Preprocessing Model in MPC 2 - 背景、基礎原語和Beaver三元組

參考論文：SoK: Multiparty Computation in the Preprocessing Model
MPC (Secure Multi-Party Computation) 博士生入門資料。抄襲必究。
本系列教程將逐字解讀參考論文(以下簡稱MPCiPPM)，在此過程中，將論文中涵蓋的40篇參考文獻進行梳理與講解。

本教程假設：具備高等數學基礎知識；對應用密碼學有基礎了解。不展開、不解答任何百度可以解答的問題。

1?背景與相關研究介紹

安全多方計算(MPC)是一種機制，允許一組彼此不信任的參與方在不泄露各自私有輸入的前提下，共同計算一個函數的輸出。更具體地說，MPC 允許一個或多個協議參與方獲得所計算函數的輸出，同時除了從協議輸出中可推斷的信息外，不會獲得其他參與方輸入的任何額外信息。

由于其強大的功能性，幾乎可以在私有數據上計算任意函數，MPC 成為密碼學領域廣泛研究的基礎原語。

1991 年，關于所謂的 Beaver 三元組的開創性工作被提出~\cite{C:Beaver91b}。一個 Beaver 三元組的形式為 $(a, b, c)$，其中 $a$ 和 $b$ 是均勻隨機的，$c = a \cdot b$。這是一種在隨機值上執行乘法的方法，進而可以高效地在秘密輸入上執行乘法。然而，直到 2009 年，Orlandi~\cite{orlandi2009} 才定義了一個獨立的預處理階段，用于生成這些代價高昂的 Beaver 三元組，以及一個在函數和輸入已知時執行的快速在線階段。據我們所知，這構成了預處理模型的基礎。

預處理模型包括兩個階段：一個與輸入無關的預處理階段，以及一個用于處理輸入并輸出結果的在線階段。預處理階段涉及在隨機輸入上評估目標函數，這些隨機性可以在在線階段高效地去隨機化。

在預處理模型被定義之后，至今已有近 15 年，該模型成為設計 MPC 協議最常見的方式。這是因為預處理模型有助于實現高效的解決方案，從而推動 MPC 在現實應用中的采用。預處理模型中的 MPC 旨在提升協議的整體效率，但重點在于在線階段。其目標是滿足在參與方輸入已知后快速評估函數的實際需求，代價是一個相對較慢的預處理階段，該階段可以在實際在線執行之前的任何時間進行。

在本研究中，我們對預處理模型中的 MPC 協議進行了系統化整理。首先，我們在該模型中提出了兩個主要類別，分別稱為傳統預處理和特殊預處理，依據其生成的預處理材料類型進行區分。我們將生成隨機值和 Beaver 三元組的預處理稱為傳統預處理，分別用于私有輸入的共享和在線階段的安全乘法執行。我們將提供額外預處理材料以加速特定函數(例如矩陣乘法)在線階段的預處理稱為特殊預處理。

我們進一步根據以下方面對所研究的協議進行系統化整理：所使用的底層密碼學原語(用于生成預處理材料)；所依賴的數學結構；對于特殊預處理協議，還包括其目標函數。

對于我們分析的 41 個協議，我們總結了其技術概述。雖然我們努力解釋每篇論文的技術貢獻，但我們的目標是進行抽象以便于理解，而不是詳述具體協議，這些內容可在對應的原始論文中找到。因此，我們旨在簡化每個協議的技術描述，以突出每篇論文技術貢獻背后的核心思想和直覺。

此外，我們還討論了每個協議的安全假設，并提供了與先前工作的性能比較指標。

具體而言，我們的貢獻總結如下：
(1) 我們首次對預處理模型中的 MPC 進行了知識系統化整理，這是一個重要領域，已有大量相關文獻但尚未被系統性地綜述，并統一了該領域中的常用術語(例如預處理階段，也被不太準確地稱為離線階段)；
(2) 我們根據所生成材料的類型，提出了兩大類預處理協議：傳統預處理和特殊預處理；
(3) 我們對每個協議的技術細節進行了抽象，重點解釋其背后的直覺，以便于理解；
(4) 我們識別了研究空白，并提出了未來研究的方向。

