万字长文，彻底搞懂MPC安全之魂：承诺方案技术深度解析

在数字化浪潮席卷全球的今天，数据已成为驱动社会进步与经济发展的核心燃料。然而，“数据孤岛”现象普遍存在，不同机构、企业之间的数据因隐私、安全和法规的限制而难以流通与融合，极大地阻碍了数据价值的深度挖掘。在此背景下，如何在不泄露各方原始数据的前提下进行联合计算，成为了一个至关重要的核心挑战。多方安全计算（Multi-Party Computation, MPC）为此提供了强大的理论框架和技术路径，它描绘了一个无需可信第三方即可实现协同计算的理想蓝图。

MPC协议的安全性与功能性，在很大程度上依赖于其底层的密码学原语。其中，承诺方案（Commitment Scheme, CS）扮演了不可或缺的角色。它如同一把数字化的“锁”，将参与方的意图预先锁定，又像一个不透明的“密封信封”，在揭示前保护内容的机密。可以说，承诺方案是构筑MPC协议中公平性、正确性与可问责性的基石。深入理解承诺方案的内在属性、工作机理及其与MPC协议的复杂交互关系，对于设计和部署更强大、更可靠的隐私保护计算应用至关重要。

通过经典论文《Commitment Schemes for Multi-Party Computation》对这个领域进行深入的剖析与解读（该论文由布加勒斯特大学的Ioan Ionescu与Ruxandra F. Olimid共同撰写），本文尝试系统性地梳理了承诺方案（Commitment Scheme, CS）在多方安全计算（MPC）中的核心作用与深远影响。以该论文的框架为基础，我们将首先建立对承诺方案和多方安全计算的基础认识，然后将焦点置于两者之间深刻且精妙的联系之上，系统性地探讨不同类型的承诺方案如何为MPC赋予关键的安全属性。通过剖析具体的协议（如GMW、SPDZ）和丰富的应用场景（如拍卖、投票），揭示其内在的工作机理。

一、 核心密码学构件：承诺方案（CS）

承诺方案是一种基础但极为强大的密码学原语，它允许一个参与方（承诺者）对一个选定的值做出承诺，并将其发送给另一方（验证者），同时保持该值的私密性，直到稍后的某个时间点再揭示它。这个过程可以被精准地类比为将一张写有秘密的纸条锁入一个保险箱，然后将保险箱的钥匙销毁，并将保险箱本身交给验证者。在约定的“开箱”时刻到来之前，验证者无法通过任何方式（哪怕是暴力砸开）得知纸条上的内容，而承诺者也因为没有钥匙而无法在不被发现的情况下替换箱中的纸条。

1.1 承诺方案的形式化定义与核心属性

一个典型的承诺方案在形式上由三个核心算法构成，它们共同协作以完成承诺的生命周期：

1. Setup（设置）: 这是一个公共的初始化随机算法。它接收一个安全参数 k 作为输入（k 的大小决定了密码系统的安全强度），并生成一个公开的承诺密钥 CK。这个密钥是系统范围内的公共参数，所有参与方都将使用它来执行后续的承诺和验证过程。
2. Commit（承诺）: 这是一个由承诺者执行的随机算法。承诺者使用公共的承诺密钥 CK 和自己选择的待承诺消息 m，同时引入一个新的随机数 r（有时称为盐值或盲化因子），共同生成一个承诺字符串 cs 和一个对应的打开字符串 os。通常，cs 是 m 和 r 的某种函数形式，而 os 则包含了 m 和 r 本身。承诺者会将承诺字符串 cs 公开或发送给验证者，而将打开字符串 os 作为秘密凭证自己妥善保存。
3. Open（打开/揭示）: 这是一个由验证者执行的确定性算法。当承诺者希望揭示其承诺时，它会将之前秘密保存的打开字符串 os 发送给验证者。验证者利用公共的承诺密钥 CK、之前收到的承诺字符串 cs 以及新收到的打开字符串 os，来恢复原始消息 m 并验证其有效性。验证过程通常是检查 cs 是否确实能由 os 中包含的 m 和 r 按照承诺算法重新计算得出。

