安全求和

所谓安全求和，是这样一个问题：有$n(n>2)$个数$a_1,a_2,\cdots ,a_n$，分别掌握在$n$个人手中（为了方便，数$a_i$同时也代表第i个人）。我们想要获得这$n$个数的和，但是不会暴露其中任何一个人的值。即，公开$sum={\sum }_{i=1}^n{a}_i$，但是除了第$i$个人，其他人不知道$a_i$的值。

方法一：同态加法

可以采用同态加密，比如Paillier同态加密、BGV、BFV或者CKKS，对这$n$个数进行同态加密，然后计算和，最后解密得到$sum$。
这个方法很基础简单，但是，需要一个服务器$s_1$来产生密钥。然后，将公钥发给每一个人。所有人分别将自己手中的数加密，然后发给一另一个服务器$s_2$。$s_2$计算和，然后，发送给$s_1$解密得到最后的结果。
值得注意的是$s_1$和$s_2$是不能合谋的。否则，$s_2$将收到的密文发送给$s_1$，$s_1$就可以解密得到任何一个数的值了。

方法二：随机切分

对于$a_i$，我们将其随机分成 $n$份，也就是$a_i={\sum }_{j=1}^n{b}_{ij}$
最简单的方法是选取$n-1$个随机数，然后用$a_i$减去这$n-1$个数，就得到了$n$个和为$a_i$的数。
然后将$b_{ij}$发送给第$j$个人。
这样，每个人都收到到了$n-1$个从其他人发来的数，再加上自己没有发出去或者发给自己的数$b_{ii}$，共有$n$个数，将这$n$个数相加得到$c_i$，再分发给其他人。待收到了其他第二次发送过来的数$c_j(j\ne i)$后，将收到的$n-1$个和与自己计算的和$c_i$相加，就得到了最终的和$sum$.
对于任意一个$a_i$的拥有者，我们考虑他的计算。首先他收到$b_{1i},b_{2i},\cdots ,b_{ni}$，然后加起来得到$c_i={\sum }_{j=1}^n{b}_{ji}$
他将$c_i$发送出去，并收到$c_1,c_2,\cdots ,c_n$。然后$sum={\sum }_{i=1}^n{c}_i$
证明：
$\begin{array}{rl}sum& =\sum _{i=1}^n{c}_i\\ & =\sum _{i=1}^n\sum _{j=1}^n{b}_{ji}\\ & =\sum _{j=1}^n\sum _{i=1}^n{b}_{ji}\\ & =\sum _{j=1}^n{a}_j\end{array}$

方法三：秘密分享

不妨设这$n$个数的拥有者之间是有序的，即$a_1$的拥有者在$a_2$的拥有者的前面。
然后，在任意两个人$a_i$与$a_j$之间使用共享一个秘密的随机数$s_{ij}$
对于任意一个人$a_i$，计算$b_i=a_i+{\sum }_{u=1}^{i-1}{s}_{ui}-{\sum }_{v=i+1}^n{s}_{iv}$
将$b_i$分发给其他人，并且接受其他人发来的$b_j$
最后计算$sum={\sum }_{i=1}^n{b}_i$
显然，对于任意一个$s_{ij}$都被计算两遍，如果$i<j$则加上$s_{ij}$，否则减去$s_{ij}$。
这样，刚好在最终的和里抵消。