Как злонамеренное искажение может поставить под угрозу входные данные оценщика в искаженной схеме Яо

walter7x

18.11.2022, 06:10

Предположим, у нас есть схема, которая выводит хэш sha256 конкатенации ввода Алисы и ввода Боба (где Алиса — искажатель, а Боб — оценщик).

Я пытаюсь понять, к каким методам может прибегнуть Алиса, когда злонамеренно искажает схему, чтобы передать хотя бы один бит ввода Боба в вывод. (В моем случае не так важно, что вывод схемы будет неправильным, важно лишь то, чтобы ввод Боба не просочился)

Изучение исходного кода ДЖИГГ Я вижу, что Боб получает от Алисы искаженные таблицы истинности для всех логических элементов И в схеме. Ему не нужны таблицы истинности для вентилей XOR (полагаю, из-за FreeXOR).

Прав ли я, предполагая, что «фальсификация» таблицы истинности И - это единственная возможность для Алисы повлиять на результат. Можно ли настроить его так, чтобы он всегда выводил, например. 0 независимо от входных проводов к вентилю И?

Я прочитал всю главу «Вредоносная безопасность» Прагматичный ПДК но он не распространяется на мой конкретный вопрос, а лишь мимоходом упоминает «Вывод злонамеренно сгенерированная искаженная схема может утечь больше, чем P 2 согласился раскрыть (например, весь вход P 2)». Затем в книге объясняется, как защититься от злонамеренного искажения, но не объясняется, как именно мошенник может настроить схему для утечки входных данных.

112

1 + 0

многопартийное вычисление

искаженные схемы

Рейтинг:2

Crypto

Geoffroy Couteau

19.11.2022, 16:48

Это действительно зависит от того, какая схема искажения используется. Используя современную схему полузатвора (здесь), ваш вопрос был предметом статьи Дюпена, Пойнтшеваля и Бидана, которую можно найти здесь. Суть такова: любая такая атака равносильна произвольному добавлению или удалению вентилей НЕ в исходной схеме. Можно ли использовать это для полной утечки ввода, зависит от конкретной схемы, используемой для реализации хеш-функции (и найти точный ответ может быть довольно сложно, поскольку эта логическая схема может быть сложной).

(Как показано в документе, существуют некоторые схемы, для которых эти атаки доказуемо не являются проблемой, но маловероятно, что это имеет место для стандартных хеш-функций)

0 + 1

Mikero

20.11.2022, 17:10

Это очень чувствительно к тонким деталям того, как в протоколе используются искаженные схемы. В Дюпене-Пуаншевале-Бидане важно наличие обязательств по выходным проводам. Без этих обязательств *искаженный* вывод (не "декодированный" вывод) может легко привести к утечке всего ввода оценщика. У нас есть [документ] (https://eprint.iacr.org/2015/055.pdf), в котором исследуется, как оценщик может быть уверен, что искаженная схема вычисляет в соответствии с ожидаемой топологией схемы.Как и в случае с DPB, проблема заключается в проводах, которые кодируют более двух значений.

Ответить

Admin

Этот вопрос на других языках:

EN: How can malicious garbling compromise evaluator's input in Yao's garbled circuit

TH: การอ่านไม่ออกที่เป็นอันตรายจะส่งผลต่อการป้อนข้อมูลของผู้ประเมินในวงจรที่อ่านไม่ออกของ Yao ได้อย่างไร

RO: Cum poate deformarea rău intenționată să compromită contribuția evaluatorului în circuitul deformat al lui Yao

RU: Как злонамеренное искажение может поставить под угрозу входные данные оценщика в искаженной схеме Яо

VI: Làm thế nào việc cắt xén ác ý có thể làm tổn hại đến đầu vào của người đánh giá trong mạch bị cắt xén của Yao

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.