1.1 相關工作

Lindell~\cite{L20} 提出了一篇關于 MPC 的綜述文章，明確強調了其背后的安全范式。由于該文章的目標是展示 MPC 已從理論走向現實應用，因此 MPC 的可行性及其應用場景也是該綜述的重要組成部分。

Zhao 等人~\cite{ZZZCGLT19} 對 MPC 進行了全面的(理論、實踐與應用)綜述，其動因是近期出現的一些應用場景，與 MPC 的自然設置和需求完全契合。該論文討論了 MPC 的主要理論構建模塊、安全需求與模型，隨后聚焦于云輔助 MPC 和面向應用的 MPC，這也是該文章的主要動機。

Vos 等人~\cite{VCE24} 聚焦于一個特定的 MPC 應用，即私集合交集(Private Set Intersection，PSI)，特別是那些針對半誠實對手提供安全性的解決方案。其提出的系統化工作旨在識別研究空白，引導協議設計者朝著高效解決當前問題的方向努力。他們的系統化研究表明，一些可能被新研究忽視的舊方案，仍然可以用于構建高效的多方 PSI 協議。

Zhou 等人~\cite{ZTPAFL24} 的綜述收集了基于 MPC 的機器學習(ML)解決方案，并將其分為兩類：基于同態加密(HE)和基于秘密共享(Secret-Sharing)。該綜述并未詳細分析所有提出的工作及其技術組件，而是聚焦于識別 MPC 在 ML 中面臨的共同挑戰及其采用情況。隨后，他們還提供了此類系統的實現指南，并基于當前識別出的限制提出了未來研究方向。

另一篇聚焦于 MPC 具體應用的綜述由 Zhang 和 Xin~\cite{ZX21} 提出。該工作關注一個活躍的研究領域，即隱私保護深度學習，并討論了基于 MPC 的解決方案，提供了對每個分析方案的簡明概述。

鑒于對類似 SPDZ 的 MPC 協議~\cite{EPRINT:DPSZ11} 的興趣日益增長——這類協議在安全性與效率之間取得了良好平衡——Orsini~\cite{O21} 對該研究方向進行了綜述，涵蓋了在不誠實多數設置下具有主動安全性的廣泛高效 MPC 協議。

另一篇關于具體高效 MPC 的綜述~\cite{FY22} 則超越了 Orsini~\cite{O21} 所分析的“主動安全 + 不誠實多數”場景，也考慮了半誠實對手和誠實多數設置；此外還關注了用于隱私保護機器學習(PPML)的 MPC，并提出了未來研究的方向。

Hastings 等人~\cite{HHNZ19} 對十一種通用 MPC 編譯器進行了系統化整理。該系統化工作基于語言表達能力、密碼學功能以及開發者可訪問性(例如文檔的充分性)進行分析，并據此為每種編譯器框架提供了推薦意見。

我們的工作是首個針對預處理模型下 MPC 的系統化知識整理(SoK)。

2?基礎密碼學原語

[MPCiPPM-02]: Basic building blocks of MPC.?簡單介紹MPC中涉及的三個基礎密碼學原語：Secret Sharing (SS), Oblivious Transfer (OT), Homomorphic Encryption (HE)。注意：MPC是一個密碼算法系統，由眾多密碼算法組件組成，包括但不限于：秘密共享及其各類變體(Function Secret Sharing, Linear Secret Sharing, etc)，OT及其各類變體，HE及其各類變體，Zero Knowledge Proofs of Knowledge (ZKPoKs)?及其各類變體， Garbled Circuits及其各類變體等。本文只介紹了前三種，但MPC涉及的密碼組件遠不止于此，至少ZKPoKs就是非常重要的核心組件。

