Рейтинг:1

Протокол пересечения частных множеств на основе Диффи-Хеллмана не может пройти проверку моделирования?

флаг vn

Учитывая популярный протокол Private Set Intersection (PSI), впервые описанный в [1]:

  • Алиса выбирает случайным образом $а$, и отправляет $\{H(x_i)^{a}\bmod p\}| (i=1,...m)$ к Бобу.
  • Боб выбирает случайным образом $b$, и отправляет $\{H(y_i)^{b}\bmod p\}| (i=1,...n)$ Алисе.
  • Алиса вычисляет и отправляет $\{H(y_i)^{ba}\bmod p\}| (i=1,...n)$ к Бобу.
  • Боб вычисляет и отправляет $\{H(x_i)^{ab}\bmod p\}| (i=1,...m)$ Алисе.
  • Каждая сторона локально вычисляет пересечения.

Вопрос 1: Если (с очень малым шансом) существуют $x_1$ и $x_2$ что $H(x_1)=H(x_2)^2\bmod p$, то Боб мог бы обнаружить его, потому что $H(x_1)^a=(H(x_2)^a)^2\bmod p$. Конечно, Боб не мог имитировать эту информацию. Означает ли это, что этот протокол нарушает получестную безопасность?

Я обсуждал это с друзьями, некоторые говорили, что это не нарушает получестную безопасность, потому что шанс $H(x_1)=H(x_2)^2\bmod p$ пренебрежимо мал. Но я думаю, что да, потому что в определении 4.1.учебника по доказательству симуляции [2], симуляция всегда должна быть успешной и не должна зависеть от входных данных. $\{х,у\}$.

Вопрос 2: В протоколе PSI (рис.3) из [3] они используют $H(H(x_i)+H(x_i)^{a})$ вместо $H(x_i)^{a}$ (обратите внимание, что протокол по-прежнему верен, если они используют $H(x_i)^{a}$), это, кажется, усиливает мою точку зрения (наивный протокол DH-PSI недоказуем), потому что $H(H(x_i)+H(x_i)^{a})$ проще смоделировать, чем $H(x_i)^{a}$ . Правильно ли я понимаю?

Спасибо.

  1. Хуберман Б.А., Франклин М., Хогг Т. Повышение конфиденциальности и доверия в электронных сообществах[C]// Конференция ACM по электронной коммерции. АКМ, 1999:78-86
  2. Линделл И. Как это смоделировать, https://eprint.iacr.org/2016/046.pdf
  3. Генрих А., Холлик М., Шнайдер Т. и др. PrivateDrop: практическая аутентификация с сохранением конфиденциальности для Apple AirDrop, USENIX'SEC 21
Рейтинг:1
флаг us

Если (с очень малым шансом) существуют $x_1$ и $x_2$ что $Ч(х_1) = Н(х_2)^2$, то Боб мог бы это обнаружить... симуляция всегда должна быть успешной и не должна зависеть от входных данных $\{х,у\}$.

Я согласен с вашим другом, что это наблюдение не нарушает получестную безопасность.

В получестной модели входные данные не зависят от случайного оракула. Другими словами, входы фиксированы. первый, а потом $Ч$ отбирается. Среда не имеет доступа к случайному оракулу (в локальной модели случайного оракула), поэтому ее выбор входов для честных сторон не зависит от случайного оракула. Итак, событие, которое $Ч(х_1) = Н(х_2)^2$ не зависит от $x_1, x_2$. Это маловероятно для всех входных данных, поэтому симулятор может спокойно игнорировать этот случай.

В протоколе PSI (рис.3) из [3]

Я не уверен, что ваш вопрос здесь. В [3] им нужен защищенный от вредоносных программ протокол PSI, а классический протокол DH-PSI — нет. Поэтому они используют более сложный протокол Джареки и Лю.

Кажется, что более важный вопрос заключается в том, нельзя ли «смоделировать» классический DH-PSI, где, по-видимому, вы имеете в виду против злонамеренных противников. Я согласен. Просто подумайте о случае, когда у каждой стороны есть по 1 предмету. Рассмотрим случай, когда поврежденная Алиса запрашивает случайный оракул в $x_0$ и $x_1$, подбрасывает монетку $b$, и отправляет $H(x_b)^a$ для случайного показателя $а$. Случайный показатель $а$ делает представление симулятора (случайные запросы оракула $x_0, x_1$ и протокольное сообщение $H(x_b)^a$) совершенно не зависит от $b$. Но симулятор должен угадать $b$ для правильного извлечения.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.