承诺方案的安全性与有效性，主要依赖于两个不可或缺的基本属性，这两个属性之间存在一种内在的制衡关系：

• 隐藏性（Hiding）: 此属性保证了在承诺被正式打开之前，验证者无法从承诺字符串 cs 中获取任何关于被承诺消息 m 的有效信息。这保证了消息在承诺阶段的机密性。隐藏性可以是计算性的（Computational Hiding），即对于一个计算能力有限（多项式时间）的验证者来说是安全的；也可以是信息论的，即完美隐藏性（Perfect Hiding），在这种情况下，即使是拥有无限计算能力的验证者，从其视角看，该承诺也可能对应于任何一个可能的消息，因此无法获取任何信息。
• 绑定性（Binding）: 此属性保证了承诺者一旦完成承诺，就无法在打开阶段“反悔”，即无法声称一个与原消息不同的消息并让验证者接受。形式上讲，承诺者无法找到另一个消息 m′=m 和对应的打开字符串 os′，使得验证者能够接受 (m′,os′) 作为对同一个承诺 cs 的有效打开。这保证了承诺的不可篡改性。与隐藏性类似，绑定性也可以是计算性的（Computational Binding），或信息论的，即完美绑定性（Perfect Binding），这意味着即使是拥有无限计算能力的承诺者也无法打破承诺。

一个重要的理论结论是，任何承诺方案都无法同时实现完美隐藏性和完美绑定性。这背后的直觉是：如果一个方案是完美隐藏的，意味着从验证者的角度看，任何一个承诺值都可能对应于空间内所有的消息，信息上完全无法区分。那么，一个拥有无限算力的承诺者，总能找到两个不同的消息m1和m2（以及对应的随机数），它们会生成完全相同的承诺值。这样，他就可以在打开阶段灵活地选择揭示m1或m2，从而打破了绑定性。反之亦然。因此，在实践中，方案设计者必须根据应用需求做出权衡，选择一种是完美的，而另一种是计算安全的。例如，Pedersen承诺方案就提供了完美的隐藏性和计算的绑定性。

1.2 承诺方案的扩展属性及其价值

除了隐藏性和绑定性这两个基本属性外，为了满足更复杂的密码学协议需求，许多承诺方案还被设计出具备其他高级属性，这些属性极大地扩展了它们在MPC等场景中的应用潜力和威力。

• 同态性（Homomorphism）: 这是最具影响力的属性之一。同态承诺方案允许在不打开承诺的情况下，对已承诺的值执行特定的代数运算（如加法或乘法）。例如，著名的Pedersen承诺方案 C(m,r)=gmhr(modp) 就是加法同态的。如果有两个承诺 C(m1,r1) 和 C(m2,r2)，任何人都可以通过计算它们的乘积 C(m1,r1)⋅C(m2,r2)=(gm1hr1)(gm2hr2)=gm1+m2hr1+r2=C(m1+m2,r1+r2)，从而得到一个对 m1+m2 的新承诺。这个强大的特性是构建高效MPC协议（如SPDZ）的核心，因为它允许各方在加密状态下对秘密份额进行线性运算，并能公开验证运算的正确性。
• 非延展性（Non-malleability）: 此属性旨在防止攻击者在给定一个承诺 C(m) 的情况下，能够系统性地生成另一个与原始消息 m 存在某种已知关系的消息 m′ 的有效承诺 C(m′)。例如，在拍卖中，如果承诺方案是可延展的，攻击者看到某人的出价承诺 C(b) 后，或许能构造出一个对 b−1 的承诺 C(b−1)，从而在不知道具体出价的情况下进行有效的低价竞标。非延展性对于维护协议的公平性和防止战略性攻击至关重要。
• 可提取性（Extractability）: 在某些特殊的安全模型中（通常需要一个可信的设置阶段或一个“陷门”），一个被授权的实体（通常是安全证明中的“模拟器”）可以从承诺中“提取”出被承诺的原始消息，而无需承诺者的配合。这个属性在构建满足通用可组合性（UC）安全的协议时是不可或豁缺的，因为它允许模拟器在模拟证明中洞察并控制敌手的输入，从而证明协议在复杂并发环境下的安全性。
• 定时承诺（Timed Commitment）: 这种承诺方案引入了时间维度，允许在特定时间延迟后强制打开承诺，即使承诺者拒绝合作。这通常通过时间锁谜题（Time-lock Puzzles）或可验证延迟函数（VDFs）来实现。它为解决公平性问题提供了强有力的保障，尤其是在拍卖、掷币或合同签署等需要同步行动的竞争性场景中。
• 公共可验证性（Public Verifiability）: 此属性允许任何第三方（不仅仅是最初接收承诺的验证者），仅凭公开信息（如公共密钥 CK 和承诺值 cs）就能验证一个打开的承诺是否有效。这与只有原始接收方才能验证的“指定验证者”方案形成对比。公共可验证性对于构建需要公共监督和审计的去中心化系统（如区块链上的应用或公共电子投票系统）是至关重要的。
• 多项式承诺（Polynomial Commitment）: 这是一种更高级的承诺形式，允许承诺者对一个多项式 P(x) 进行承诺，然后在后续阶段可以打开该多项式在任意点 z 的求值结果 P(z)，并提供一个简短的证明来证实该求值的正确性。这个工具在零知识证明系统（如SNARKs）和一些高级MPC协议中扮演核心角色，因为它能高效地验证大规模计算的完整性。

