Математическая формулировка криптосистемы

Я постараюсь легко определить криптографическая система этой статьи. Автор разрабатывает коммуникативную игру для $N$ игроки. Личная информация каждого игрока обозначается как $t_i\in T_i$ и представляет тип игрока $я$. Система шифрования, которую игроки используют для общения, основана на следующих отчетных переписках.

$\textbf{Отчетность о переписке:}$ Позволять $\mathcal{R}_i$ быть непустым, конечным множеством и определить отчетное соответствие $R_i : T_i\to 2^{\mathcal{R}_i}-\{\emptyset\}$ быть отображением от игрока $я$пространство типов для набора подмножеств $\mathcal{R}_i$. Элемент $r\in\mathcal{R}_i$ называется типозависимым сообщением и $R_i(t_i)$ это набор зависящих от типа сообщений, доступных для ввода $t_i$ игрока $я$. Сообщения, зависящие от типа, подтверждают заявление игрока о его типе. Например, если $S\in T_i$ это набор типов игроков $я$ кто может отправить сообщение $r\in R_i$, тогда $г$ удостоверяет утверждение типа «мой тип находится в $S$. Набор $S$ поэтому называется удостоверяемым событием.

$\textbf{Конфигурации сертификации:}$ Позволять $E_i\subseteq 2^{T_i}-\{\emptyset\}$ быть набором подмножеств $T_i$ который закрыт под перекрестком. Конфигурация сертифицируемости представляет собой $N$-кортеж конкретных отчетных корреспонденций $C_i:T_i\к E_i$ для каждого $i = 1,...,N$, с $$C_i(t_i)=\{e_i\in E_i|t_i\in e_i\},\quad\text{$\forall t_i\in T_i$} $$

Эти отчетные соответствия имеют два очень полезных свойства. Во-первых, каждое сообщение идентично событию, которое оно удостоверяет. Во-вторых, любое событие, удостоверяемое комбинацией сообщений в $C_i(t_i)$ тоже входит в комплект.

Позволять $R=(R_i)_{i\in I}$ быть произвольным профилем отчетных переписок, и для каждого игрока $i\in I$, позволять $E_i^R$ обозначим наименьшее множество, содержащее $\{R^{-1}(r_i)|r_i\in \mathcal{R}_i\}$ andd замкнуто относительно пересечения. $E_i^R$ множество всех событий, которые игрок $я$ может сертифицировать с $R_i$. Профиль $R$ может быть однозначно связан с конфигурацией сертифицируемости $C_R=(C_i^R)_{я\в I}$, куда $$C_i^R(t_i)=\{e_i\in E_i^R|t_i\in e_i\}$$

Конфигурация сертифицируемости $C_i^R$ из $R$ явно выражает сертифицируемую информацию как события в пространстве типов игрока.

$\textbf{Шифрование:}$ Позволять $C=(C_i)_{i\in I}$ быть конфигурацией сертифицируемости. Если проверяемая информация зашифрована, для каждого $i\in I$, каждое сертифицируемое событие $e_i\in E_i$ кодируется с использованием криптографического алгоритма, называемого шифром. Шифр — это отображение $Ï_i: E_i à Y_i â X_i$ который имеет в качестве входов личную информацию $e_i$ и немного дополнительной информации $y_i\in Y_i$, называемый ключом, и выдает на выходе код $x_i\in X_i$. Предполагается, что набор ключей $Y_i$ достаточно велико, т.е. $|Y_i| ¥ |E_i|$, и это для каждого $y_i\in Y_i$ отображение $Ï(\cdot, y_i)$ биективна, так что каждая пара $(х_я, у_я)$ связано ровно с одним удостоверяемым событием $e_i$. Когда информация игрока зашифрована, его сообщения, зависящие от типа, представляют собой пары, состоящие из фрагмента кода и ключа. В то время, когда игроки узнают свои типы, природа публично выбирает шифр $Ï_i$ для игрока $i\in I$ и закрытый ключ $y_i$ равномерно из набора $Y_i$. Игрок $я$âотчетная корреспонденция затем предоставляется

$$\шляпа{R}_i(t_i,y_i)=\{(x_i, y_i)|x_i=Ï_i(e_i, y_i), e_i\in C_i(t_i)\}$$

Одна естественная интерпретация сообщений в $R_i$ в виде фрагментов зашифрованных доказательств относительно игрока $я$s, предоставленный доверенной третьей стороной, которая использует общеизвестный шифр и закрытый ключ для шифрования информации. Обратите внимание, что если $С=С^R$, то профили $R(\cdot)=(R_i(\cdot))_{i\in I}$ и $\шляпа{R}(\cdot,y)=(\шляпа{R}_i(\cdot,y_i))_{i\in I}$ иметь общую конфигурацию сертифицируемости для каждой комбинации ключей $y\in(Y_i)_{i\in I}$

Позволять $ E ^ R = (E_i ^ R) _ {я \ в I} $ быть профилем наборов событий, которые можно сертифицировать с помощью $R$. Набор $E_i^R$ конечен, так что все его элементы могут быть помечены в произвольном порядке индексом из $1$ к некоторому положительному целому числу $n_i$. Затем каждое сертифицируемое событие может быть связано с его индексом, т. е. числом в наборе $\{1,...,n_i\}$. я напишу $z_i(e_i)$ для обозначения числа, представляющего событие $e_i$ и, слегка злоупотребив обозначениями, напишу $e_i(z_i)$ для ссылки на событие, индекс которого равен $z_i$.