2.1 秘密共享(Secret Sharing)

秘密共享允許將一個秘密分發給一組參與方，使得單獨的每一份份額都無法泄露原始秘密的任何信息。
MPC 通常基于線性秘密共享方案(Linear Secret Sharing Schemes，LSSS)，其中從份額重構秘密是一個線性映射。
因此，LSSS 具有加法同態性，允許在秘密上間接執行線性運算，而實際運算是在每個參與方本地的份額上進行，無需進一步交互。
加法秘密共享(即秘密是各份額之和)和 Shamir 的秘密共享方案~\cite{S79} 是設計 MPC 協議時最常用的兩種選擇，它們都具有完美保密性這一特性。

2.2 不經意傳輸(Oblivious Transfer)

不經意傳輸(Oblivious Transfer，OT)~\cite{NP99, R05, EGL85, IK97} 是一種在兩個參與方之間執行的協議：發送方與接收方。
最基本的 OT 協議是"二選一 OT"，允許發送方向接收方傳輸兩個值中的一個。
更一般地說，OT 允許發送方向接收方傳輸多個信息中的某些部分。
在 OT 過程中，發送方無法得知哪些信息被接收方實際接收，而接收方也無法獲得其未接收的信息的任何內容。
OT 是實現 MPC 的完備原語~\cite{K88, GMW19}。
盡管 OT 是一種計算代價較高的密碼學原語，但 OT 擴展技術~\cite{C:IKNP03, B86} 允許僅使用少量昂貴的標準 OT 操作，然后通過調用常數數量的相對廉價的對稱密鑰原語，執行大量額外的 OT 操作。
OT 擴展是眾多 MPC 協議中的核心構建模塊。

2.3 同態加密(Homomorphic Encryption)

同態加密(Homomorphic Encryption，HE)是一種加密形式，允許在密文上直接執行計算，而無需先解密。
HE 有多種類型：
部分同態加密(PHE)：允許在密文上無限次執行加法或乘法中的一種；
有限同態加密(SHE)：允許在密文上執行有限次數的加法與乘法；
完全同態加密(FHE)：允許在密文上無限次執行加法與乘法。
PHE 中，尤其是加法同態加密(Additively Homomorphic Encryption，AHE)，又稱線性同態加密(Linearly Homomorphic Encryption，LHE)，例如 Paillier 密碼體制~\cite{EC:Paillier99}，以及 SHE，已被廣泛用于與 MPC 結合，或用于輔助生成預處理階段的原始材料。

3?傳統預處理模型

[MPCiPPM-03]:?What is?Beaver Triple??Beaver?Triple?是Preprocessing?Model的基石。理解了beaver?triple，后續一切preprocessing?model不過是對beaver?triple的改進、變形或拓展 (so far,?以后或許會有新的形式出來)。
文獻：
Donald Beaver. Efficient multiparty protocols using circuit randomization.
Donald Beaver. One-Time Tables for Two-Party Computation

在本節中，我們分析了多年來在傳統預處理階段材料生成方面做出開創性工作的協議。
我們再次強調，所謂傳統預處理，是指旨在生成以下類型預處理材料的協議：
隨機值(randoms)：用于在在線階段共享私有輸入；
三元組(triples)：用于在在線階段高效執行安全乘法；
平方值(squares)：與三元組類似，用于在在線階段更高效地執行平方運算；
共享比特(shared bits)：用于加速在線階段非線性函數的計算。

對于每個協議，我們解釋其核心技術貢獻，描述其安全性假設，并說明其性能，通常是相對于已有工作的改進。

Beaver 三元組

Beaver 三元組是一組秘密共享值，具有如下特殊形式：$ (\langle{a}\rangle,\langle{b}\rangle,\langle{c}\rangle) $，其中 $a$ 和 $b$ 是均勻采樣的隨機值，$c$ 是 $a$ 與 $b$ 的乘積。它用于在 MPC 協議中安全地執行乘法運算。該方法最早由 Donald Beaver 提出~\cite{C:Beaver91b,B98}，因此得名；也常被稱為乘法三元組(multiplication triple)。

