Einverstanden. Deshalb legen wir so viel Wert auf die Systeme, die: 1. symmetrische Kryptographie für das Garbling verwenden; 2. die Korrektheit des Schaltkreises mit ZKP beweisen (ZKP ist viel ausgereifter, da viele Projekte das zkRollup- und zkVM-basierte Beweisnetzwerk gestartet haben). Sicherlich ist C&C einfach, aber die Kommunikationskosten sind sehr hoch. Authentifiziertes Garbling lässt sich möglicherweise nicht direkt mit den meisten fortgeschrittenen semi-ehrlichen Schaltkreis-Garbling-Schemata integrieren (und ist auch nicht für den BitVM-Fall geeignet). Was das arithmetische Garbling betrifft, so ist es keine neue Geschichte, ursprünglich aus dem Booleschen Schaltkreis, aber effizienter für komplexe arithmetische Berechnungen. Für einige andere Garbling-Richtungen, wie wiederverwendbare garbled circuits basierend auf Gitterkryptographie mit RLWE oder Modul-LWE-Härteannahme, ist es, soweit ich weiß, ein bisschen akademisch.