二、 隐私保护计算的核心技术：多方安全计算（MPC）

多方安全计算（MPC）是一门密码学分支，它允许多个互不信任的参与方共同计算一个约定好的函数，而在此过程中无需向其他方透露他们各自的私有输入。协议执行结束后，各方只能得到正确的计算结果，而关于其他方输入的任何额外信息都不会被泄露。其经典隐喻是“姚氏百万富翁问题”：两个百万富翁想知道谁更富有，但又不想让对方或任何第三方知道自己的具体财富数额。MPC提供了一套数学工具，使他们能够在不泄露财富的情况下安全地得出结论。

2.1 MPC的核心目标与安全模型

一个MPC协议设计时必须达成的核心目标可以概括为两点，它们共同定义了协议的“安全性”：

• 隐私性（Privacy）: 协议的整个执行过程（包括所有交换的消息）都不会泄露任何参与方的私有输入，除了可以从最终输出结果中合法推断出的信息之外。这意味着参与方学习到的信息严格等同于将数据交给一个完全可信的第三方进行计算后返回结果所能学习到的信息。
• 正确性（Correctness）: 即使系统中存在部分参与方是恶意的或出现故障，协议也必须保证最终输出的结果是根据所有诚实参与方的真实输入正确计算得出的。协议必须能够抵御恶意方通过提供错误信息或偏离协议流程来操纵最终结果的企图。

为了精确地分析和证明协议的安全性，MPC研究中引入了不同的敌手模型来刻画潜在威胁的能力和行为。最常见的两种模型是：

• 半诚实敌手（Honest-but-curious）: 也称为被动敌手或“诚实的好奇者”。在此模型中，被腐化的参与方会严格遵守协议的每一步指令，不进行任何篡改或偏离。然而，他们会像侦探一样，记录并分析其在协议执行过程中收到的所有信息（包括所有中间消息），并试图从中推断出其他方的秘密输入。
• 恶意敌手（Malicious）: 也称为主动敌手。这是更强大也更贴近现实的威胁模型。在此模型中，被腐化的参与方可以完全无视协议规则，任意偏离协议执行流程。他们可以发送精心构造的伪造信息，根据收到的消息动态调整自己的策略，甚至可以提前中止协议以实现自身利益最大化。设计能够抵御恶意敌手的MPC协议是该领域的一个主要挑战和研究热点。

2.2 MPC的关键属性

除了隐私性和正确性这两个基本安全目标外，一个成熟、实用的MPC协议还追求其他一系列重要的属性，这些属性直接影响其在现实世界中的部署可行性和用户体验。

• 公平性（Fairness）: 保证一种“同生共死”的结局，即“要么所有诚实的参与方都得到正确的输出结果，要么任何参与方都得不到任何结果”。这可以有效防止恶意参与方在自己率先得到结果后，通过提前退出协议来阻止其他诚实方获取结果，从而获得不公平的优势。
• 可问责性（Accountability）/作弊者识别: 相比于仅仅保证正确性（即协议在检测到作弊时中止），可问责性更进一步。如果一个参与方在计算中作弊，协议不仅会中止，诚实方还能收集到不可抵赖的证据来向第三方（如仲裁者）证明是哪个参与方进行了作弊。这对于建立长期合作中的信任和形成有效的经济威慑至关重要。
• 公共可审计性（Public Auditability）: 允许一个与计算无关的外部审计员，在不访问任何私有输入的情况下，仅通过审查协议执行过程中产生的公开交互记录（transcript），就能够独立地验证最终计算结果的正确性。这在需要向公众或监管机构证明计算合规性的场景下尤为重要。
• 动态性（Dynamicity）: 指协议能够支持参与方群体发生动态变化，即在协议执行期间允许新的参与方安全地加入，或现有参与方安全地离开，而不会损害已在进行中的计算的安全性和正确性，也无需从头重启整个协议。
• 高效性（Efficiency）: 这是一个综合性指标，通常从三个维度来衡量：通信开销（协议执行过程中总共需要交换多少数据）、计算开销（各参与方需要执行多少次加密、解密、哈希等密码学操作）和交互轮数（完成计算需要几轮你来我往的通信）。高效性是决定MPC协议能否从理论构想走向大规模实践的决定性因素。