Beaver 三元組的核心思想是：為每個電路門選擇隨機輸入，并先用這些隨機值評估電路門，然后通過糾正誤差一次性獲得結果。
該糾正過程基于一種技術，旨在證明兩個秘密的乘積是第三個秘密~\cite{JC:Beaver91}。

考慮電路 $C_F$ 中的一個門 $g_k \in {+,\times}$。當 $g_k$ 是乘法門 $(\times)$ 時，真實輸出值 $x_k$ 可通過公式 $x_k = r_k - \Delta_k$ 計算，其中 $r_k$ 是 $g_k$ 輸出線的隨機值，$\Delta_k$ 是其糾正值。
由于隨機值和糾正值可以在不知曉真實輸入的情況下提前準備，一旦輸入值可用，電路門即可被重構以獲得結果。

Beaver 三元組將交互輪數減少了一個數量級。

Breaking the Limits

[MPCiPPM-04]:?論文 Breaking the Limits。來自Ivan Damgard，MPC的奠基人物。非常隨和的小個子老頭，滿頭白發，自己還在寫論文、帶團隊，活躍于歐洲各MPC會議或活動中。他本人及其團隊每年產出大量高質量論文，涵蓋MPC的多個領域，理論和應用都有涉及。
文獻：Ivan Damg?ard, Marcel Keller, Enrique Larraia, Valerio Pastro, Peter Scholl, and Nigel P. Smart. Practical covertly secure MPC for dishonest majority - or: Breaking the SPDZ limits.

Damg?rd 等人~\cite{ESORICS:DKLPSS13} 提出了一種基于有限同態加密（SHE）的協議，該協議不僅生成 Beaver 三元組，還生成“平方對”（square pairs），即一組共享對 $({\langle{a}\rangle},{\langle{b}\rangle})$，滿足 $b = a^2$；以及“共享比特”（shared bits），即一組單個共享值 $\langle{a}\rangle$，其中 $a \in {0,1}$。

該 MPC 協議可實現隱匿安全（covert security）或主動安全（active security）。雖然“平方對”和“單比特共享”在早期一些工作中已有出現，但 Damg?rd 等人~\cite{ESORICS:DKLPSS13} 是首個對其進行形式化定義的研究。

生成平方對

假設每個參與方 $P_i$ 持有 ${\mathbf{a}}i$，即秘密值 ${\mathbf{a}}$ 的一份份額，其密文 $c{{\mathbf{a}}i}$ 對所有參與方可見。
各方計算 $c{\mathbf{a}} \leftarrow c_{\mathbf{a}1} + \cdots + c{\mathbf{a}n}$，然后計算 $c{\mathbf{a}^2} \leftarrow c_{\mathbf{a}} \cdot c_{\mathbf{a}}$。
所有參與方執行一次重新共享協議，使得每個參與方 $P_i$ 獲得份額 ${\mathbf{b}}_i$，其中 ${\mathbf{b}} = {\mathbf{b}}_1 + \cdots + {\mathbf{b}}n$，并且密文 $c{\mathbf{b}}$ 對所有人可見。

為了進行認證，各方計算 $c_{\gamma(\mathbf{a})} \leftarrow c_{\mathbf{a}} \cdot c_{\alpha}$ 和 $c_{\gamma(\mathbf{b})} \leftarrow c_{\mathbf{b}} \cdot c_{\alpha}$，其中 $\alpha$ 是全局 MAC 密鑰。
各方再次執行重新共享協議，使得每個參與方 $P_i$ 獲得 ${\gamma}(\mathbf{a})_i$ 和 ${\gamma}(\mathbf{b})_i$。
之后，每個參與方將各個明文元素解密，得到秘密共享的平方對 $({\langle{a_i}\rangle},{\langle{b_i}\rangle})$。

