tǒng)中穩(wěn)定運(yùn)行的工程實(shí)踐時(shí)，仍然面臨著諸多深刻的挑戰(zhàn)。

4.1 效率與可擴(kuò)展性的權(quán)衡

效率是長(zhǎng)期以來(lái)制約MPC技術(shù)從學(xué)術(shù)走向產(chǎn)業(yè)的核心瓶頸。不同承諾方案之間的性能表現(xiàn)差異巨大?；诠：瘮?shù)的承諾方案，如SHA-256，計(jì)算速度極快，承諾尺寸小，非常輕量級(jí)，但其功能相對(duì)單一，缺乏同態(tài)性等高級(jí)屬性。另一方面，功能強(qiáng)大的同態(tài)承諾（如Pedersen承諾）雖然僅僅依賴于相對(duì)高效的群操作，但在需要對(duì)海量數(shù)據(jù)進(jìn)行承諾的場(chǎng)景中，其累積的開(kāi)銷不容小覷。每個(gè)承諾都需要進(jìn)行若干次模冪運(yùn)算，并產(chǎn)生一個(gè)需要網(wǎng)絡(luò)傳輸?shù)娜涸?，這在計(jì)算密集型或帶寬受限的環(huán)境中，很快會(huì)成為性能瓶頸。

特別是在追求惡意安全的MPC模型中，為了確保每一步計(jì)算的正確性，協(xié)議可能要求對(duì)每一個(gè)比特或每一個(gè)秘密份額都進(jìn)行承諾和驗(yàn)證，這種“安全稅”會(huì)導(dǎo)致其性能相比于半誠(chéng)實(shí)協(xié)議下降數(shù)個(gè)數(shù)量級(jí)。如何在保證安全性的前提下，設(shè)計(jì)出更為高效的承諾方案本身（例如，通過(guò)向量承諾或多項(xiàng)式承諾實(shí)現(xiàn)對(duì)大量數(shù)據(jù)的批量承諾），或者設(shè)計(jì)出能更智能、更節(jié)約地利用承諾方案的MPC協(xié)議，是提升整個(gè)系統(tǒng)可擴(kuò)展性的一個(gè)關(guān)鍵且活躍的研究方向。

4.2 后量子時(shí)代的挑戰(zhàn)

量子計(jì)算機(jī)的曙光，為計(jì)算科學(xué)帶來(lái)無(wú)限可能的同時(shí)，也為當(dāng)前主流的公鑰密碼學(xué)投下了長(zhǎng)長(zhǎng)的陰影。一旦大規(guī)模容錯(cuò)量子計(jì)算機(jī)成為現(xiàn)實(shí)，依賴于大數(shù)分解或離散對(duì)數(shù)難題的許多密碼系統(tǒng)（包括最常用的Pedersen承諾和ElGamal承諾）將瞬間被Shor算法攻破，不再安全。因此，研究和開(kāi)發(fā)能夠在量子計(jì)算機(jī)攻擊下依然安全的后量子承諾方案（Post-quantum CS）變得刻不容緩。

目前，該領(lǐng)域的研究主要集中于基于數(shù)學(xué)上被認(rèn)為難以被量子計(jì)算機(jī)有效解決的問(wèn)題來(lái)構(gòu)建新的承諾方案，其中最主要的方向是基于格（Lattice-based）的困難假設(shè)，如LWE（Learning with Errors）或SIS（Short Integer Solutions）。然而，這些后量子方案目前普遍面臨挑戰(zhàn)：它們通常比傳統(tǒng)的方案需要更復(fù)雜的計(jì)算、更大的密鑰尺寸和更長(zhǎng)的承諾長(zhǎng)度。如何優(yōu)化這些方案的性能，并將它們無(wú)縫、高效地集成到現(xiàn)有的MPC框架中，是確保隱私保護(hù)技術(shù)能夠在后量子時(shí)代繼續(xù)生存和發(fā)展的核心議題。