三、 承诺方案与多方安全计算的深度交互

承诺方案（CS）和多方安全计算（MPC）之间存在着一种深刻的、密不可分的共生关系。CS不仅仅是MPC工具箱中的一个普通构件，在许多情况下，它更是实现MPC核心安全属性，特别是从半诚实安全跃升至恶意安全的赋能者。CS的各种精妙特性，能够被直接“翻译”为MPC协议在不同敌手模型下的高级安全保障。

3.1 从半诚实到恶意安全：承诺方案的关键作用

许多经典的MPC协议，如GMW协议（基于姚氏混淆电路），其最初的设计是为了抵御能力较弱的半诚实敌手。在半诚实模型下，我们假设参与方会遵守规则。然而，为了将其强化以应对更强大、更具破坏性的恶意敌手，一个核心且通用的技术就是引入承诺方案。

在GMW协议的恶意安全变体中，一个关键的增强步骤是要求每个参与方在执行电路计算之前，对自己所有的秘密输入以及在协议中使用的所有随机性（如用于生成混淆电路的随机币抛掷）进行密码学承诺。例如，参与方可以计算其输入 x 和一个秘密随机数 r 的哈希值 H(x∣∣r) 作为承诺，并将此哈希值广播给所有其他参与方。

由于哈希函数的绑定性，参与方一旦提交了承诺，就如同立下了一个不可更改的“军令状”。在后续的计算中，他们必须使用与承诺一致的输入和随机性。如果在协议执行的任何阶段，一个参与方的行为被发现与其之前的承诺相矛盾（例如，在后续的验证步骤中，他揭示的输入值无法重新生成当初的哈希承诺），那么作弊行为就会被立即检测到。协议将安全地中止，并且作弊方可以被准确地识别出来。通过这种方式，CS的绑定性为协议强制注入了行为的一致性，将任何恶意的偏离行为都转化为一个可被公开验证的错误。与此同时，CS的隐藏性则确保了在承诺最终被打开以供验证之前，这些敏感的输入值和随机性不会被提前泄露，从而完美地保护了协议的隐私性。

3.2 同态承诺：SPDZ协议的支柱

SPDZ协议及其庞大的变种家族是当前最高效、应用最广泛的恶意安全MPC协议之一。其核心思想是，在计算过程中，各方操作的不再是简单的秘密份额，而是“经过认证的”秘密份额。这种强大的认证机制，其根基正是通过同态承诺方案（特别是Pedersen承诺）来实现的。

SPDZ协议巧妙地分为两个阶段：离线预处理阶段和在线计算阶段。在离线阶段，各方协同生成大量的与具体计算无关的随机数原材料，如用于乘法计算的“Beaver三元组” (a,b,c) 其中 c=ab，并对这些值进行秘密共享。至关重要的是，他们还会对一个全局的MAC密钥 α 和各自持有的秘密份额 xi 进行承诺，形成一个对“认证份额” ⟨x⟩i=(xi,γ(x)i) 的承诺，其中 γ(x)i 是份额 xi 对应的消息认证码（MAC）标签，通常计算为 α⋅xi，这里 α 是一个全局的、秘密共享的MAC密钥。这个小小的标签是SPDZ协议安全性的核心：它将每个秘密份额和一个全局秘密绑定在了一起。

当进入在线计算阶段时，对秘密份额的加法和乘法运算都伴随着对MAC值的相应同态运算。由于Pedersen承诺的加法同态性，各方可以在不泄露任何秘密信息的情况下，公开地验证这些运算是否保持了MAC关系的正确性。