生成共享比特

各方在獲得 $c_{\mathbf{a}}$ 后，計算并解密 $c_{\mathbf{a}^2}$，將明文記為 ${\mathbf{s}} = {\mathbf{a}}^2$。
若 ${\mathbf{s}}$ 中任意位置為 $0$，則將其設為 $1$。
然后，各方取一個固定平方根 ${\mathbf{t}}$，加密 ${\mathbf{t}}^{-1} \cdot c_{\mathbf{a}}$，記為 $c_{\mathbf{v}}$。
各方計算 $c_{\gamma(\mathbf{v})} \leftarrow c_{\mathbf{v}} \cdot c_{\alpha}$，并以與生成平方對相同的方式進行重新共享與解密。
最終，每個參與方 $P_i$ 獲得一個共享比特 $\langle{b_i}\rangle$。

三元組生成與安全性

乘法三元組的生成方式緊隨 SPDZ 協議范式~\cite{DPSZ12}，我們將在后文進一步解釋。
Damg?rd 等人~\cite{ESORICS:DKLPSS13} 通過將“犧牲技術”（sacrificing technique）擴展應用于平方對與比特共享，實現了主動安全性。

在線階段

在在線階段，為對共享值 ${\langle{x}\rangle}$ 進行平方運算，各方取一個平方對 $({\langle{a}\rangle},{\langle{b}\rangle})$，部分打開 ${\langle{x}\rangle} - {\langle{a}\rangle}$ 得到 $\epsilon$，然后每個參與方計算：?z?←?b?+2????x???
?
共享比特在執行高級操作時非常有用，例如比較、比特分解、定點與浮點運算。

性能評估

該協議的離線階段運行時間約為 SPDZ 的兩倍，基于知識零知識證明（ZKPoKs）。
在一個 64 位素數域上，3 個參與方的 SPDZ 在線階段可實現每秒約 20,000 次乘法的平均吞吐量。
而 Damg?rd 等人~\cite{ESORICS:DKLPSS13} 的在線協議在單線程下可執行 98,000 次乘法每秒，在 4 線程下達到 287,000 次乘法每秒。

3.1?基于同態加密的協議

3.1.1?基于有限域上的運算

[MPCiPPM-05]: Orlandi Protocol.?文獻：Claudio Orlandi. LEGO and other cryptographic constructions. Technical report, Citeseer, 2009.

[MPCiPPM-06]: BDOZ.?文獻：Rikke Bendlin, Ivan Damg?ard, Claudio Orlandi, and Sarah Zakarias. Semihomomorphic encryption and multiparty computation

[MPCiPPM-07]: SPDZ. 文獻：Ivan Damg?ard, Valerio Pastro, Nigel Smart, and Sarah Zakarias. Multiparty Computation from Somewhat Homomorphic Encryption.

[MPCiPPM-08]: Overdrive.?文獻：Marcel Keller, Valerio Pastro, and Dragos Rotaru. Overdrive: Making SPDZ great again.

[MPCiPPM-09]: TopGear。文獻：Carsten Baum, Daniele Cozzo, and Nigel P. Smart. Using TopGear in overdrive: A more efficient ZKPoK for SPDZ.

[MPCiPPM-10]: LowGear 2.0。文獻：Pascal Reisert, Marc Rivinius, Toomas Krips, and Ralf K¨usters. Overdrive LowGear 2.0: Reduced-bandwidth MPC without sacrifice.

3.1.2?基于環上的運算

[MPCiPPM-11]:?RSS19.?文獻：Deevashwer Rathee, Thomas Schneider, and K. K. Shukla. Improved multiplication triple generation over rings via RLWE-based AHE.

[MPCiPPM-12]: Overdrive2k. 文獻：Emmanuela Orsini, Nigel P. Smart, and Frederik Vercauteren. Overdrive2k: Efficient secure MPC over? from somewhat homomorphic encryption.