4.3 通用可組合性（UC）安全的復(fù)雜性

UC安全模型為密碼協(xié)議提供了目前已知的最高級(jí)別的、近乎“黃金標(biāo)準(zhǔn)”的安全保證。它能確保一個(gè)被證明為UC安全的協(xié)議，在與任意數(shù)量的其他協(xié)議（無(wú)論這些協(xié)議設(shè)計(jì)得是好是壞）并發(fā)執(zhí)行時(shí)，仍然能夠保持其原始的安全性。然而，這種強(qiáng)大的安全保證是以巨大的復(fù)雜性為代價(jià)的。

設(shè)計(jì)滿足UC安全的承諾方案本身就極具挑戰(zhàn)性，其構(gòu)造和安全證明往往非常精巧和復(fù)雜，甚至在頂級(jí)學(xué)術(shù)會(huì)議發(fā)表的研究中也曾被發(fā)現(xiàn)存在細(xì)微但致命的安全漏洞。將這些本身就極其復(fù)雜的UC安全承諾方案作為構(gòu)件，再集成到本已錯(cuò)綜復(fù)雜的MPC協(xié)議中，無(wú)疑會(huì)進(jìn)一步放大整個(gè)系統(tǒng)的設(shè)計(jì)和分析難度，并可能引入新的、難以預(yù)料的潛在漏洞。如何在保證UC安全性的同時(shí)，設(shè)計(jì)出更簡(jiǎn)潔、更高效、更易于理解和安全實(shí)現(xiàn)的承諾方案及相應(yīng)的MPC協(xié)議，至今仍然是一個(gè)懸而未-決的、吸引著眾多頂尖密碼學(xué)家投入其中的重要問(wèn)題。

結(jié)論

承諾方案是多方安全計(jì)算領(lǐng)域中一個(gè)不可或缺的、處于基石地位的密碼學(xué)構(gòu)件。它絕非一個(gè)簡(jiǎn)單的輔助工具，而是實(shí)現(xiàn)MPC協(xié)議核心安全屬性——尤其是隱私性、正確性、公平性和可審計(jì)性——的強(qiáng)大使能技術(shù)。通過(guò)在協(xié)議設(shè)計(jì)的關(guān)鍵節(jié)點(diǎn)，仔細(xì)地選擇和部署具有特定屬性（如綁定性、隱藏性、同態(tài)性、定時(shí)性、公共可驗(yàn)證性）的承諾方案，我們可以構(gòu)建出能夠抵御從被動(dòng)竊聽(tīng)到主動(dòng)惡意攻擊等不同層級(jí)威脅的、安全可靠的MPC協(xié)議，進(jìn)而滿足從電子投票、隱私拍賣到聯(lián)邦學(xué)習(xí)等千差萬(wàn)別的現(xiàn)實(shí)應(yīng)用場(chǎng)景的復(fù)雜需求。

論文的分析清晰地揭示了CS與MPC之間深刻的內(nèi)在邏輯：CS提供的底層密碼學(xué)保證，能夠被直接、有效地轉(zhuǎn)化為MPC協(xié)議在高層所展現(xiàn)的功能和安全保障。然而，通往普適、高效、且具備長(zhǎng)期安全性的MPC應(yīng)用之路依然漫長(zhǎng)且充滿挑戰(zhàn)。未來(lái)的研究需要在后量子承諾方案的創(chuàng)新與優(yōu)化、提升承諾方案在復(fù)雜MPC協(xié)議中的集成效率、以及在追求最高安全標(biāo)準(zhǔn)（如UC安全）與保障系統(tǒng)實(shí)用性之間找到更好的平衡點(diǎn)等方面持續(xù)深耕。通過(guò)不斷深化對(duì)這一核心構(gòu)件的理解和創(chuàng)新，我們才能推動(dòng)多方安全計(jì)算技術(shù)真正走向成熟和普及，為未來(lái)可信、安全、高效的數(shù)據(jù)協(xié)作生態(tài)系統(tǒng)構(gòu)建堅(jiān)不可摧的信任基礎(chǔ)。

參考論文： https://arxiv.org/abs/2506.10721v1

本文轉(zhuǎn)載自??上堵吟??，作者：一路到底的孟子敬