Рейтинг:1

Существует ли безопасный двухсторонний протокол, который заставляет P1 (с x в качестве входных данных) получать rx+r', а P2 получает (r, r')

флаг za

Это должен быть безопасный двухсторонний протокол против злонамеренного противника.

Ввод P1 — это X в Zp* (p — простое число); Ввод P2 ничего. Выход P1 равен rX+r'. r,r' — случайные числа из Zp* Выход P2' равен r и r'.

Существует ли какой-либо эффективный протокол для реализации этой функциональности, кроме использования гомоморфного шифрования? Если только ОН решает эту проблему, то какой из них самый эффективный?

Спасибо за помощь!

флаг us
Это хорошо известная проблема, называемая Oblivious Linear function Evaluation (OLE).
mactep Cheng avatar
флаг za
Спасибо за помощь!
Рейтинг:0
флаг ru

Вы можете сделать это с любой аддитивной/логарифмически гомоморфной схемой с $р$ деление порядка группы открытого текста. Окамото-Утияма система имеет размер пространства открытого текста точно $р$ и может подойти, если вам не требуется квантовое сопротивление.

Протокол выглядит следующим образом:

P1 создает открытый ключ для схемы, а также шифрует $Х$ и 1, скажем $c_0=Е(Х)$ и $c_1=E(1)$. Они передаются на P2.

Предполагая лог-гомоморфную схему, P2 выбирает случайным образом $г$ и $ р € $, вычисляет $c_2:=c_0^rc_1^{râ}=E(rX+râ)$ и отправляет это значение на P1.

P1 расшифровывает $c_2$ восстановить $rX+râ$.

mactep Cheng avatar
флаг za
благодарю вас! как насчет ее эффективности по сравнению со схемой Пайе? Мне нужен эффективный, потому что я хочу, чтобы он был защищен от злонамеренного противника. Знаете ли вы какой-либо другой метод, кроме HE?
mactep Cheng avatar
флаг za
И я также хочу случайные r и r', но в вашей схеме r и r' определяются P2, что может быть злонамеренным.
Daniel S avatar
флаг ru
O-U похож по эффективности на Paillier и часто более эффективен при том же уровне безопасности. Я не знаю ни одного решения, отличного от HE.
Daniel S avatar
флаг ru
Чтобы защититься от злонамеренного P2, P1 может случайным образом выбрать $s1$ и $s2$ и сформировать $(r+s1)X+(r+s2)$. Отправка $s1$ и $s2$ на P2 позволяет им сформировать $r+s1$ и $râ+s2$
mactep Cheng avatar
флаг za
Спасибо! Буду изучать схему O-U. Но я думаю, чтобы сделать его безопасным, возможно, придется добавить некоторые дополнительные ZKP; такие вещи, как доказательство того, что общедоступный параметр сгенерирован правильно и т. д.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.