[MPCiPPM-13]: MonZa. 文獻：Dario Catalano, Mario Di Raimondo, Dario Fiore, and Irene Giacomelli. MonZ2ka: Fast maliciously secure two party computation on .

[MPCiPPM-14]: $MH{\mathbb{Z}_{2^k}}$ . 文獻：Jung Hee Cheon, Dongwoo Kim, and Keewoo Lee. MHz2k: MPC from HE over Z2k with new packing, simpler reshare, and better ZKP.

[MPCiPPM-15]: Multipars.?文獻：Sebastian Hasler, Pascal Reisert, Marc Rivinius, and Ralf K¨usters. Multipars: Reduced-Communication MPC over Z2k.

3.2?基于OT的協議

3.2.1?基于有限域上的運算

[MPCiPPM-16]: Cut&Choose. 文獻：Yehuda Lindell and Benny Pinkas. Secure two-party computation via cut-and-choose oblivious transfer.

[MPCiPPM-17]: TinyOT.?文獻：Jesper Buus Nielsen, Peter Sebastian Nordholt, Claudio Orlandi, and Sai Sheshank Burra. A new approach to practical active-secure two-party computation.

[MPCiPPM-18]: Tinier. 文獻：Tore Kasper Frederiksen, Marcel Keller, Emmanuela Orsini, and Peter Scholl. A unified approach to MPC with preprocessing using OT.

[MPCiPPM-19]: MASCOT. 文獻：Marcel Keller, Emmanuela Orsini, and Peter Scholl. MASCOT: Faster malicious arithmetic secure computation with oblivious transfer.

3.2.2?基于環上的運算

[MPCiPPM-20]: SPDZ2k. 文獻：Ronald Cramer, Ivan Damg?ard, Daniel Escudero, Peter Scholl, and Chaoping Xing. SPDZ2k : Efficient MPC mod 2k for dishonest majority.

3.2.3?基于Silent?OT的協議

[MPCiPPM-21]: Silent?NISC.?文獻：Elette Boyle, Geoffroy Couteau, Niv Gilboa, Yuval Ishai, Lisa Kohl, Peter Rindal, and Peter Scholl. Efficient two-round OT extension and silent noninteractive secure computation.

[MPCiPPM-22]: Silver. 文獻：Geoffroy Couteau, Peter Rindal, and Srinivasan Raghuraman. Silver: Silent VOLE and oblivious transfer from hardness of decoding structured LDPC codes.

3.3?Function?Dependent?Preprocessing

[MPCiPPM-23]: Turbospeedz. 文獻：Aner Ben-Efraim, Michael Nielsen, and Eran Omri. Turbospeedz: Double your online SPDZ! Improving SPDZ using function dependent preprocessing.

[MPCiPPM-24]: Boyle?FSS. 文獻：Elette Boyle, Niv Gilboa, and Yuval Ishai. Secure computation with preprocessing via function secret sharing.

[MPCiPPM-25]: Pika. 文獻：Sameer Wagh.?Pika: Secure computation using function secret sharing over rings.

3.4?Quintuples

[MPCiPPM-26]: ACEDX21. 文獻：Mark Abspoel, Ronald Cramer, Daniel Escudero, Ivan Damg?ard, and Chaoping Xing. Improved single-round secure multiplication using regenerating codes.

[MPCiPPM-27]: EXY22. 文獻：Daniel Escudero, Chaoping Xing, and Chen Yuan. More efficient dishonest majority secure computation over Z2k via galois rings.

[MPCiPPM-28]: Coral. 文獻：Zhicong Huang, Wen-jie Lu, Yuchen Wang, Cheng Hong, Tao Wei, and WenGuang Chen. Coral: Maliciously Secure Computation Framework for Packed and Mixed Circuits.

