Предположим, у нас есть схема, которая выводит хэш sha256 конкатенации ввода Алисы и ввода Боба (где Алиса — искажатель, а Боб — оценщик).
Я пытаюсь понять, к каким методам может прибегнуть Алиса, когда злонамеренно искажает схему, чтобы передать хотя бы один бит ввода Боба в вывод. (В моем случае не так важно, что вывод схемы будет неправильным, важно лишь то, чтобы ввод Боба не просочился)
Изучение исходного кода ДЖИГГ Я вижу, что Боб получает от Алисы искаженные таблицы истинности для всех логических элементов И в схеме. Ему не нужны таблицы истинности для вентилей XOR (полагаю, из-за FreeXOR).
Прав ли я, предполагая, что «фальсификация» таблицы истинности И - это единственная возможность для Алисы повлиять на результат. Можно ли настроить его так, чтобы он всегда выводил, например. 0 независимо от входных проводов к вентилю И?
Я прочитал всю главу «Вредоносная безопасность» Прагматичный ПДК но он не распространяется на мой конкретный вопрос, а лишь мимоходом упоминает «Вывод
злонамеренно сгенерированная искаженная схема может утечь больше, чем P 2 согласился раскрыть (например, весь вход P 2)».
Затем в книге объясняется, как защититься от злонамеренного искажения, но не объясняется, как именно мошенник может настроить схему для утечки входных данных.