неинтерактивные безопасные вычисления с изюминкой?

Jonas Metzger

23.10.2022, 04:31

неинтерактивные безопасные вычисления (NISC) (введено Эта бумага, последовал к другие) — это вариант безопасного 2PC/MPC, определяемый следующим параметром:

Алиса публикует зашифрованную версию f(*, y), так что Боб или любой другой человек, знающий некоторый x, может создать сообщение m, раскрывающее f(x, y) Алисе (без необходимости какого-либо другого взаимодействия с Алисой).

Однако в текущих предложениях Боб не смог бы узнать f(x, y) без помощи Алисы, если я правильно понимаю. Но это именно то, что я хочу. В отличие от литературы NISC, для меня не важна ни конфиденциальность x Боба, ни конфиденциальность f(x, y). Просто конфиденциальность y важна. Кто-нибудь знает, возможно ли это / уже предлагалось где-то?

1 + 2

многопартийное вычисление

доказательства с нулевым разглашением

Mikero

23.10.2022, 06:38

Вы просите Алису отправить одно сообщение, чтобы Боб выучил $f(x,y)$, не отправляя ничего самому?

Ответить

Jonas Metzger

28.10.2022, 14:49

Да! Извините, что сразу не понятно

Ответить

Рейтинг:3

Crypto

Mikero

28.10.2022, 15:50

Если Алиса — единственный человек, который говорит, но Боб может узнать выходные данные, то протокол должен утечь больше, чем просто $ф(х,у)$. Видеть:

Халеви, Линделл, Пинкас: Безопасные вычисления в Интернете: вычисления без одновременного взаимодействия

По существу, Боб может выбрать множество различных $y_i$ значений и повторно запустить протокол, чтобы узнать множество различных $f(x,y_i)$ выходы. Поскольку Боб никогда не говорит в протоколе, он может делать все это «в своей голове», без участия Алисы. Таким образом, лучшее, на что вы можете надеяться, это то, что протокол передает Бобу не больше, чем оракул для функции остатка. $f(x,\cdot)$.

Для некоторых функций $f$, достижение этой «наилучшей возможной» утечки невозможно. В теореме 2.3 статьи есть пример (в котором $f$ является псевдослучайной функцией и $х$ является его семенем). Для других функций «наилучшая возможная» утечка эквивалентна просто выдаче $х$ в чистоте.Так что не всегда понятно, что вы можете получить от этой модели ограниченного взаимодействия.

0 + 3

Jonas Metzger

29.10.2022, 18:41

Спасибо, это очень полезно! Я думаю, вы перепутали x и y относительно моего исходного поста, верно?

Ответить

Jonas Metzger

29.10.2022, 18:56

Моя настройка (с использованием моей исходной записи): x — это сообщение, y — симметричный ключ шифрования, а f(x,y) — симметрично зашифрованное сообщение. Алиса публикует f(.,y). Хорошо, что Боб может зашифровать несколько разных x_i. Также хорошо, что это в конечном итоге приводит к утечке y, поскольку публике потребуется больше, чем, скажем, 1 час, чтобы найти y по заданному f (., y). (Я хочу модифицировать протокол поверх TLS — аналогичный TLSNotary — в котором Боб может доказать публике, что он получил симметрично зашифрованное сообщение с сервера до того, как узнал об этом. Это еще не решит мою проблему, но будет большой шаг к этому)

Ответить

Jonas Metzger

29.10.2022, 21:37

Предложенная вами статья великолепна и актуальна, я должен отметить это как принятый ответ. Спасибо!

Ответить

Admin