• 隐私性与正确性的双重保障：由于Pedersen承诺具有信息论上的完美隐藏性，即使所有的承诺值都被公布在公共公告板上，敌手也无法获知关于秘密份额的任何信息。同时，由于其计算上的绑定性，任何一方都无法在不被发现的情况下篡改自己的份额或MAC值。任何非法的修改都会在最终的验证环节中导致MAC校验失败，从而暴露作弊行为。
• 通往公共可审计性的大门：SPDZ的一个重要扩展是利用同态承诺实现了公共可审计性。因为所有的输入、所有中间计算结果以及最终输出的份额，都有其对应的公开承诺记录，一个外部审计员可以在计算结束后，仅凭这些公开承诺，利用其同态性来独立地、端到端地验证整个计算过程的代数关系是否自洽，而完全无需访问任何参与方的私有数据。例如，如果协议声称计算了 z=x+y，审计员可以公开验证承诺之间是否满足 C(z)=C(x)⋅C(y) 的关系。任何不一致都将成为无可辩驳的作弊证据。

可以说，同态承诺是SPDZ协议的“魔法”所在。它将对秘密值的复杂验证过程，巧妙地转化为了对公开承诺值的简单代数关系验证，这是SPDZ协议能够在恶意模型下兼具惊人高效率和强大安全性的根本原因。

3.3 定时承诺与公平性保障

在许多竞争性或时间敏感的MPC应用中，如密封投标拍卖、在线合同签署或公平掷币协议中，公平性是协议成败的关键。一个常见的“最后一分钟”攻击是，恶意参与方等待看到其他人的部分信息或行为后，再决定自己是否继续协议，或者通过在关键时刻中止协议来使自己获利。

定时承诺为解决这一棘手的公平性问题提供了强有力的密码学工具。以密封投标拍卖为例，所有竞标者不再使用普通承诺，而是使用定时承诺来提交他们的出价。这意味着，每个承诺都内嵌了一个“定时炸弹”。即使某个竞标者在承诺阶段结束后，发现情况不妙（例如，他通过某些侧信道信息猜测自己的出价可能不是最优的）并拒绝按时打开他的出价，协议机制（或其他诚实参与方）也能在预设的时间到达后，利用承诺的定时属性强制“引爆”该承诺，从而恢复其出价。

这一机制确保了任何人都无法通过拒绝合作来单方面破坏拍卖的公平性和确定性。定时承诺将协议的公平终止，从依赖于所有参与方的主动合作，转变为一个由时间驱动的、不可阻挡的确定性过程，极大地增强了协议的鲁棒性。

**3.4 承诺方案在具体MPC应用中的角色 **

为了更系统地理解承诺方案的“工具箱”特性，下表从承诺方案的关键属性出发，梳理了它们在代表性的MPC协议或应用场景中的具体作用、所依赖的核心密码学特性以及典型的应用领域。该表不仅是一个总结，更是一个索引，揭示了如何根据特定的应用需求（例如，追求极致的公平性或需要公开审计）来‘按图索骥’，选择最合适的承诺方案。

此表清晰地展示了CS属性与MPC需求之间的精密映射关系。例如，在需要抵御最强敌手模型（即通用可组合性安全模型）的场景中，可提取承诺是必不可少的。因为它允许安全证明中的模拟器“洞察”敌手到底承诺了什么，从而能够有效地模拟真实世界中可能发生的任何复杂攻击，进而证明协议在最恶劣环境下的安全性。又如，在私人集合交集（Private Set Intersection, PSI）协议中，参与方可以对自己集合中的所有元素（或其集合的紧凑表示，如布隆过滤器或默克尔树根）进行承诺。承诺的绑定性确保了他们在协议开始后无法更改或添加其输入集合的元素，从而保证了最终交集结果的完整性和正确性。

四、 当前局限与开放性问题

尽管承诺方案为MPC的理论大厦提供了坚实的基础，但在将这些精密的理论工具转化为能够在大规模、高性能的现实世界系统中稳定运行的工程实践时，仍然面临着诸多深刻的挑战。

4.1 效率与可扩展性的权衡

效率是长期以来制约MPC技术从学术走向产业的核心瓶颈。不同承诺方案之间的性能表现差异巨大。基于哈希函数的承诺方案，如SHA-256，计算速度极快，承诺尺寸小，非常轻量级，但其功能相对单一，缺乏同态性等高级属性。另一方面，功能强大的同态承诺（如Pedersen承诺）虽然仅仅依赖于相对高效的群操作，但在需要对海量数据进行承诺的场景中，其累积的开销不容小觑。每个承诺都需要进行若干次模幂运算，并产生一个需要网络传输的群元素，这在计算密集型或带宽受限的环境中，很快会成为性能瓶颈。

