Рейтинг:0

Криптографический случайный маяк VS случайный оракул

флаг cn

Начнем с того, что я имею в виду под криптографическим случайным маяком (RB). RB — это протокол между некоторыми сторонами, которые вместе генерируют случайное значение, так что:

  1. эти стороны не доверяют друг другу
  2. результат является публично проверяемым (любой может убедиться, что результат правильно сгенерирован протоколом)
  3. Результат непредвзят: ни одна из сторон не может повлиять на результат.
  4. результат непредсказуем: ни один орган не может предсказать следующий результат на основе текущего выхода.

Первое интуитивно понятное решение — «фиксация и раскрытие», которое не работает! каждый выбирает секретное случайное значение $s_i$ и совершить его, то во втором раунде они раскрывают свои секреты.

Результат является случайным, непредсказуемым и публично проверяемым, но не беспристрастным. Злоумышленник может просто подождать, пока каждый орган раскроет свою тайну, затем она решит, хорошо ли ей раскрыть свою тайну, или нет, и она может отказаться от раскрытия своей тайны. Затем есть несколько решений, основанных на функции случайной задержки или пороговой криптографии (для меня наиболее понятное решение основано на пороговой подписи BSL от компании Dfinity).

Где же в криптографии это можно использовать? почему Random Oracle (+ Fiat-Shamir) не хватает?

Я понимаю, что это может быть полезно в приложениях, где вызов должен быть неизвестен в специальных временных метках. Например, если хранилище данных хочет доказать, что на отметке времени $t$ у него все еще есть данные, он должен использовать вызов, сгенерированный RB на отметке времени $t$ и дайте доказательство, основанное на этой задаче. В противном случае он может сам сгенерировать вызов (например, с помощью RO), удалить данные и с отметкой времени $t$ утверждает, что у него есть данные, потому что он может генерировать доказательство на основе данных и задачи.

Но если нет метки времени, я действительно не вижу смысла использовать RB вместо RO. Я думаю, что для приложений без меток времени RO более практичен.

Итак, правильно ли я понимаю? Я все еще вижу некоторые документы, которые используют вывод RB в качестве задачи (или просто для случайной генерации), а не используют RO (хотя понятие времени отсутствует), и я не знаю, почему!

Geoffroy Couteau avatar
флаг cn
RO тривиально подразумевает общедоступный случайный маяк (определить маяк как $ H (0), H (1), $ и т. д.). Но ПЗУ — это идеалистическая модель, которая доказуемо *не может* быть реализована в реальном мире — как никогда. Это единственный способ получить эвристическую уверенность в наших схемах, но он не дает *какой-либо* доказуемой гарантии в реальном мире. В отличие от этого, случайный маяк — это просто допущение надежной установки: нечто, что действительно может быть реализовано в реальном мире.
флаг us
@Geoffroy: Похоже, постер хочет, чтобы значение отображалось в момент времени $t$, что нельзя было предсказать в момент времени $t-1$. А $H(1), H(2), \ldots$ не обладают этим свойством, когда $H$ является общедоступным случайным оракулом.
Geoffroy Couteau avatar
флаг cn
Ха верно, я не правильно прочитал. Так что да, это не может быть легко создано случайным оракулом

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.