Рейтинг:4

Можно ли построить OT 1 из N со сложностью связи меньше, чем весь ввод отправителя?

флаг in

Конструкции 1-из-$n$ ОТ для $л$-битовые строки, которые я видел, имели сложность связи, пропорциональную $нл$. Интересно, а можно ли сделать ОТ с активной безопасностью и передать меньше чем $O(нл)$ бит (я игнорирую параметр безопасности в $О$-обозначение здесь)? Для меня важной частью здесь является то, что это дешевле, чем просто передача ввода отправителя получателю.

Есть ли какое-то неотъемлемое ограничение, которое не позволяет этому типу OT передавать меньше битов, чем ввод отправителя? Существуют ли какие-либо коммуникационные нижние границы для этого?

Daniel avatar
флаг ru
Я так не думаю. Существует нижняя граница PIR, которая говорит, что вы не можете получить меньше размера ввода с точки зрения связи (в основном, сообщения отправителя должны иметь столько же энтропии, сколько и полный ввод из-за безопасности), и я ожидаю, что это сработает также для 1-из-$n$ OT
Ivan avatar
флаг in
Нижняя граница PIR говорит, что вычисления отправителя должны «касаться» всех битов базы данных, но я не думаю (поправьте меня, если я ошибаюсь), что ответ отправителя должен быть таким же большим. Кроме того, нижняя граница PIR верна для общего случая, когда вы хотите вычислить любую функцию (базу данных), но не запрещает улучшать границу в некоторых особых случаях, таких как OT, где база данных имеет большую структуру.
Daniel avatar
флаг ru
Я думаю, что нижняя граница также предназначена для общения (см., например, лемму 5 в https://ia.cr/2019/220). Я не уверен, что вы имеете в виду, говоря о базе данных, имеющей определенную структуру, как в OT.
Ivan avatar
флаг in
О структуре в PIR: представьте, что моя база данных из n битов содержит 0 в каждой позиции. Ясно, что запросы к нему можно обработать, используя менее n битов связи (фактически 0 бит). Это демонстрирует, что для некоторых конкретных баз данных вы можете сделать PIR менее чем за n бит (и упомянутая вами нижняя граница не запрещает этого, потому что она указана для общего случая).
Ivan avatar
флаг in
Ваша ссылка про безусловно безопасный MPC, его нижние границы не распространяются на вычислительно безопасные OT (о которых я говорю) и PIR.
Рейтинг:1
флаг us

Предположим, что у отправителя есть строки $x_1, \ldots, x_n$, каждая длины $\ell$. У получателя есть выбор $y \in \{1, \ldots, n\}$ и хочет учиться (только) $x_y$. Протокол может действовать следующим образом:

  • Получатель генерирует ключ $к$ для полностью гомоморфной схемы шифрования с симметричным ключом.
  • Получатель отправляет $c = \textsf{Enc}(k,y)$.
  • Отправитель воображает логическую схему $f$ для функции $y \mapsto x_y$ - эта схема имеет все $x_i$ встроенные ценности.
  • Отправитель использует функцию гомоморфной оценки для локального вычисления $c' = \textsf{Enc}(k,f(y))$.
  • Отправитель отправляет $с'$.
  • Получатель расшифровывает, чтобы получить $f(y) = x_y$.

Только два шифротекста (каждый из которых шифрует $\ell$-битовая строка) отправляются, так что это может стоить $O(\каппа)+2\ell$ биты для подходящей схемы FHE. Примечание: вам нужна схема шифрования, которая является закрытой для канала, т.е. $с'$ должен раскрывать не более $ф(у)$, даже к ключнице.

Этот протокол защищен от получестных злоумышленников, но есть способы распространить его и на злонамеренные средства защиты.

Рейтинг:1
флаг cn

Чтобы дополнить ответ Микеро:

  • Если вы хотите 1-из-$N$ OT на выбранных входных битах, известные способы получения $о(Н)$ коммуникации строятся на работе по сублинейному поиску частной информации. Большинство решений основано на полностью гомоморфное шифрование, как в ответе Микеро. Однако существуют также различные альтернативные конструкции при других криптографических предположениях, таких как ДКР (через криптосистему DamgÃ¥rd-Jurik), или ДДХ и QR (используя хеш-функции с лазейкой).
  • Если вы хотите 1-из-$N$ псевдослучайный ОТ (т.е. $N$ входные данные отправителя являются выходными данными некоторой псевдослучайной функции), то существуют альтернативные, более эффективные решения при вариантах предположения LPN, см., например, эта работа.
  • Существует (много) конструкций доказательств знания с нулевым разглашением с сублинейной связью в размере свидетеля. Если вы хотите, чтобы они были неинтерактивными, вам нужны сильные предположения (модель случайного оракула или SNARG), но если вы согласны с взаимодействиями, они существуют из таких простых предположений, как существование устойчивых к коллизиям хэш-функций (например, здесь). Вы можете использовать любую такую ​​систему доказательств в общем виде, чтобы преобразовать получестную OT (такую, как в ответе Микеро) в схему с активной безопасностью.
  • Если вы хотите сделать только 1-из-$N$ со связью меньше, чем размер базы данных, это, как известно, возможно (хотя связь будет только немного меньше) при общих предположениях: существование перестановок с лазейками (см. здесь). Кроме того, для активной безопасности вам понадобятся CRHF.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.