特别是在追求恶意安全的MPC模型中，为了确保每一步计算的正确性，协议可能要求对每一个比特或每一个秘密份额都进行承诺和验证，这种“安全税”会导致其性能相比于半诚实协议下降数个数量级。如何在保证安全性的前提下，设计出更为高效的承诺方案本身（例如，通过向量承诺或多项式承诺实现对大量数据的批量承诺），或者设计出能更智能、更节约地利用承诺方案的MPC协议，是提升整个系统可扩展性的一个关键且活跃的研究方向。

4.2 后量子时代的挑战

量子计算机的曙光，为计算科学带来无限可能的同时，也为当前主流的公钥密码学投下了长长的阴影。一旦大规模容错量子计算机成为现实，依赖于大数分解或离散对数难题的许多密码系统（包括最常用的Pedersen承诺和ElGamal承诺）将瞬间被Shor算法攻破，不再安全。因此，研究和开发能够在量子计算机攻击下依然安全的后量子承诺方案（Post-quantum CS）变得刻不容缓。

目前，该领域的研究主要集中于基于数学上被认为难以被量子计算机有效解决的问题来构建新的承诺方案，其中最主要的方向是基于格（Lattice-based）的困难假设，如LWE（Learning with Errors）或SIS（Short Integer Solutions）。然而，这些后量子方案目前普遍面临挑战：它们通常比传统的方案需要更复杂的计算、更大的密钥尺寸和更长的承诺长度。如何优化这些方案的性能，并将它们无缝、高效地集成到现有的MPC框架中，是确保隐私保护技术能够在后量子时代继续生存和发展的核心议题。

4.3 通用可组合性（UC）安全的复杂性

UC安全模型为密码协议提供了目前已知的最高级别的、近乎“黄金标准”的安全保证。它能确保一个被证明为UC安全的协议，在与任意数量的其他协议（无论这些协议设计得是好是坏）并发执行时，仍然能够保持其原始的安全性。然而，这种强大的安全保证是以巨大的复杂性为代价的。

设计满足UC安全的承诺方案本身就极具挑战性，其构造和安全证明往往非常精巧和复杂，甚至在顶级学术会议发表的研究中也曾被发现存在细微但致命的安全漏洞。将这些本身就极其复杂的UC安全承诺方案作为构件，再集成到本已错综复杂的MPC协议中，无疑会进一步放大整个系统的设计和分析难度，并可能引入新的、难以预料的潜在漏洞。如何在保证UC安全性的同时，设计出更简洁、更高效、更易于理解和安全实现的承诺方案及相应的MPC协议，至今仍然是一个悬而未-决的、吸引着众多顶尖密码学家投入其中的重要问题。

结论

承诺方案是多方安全计算领域中一个不可或缺的、处于基石地位的密码学构件。它绝非一个简单的辅助工具，而是实现MPC协议核心安全属性——尤其是隐私性、正确性、公平性和可审计性——的强大使能技术。通过在协议设计的关键节点，仔细地选择和部署具有特定属性（如绑定性、隐藏性、同态性、定时性、公共可验证性）的承诺方案，我们可以构建出能够抵御从被动窃听到主动恶意攻击等不同层级威胁的、安全可靠的MPC协议，进而满足从电子投票、隐私拍卖到联邦学习等千差万别的现实应用场景的复杂需求。

论文的分析清晰地揭示了CS与MPC之间深刻的内在逻辑：CS提供的底层密码学保证，能够被直接、有效地转化为MPC协议在高层所展现的功能和安全保障。然而，通往普适、高效、且具备长期安全性的MPC应用之路依然漫长且充满挑战。未来的研究需要在后量子承诺方案的创新与优化、提升承诺方案在复杂MPC协议中的集成效率、以及在追求最高安全标准（如UC安全）与保障系统实用性之间找到更好的平衡点等方面持续深耕。通过不断深化对这一核心构件的理解和创新，我们才能推动多方安全计算技术真正走向成熟和普及，为未来可信、安全、高效的数据协作生态系统构建坚不可摧的信任基础。

参考论文： https://arxiv.org/abs/2506.10721v1