Необходима следующая лемма

$\textbf{Лемма:}$ Если $z_i$ — случайная величина с носителем на $\{1,...,n_i\}$ и $y_i$ равномерно распределяется по $\{1,...,n_i\}$ независим от $z_i$, то случайная величина $x_i$ определяется $x_i=z_iây_i(mod{n}_i)$ также равномерно распределяется по $\{1,...,n_i\}$.

Здесь, $z_i$ представляет собой удостоверяемое событие, $y_i$ представляет ключ, и $x_i$ это код, сгенерированный шифром $Ï_i(e_i,y_i)=z_i(e_i)–y_i(mod{n}_i)$. Теперь предположим, что игрок $я$▪ личная информация зашифрована, а его корреспонденция

$$\шляпа{R}_i(t_i,y_i)=\{(x_i, y_i)|x_i=z_i(e_i)–y_i(mod{n}_i), e_i\in C_i(t_i)\}$ $

так что игрок $я$ могу отправить пару $(x_i,y_i)$ если событие $e_i$ представлена $z_i=x_i+y_i(mod{n}i)$ в $C_i^R(t_i)$. Созданная таким образом конфигурация сертифицируемости идентична конфигурации сертифицируемости $R$: если только типы игроков $я$ кто может сертифицировать $e_i$ с $R_i$ могу отправить пару $(х_я, у_я)$ что удовлетворяет $z_i=x_i+y_i(mod{n}_i)$, то отправка такой пары аналогична удостоверению $e_i$. По лемме $1$, обе $x_i$ и $y_i$ равномерно распределены по $\{1,...,n_i\}$, а значит, по отдельности $x_i$ и $y_i$ не содержат информации о $e_i$.

$\textbf{Вопрос:}$ Если мы предположим, что в случае вышеупомянутой математической структуры шифр, который определяется как биективный, где каждая пара $(x_i,y_i)$ относится к линейному уравнению, такое что $ч(х)=ах+б$, $b=e_i$. Если два игрока знают $(x_i,y_i)$ может объединить их и взять то, что ему не хватает, чтобы $x_i+y_i(nod{n}_i)=z_i(e_i)\quad\text{или $e_i(z_i)$}$. Следовательно, если мы возьмем за $ч$ многочлен степени $t<2N$ такой, что

$$h(x)=a_tx^t+a_{t-1}x^{t-1}+\cdots+a_1x+a_0,\quad\text{где $a_0=e_i(z_i)$}$$

каково эквивалентное представление $\rho_i$, где знать, что они нужны $t+1$ пары для расчета $ч(х)$ с постоянным сроком $e_i(z_i)$ (что по сути означает, что $t+1$ пара $(x_i,y_i)$ связаны только с одним $e_i$ (биективное))?

Другими словами, вопрос меняется на эквивалентный: «Может ли кто-нибудь помочь в простом полиномиальном представлении шифра? $\rho_i$"?

$\textbf{Подсказка:}$ С небольшим злоупотреблением обозначениями я думаю, что автор использует $\{1,...,n_i\}$ вместо $\{0,1,...,n_i-1\}$.

Ну, просто мысль ... в случае, если шифр использует больше значений в качестве ключей или кодов, не означает ли это, что вы работаете в схеме, где применяются протоколы BGW? А именно с одним ключом и одним кодом это означает, что у вас есть линарное отображение для шифра $\rho_i$ однако, когда у вас больше очков, вы работаете с многочленами. Если это так, вы можете обобщить схему, работающую для полиномиальных шифров, и тогда это может сохранить нужные вам свойства, и это новый механизм.

P.S. Обобщение доказательства протокола BGW если кто-нибудь может помочь вам с математикой и определениями...

Я могу отметить некоторых людей, знакомых с такими схемами, но измените, если хотите, вопрос, например, можно ли каким-то образом применить протокол BGW в этой схеме... для многих кодов и ключей, которые будут ни больше, ни меньше, чем пары случайный полиномиальный шифр $\rho_i$ что будет дано игрокам, чтобы никто не мог узнать $e_i$ самостоятельно, но они должны дополнительно произвести некоторые расчеты. Кроме того, если игрок наклоняется $e_i$ на самом деле он не учится $t_i$, потому что, как вы видите $t_i\in e_i$, а значит, он достаточно информативен, но не дает точно $t_i$ возможно, он содержит какой-то шум или что-то в этом роде.