<div dir="ltr"><br><div class="gmail_quote"><div dir="ltr"><div><div><div class="gmail_quote"><div dir="ltr"><div class="gmail_quote"><div dir="ltr">At the Wednesday seminar (Apr 22), we will have Pratyay Mukherjee. Details below. Lunch following the talk will be provided. Stay tuned for Siddharth Garg the following week.<br><br>Leo<br><br>BUsec Calendar:  <a href="http://www.bu.edu/cs/busec/" target="_blank">http://www.bu.edu/cs/busec/</a><br>BUsec Mailing list: <a href="http://cs-mailman.bu.edu/mailman/listinfo/busec" target="_blank">http://cs-mailman.bu.edu/mailman/listinfo/busec</a><br><br>The busec seminar gratefully acknowledges the support of BU&#39;s Center for Reliable Information Systems and Cyber Security (RISCS).<br><br>*******<br><br></div></div></div></div>Title: Two Round MPC from LWE via Multi-Key FHE<br>Speaker: Pratyay Mukherjee, Aarhus Universitet and Northeastern University<br><br>Wednesday April 22, 10am, the Hariri Seminar room<br><br>Abstract:<br></div><div>Title: Two Round MPC from LWE via Multi-Key FHE</div><div><br></div><div>Abstract:  We construct a general multiparty computation (MPC) protocol in the common random string (CRS) model with only two rounds of interaction, which is known to be optimal. In the honest-but-curious setting we only rely on the learning with errors (LWE) assumption, and in the fully malicious setting we additionally assume the existence of non-interactive zero knowledge arguments (NIZKs). Previously, Asharov et al. (EUROCRYPT &#39;12) showed how to achieve three rounds based on LWE and NIZKs, while Garg et al. (TCC &#39;14) showed how to achieve the optimal two rounds based on indistinguishability obfuscation, but it was unknown if two rounds were possible under simpler assumptions without obfuscation. Our approach relies on multi-key fully homomorphic encryption (MFHE), introduced by Lopez-Alt et al. (STOC &#39;12), which enables homomorphic computation over data encrypted under dierent keys. We use a recent construction of MFHE based on LWE by Clear and McGoldrick (ePrint &#39;14), and we give a simplied stand-alone exposition of that scheme. We then extend this construction to allow for a one-round distributed decryption of a multi-key ciphertext. Our entire MPC protocol consists of the following two rounds:</div><div><br></div><div>1. Each party individually encrypts its input under its own key and broadcasts the ciphertext. All parties can then homomorphically compute a multi-key encryption of the output.</div><div><br></div><div>2. Each party broadcasts a partial decryption of the output using its secret key. The partial decryptions can be combined to recover the output in plaintext.</div><div><br></div></div></div>A joint work with Daniel Wichs. Available at <a href="http://www.cs.au.dk/~pratyay/2-round-MPC.pdf">http://www.cs.au.dk/~pratyay/2-round-MPC.pdf</a></div></div>