В учебном пособии Линделла «Как это смоделировать» используется так называемый автономный модель безопасности. См. обсуждение в Разделе 10.1.
Автономная модель анализирует безопасность экземпляра протокола изолированно. Модель UC анализирует безопасность при наличии произвольных «других вещей, происходящих в мире» одновременно с экземпляром протокола. Эти «другие вещи» захвачены этим среда машина в определении UC.
В автономной модели мы определили безопасность как «для каждого злоумышленника, атакующего протокол, существует симулятор, такой, что реальный $\приблизительно$ Обратите внимание, что симулятор может зависеть от злоумышленника совершенно произвольным образом. В частности, симулятор может выполнять программу противника много раз, часто перемотка программу противника в предыдущее состояние.
В модели UC определение безопасности расширено: «для каждого злоумышленника, атакующего протокол, существует такой симулятор, что для всех сред, настоящий $\приблизительно$ Теперь один и тот же симулятор должен работать для всех сред, что значительно ограничивает его возможности. Среда может рассчитывать на общение с программой-противником во время выполнения протокола. Перемотка противника в этом случае приведет к тому, что идеальный мир будет выглядеть сильно отличается от реального мира, поскольку симулятор также не может перематывать среду.Можно показать, что симулятор должен выполнять программу противника «по прямой» (без перемотки).
Вот пример функции, которую можно безопасно вычислить в автономной модели, но не в UC. Пример взят из Эта бумага. Одна сторона выбирает строку, а другая сторона выбирает столбец, а результат определяется этой таблицей:
$$
\begin{массив}{cccc}
0 и 0 и 1 и 1 \
2 и 3 и 2 и 3
\конец{массив}
$$
Автономный протокол очень прост: игрок-строка объявляет свой ввод, а затем игрок-столбец (теперь зная вводы обеих сторон) вычисляет вывод и объявляет его.
Почему это безопасно? Симулятор коррумпированного игрока-строки тривиален — первое, что происходит в протоколе, — это игрок-рядник объявляет о своем вводе, поэтому симулятор может легко извлечь данные.
Моделирование коррумпированного игрока-столбца немного сложнее, потому что его выбор протокольного сообщения может зависеть от того, что сказал игрок-ряд в первом протокольном сообщении! Однако симулятор может запустить злоумышленника дважды (т. е. перемотать назад) и посмотреть, как он отреагирует на первое сообщение «верхняя строка» (отвечает либо 0, либо 1) и первое сообщение «нижняя строка» (отвечает либо 2, либо 3). Всего существует 4 возможных способа ответа поврежденного игрока-столбца, и из-за структуры этой функции каждый способ соответствует допустимому входу в эту функцию для игрока-столбца. Таким образом, симулятор может снова извлечь входные данные игрока-столбца.
Однако можно доказать (хотя и нетривиально), что в модели UC нет безопасного протокола для этой функции. Стратегия перемотки, которую я описал, почему-то неизбежна для этой функции.