3.5?Degree?Reduction

[MPCiPPM-29]: DN. 文獻：Ivan Damg?ard and Jesper Buus Nielsen. Scalable and unconditionally secure multiparty computation.

[MPCiPPM-30]: Garg24. 文獻：Sanjam Garg, Abhishek Jain, Pratyay Mukherjee, and Mingyuan Wang. Scalable multiparty computation from non-linear secret sharing.

4?特殊預處理模型

4.1?矩陣三元組和卷積三元組

[MPCiPPM-31]: CDNN15. 文獻：Martine de Cock, Rafael Dowsley, Anderson CA Nascimento, and Stacey C Newman. Fast, Privacy Preserving Linear Regression over Distributed Datasets Based on Pre-distributed Data

[MPCiPPM-32]: SecureML. 文獻：Payman Mohassel and Yupeng Zhang. SecureML: A system for scalable privacy-preserving machine learning.

[MPCiPPM-33]: SecureNN. 文獻：Sameer Wagh, Divya Gupta, and Nishanth Chandran. SecureNN: 3-party secure computation for neural network training.

[MPCiPPM-34]: CKRR20. 文獻：Hao Chen, Miran Kim, Ilya P. Razenshteyn, Dragos Rotaru, Yongsoo Song, and Sameer Wagh. Maliciously secure matrix multiplication with applications to private deep learning.

[MPCiPPM-35]: RRHK23. 文獻：Marc Rivinius, Pascal Reisert, Sebastian Hasler, and Ralf Kuesters. Convolutions in overdrive: Maliciously secure convolutions for MPC.

[MPCiPPM-36]: LowGear2.0. 文獻：Pascal Reisert, Marc Rivinius, Toomas Krips, and Ralf K¨usters. Overdrive LowGear 2.0: Reduced-bandwidth MPC without sacrifice.

4.2?查找表 LookUp?Tables

[MPCiPPM-37]: TinyTable. 文獻：Ivan Damg?ard, Jesper Buus Nielsen, Michael Nielsen, and Samuel Ranellucci. The TinyTable protocol for 2-party secure computation, or: Gatescrambling revisited.

[MPCiPPM-38]: Multi-TinyTable. 文獻：Marcel Keller, Emmanuela Orsini, Dragos Rotaru, Peter Scholl, Eduardo Soria-Vazquez, and Srinivas Vivek. Faster secure multi-party computation of AES and DES using lookup tables.

[MPCiPPM-39]: SPOP-LUT. 文獻：?Ghada Dessouky, Farinaz Koushanfar, Ahmad-Reza Sadeghi, Thomas Schneider, Shaza Zeitouni, and Michael Zohner. Pushing the communication barrier in secure computation using lookup tables.

[MPCiPPM-40]: FLUTE. 文獻：Andreas Br¨uggemann, Robin Hundt, Thomas Schneider, Ajith Suresh, and Hossein Yalame. FLUTE: Fast and secure lookup table evaluations.

[MPCiPPM-41]:?MAESTRO. 文獻：Hiraku Morita, Erik Pohle, Kunihiko Sadakane, Peter Scholl, Kazunari Tozawa, and Daniel Tschudi. MAESTRO: Multi-party AES using Lookup Tables.

4.3?布爾電路與算術電路的轉換

[MPCiPPM-42]:?Dabits. 文獻：Dragos Rotaru and Tim Wood. Marbled Circuits: Mixing Arithmetic and Boolean Circuits with Active Security.

[MPCiPPM-43]:?EDaBits. 文獻：Daniel Escudero, Satrajit Ghosh, Marcel Keller, Rahul Rachuri, and Peter Scholl. Improved primitives for MPC over mixed arithmetic-binary circuits.

4.4?Tuples

[MPCiPPM-44]: Arithmetic Tuples。在preprocessing?phase生成一種包含一堆元素的元組。
文獻：Pascal Reisert, Marc Rivinius, Toomas Krips, and Ralf Kuesters. Arithmetic tuples for MPC.