Предложение Пусть Ï быть протоколом, который безопасно вычисляет функциональность ф в присутствии злонамеренных противников. затем Ï безопасно вычисляет ф при наличии усиленных получестных противников.
Доказательство. Пусть Ï будет протоколом, который безопасно вычисляет f в присутствии злоумышленников. Пусть A — аугментированный получестный реальный противник, а S — имитатор A, существование которого гарантировано безопасностью Ï (для каждого злонамеренного A существует такой S, и, в частности, для аугментированного получестного A ). Мы создаем симулятор S² для расширенной получестной настройки, просто запустив S² S. Однако для того, чтобы это сработало, мы должны показать, что S² может делать все то же, что и S. В злонамеренной идеальной модели S может выбрать любые входные данные для коррумпированной стороны; поскольку Sâ² является расширенным получестным, он также может изменять входные данные. Кроме того, S может привести к прерыванию вывода честной стороной. Однако Sâ² не может этого сделать. Тем не менее, это не проблема, потому что, когда S является симулятором для расширенного получестного A, это может привести к тому, что честная сторона выведет прерывание с пренебрежимо малой вероятностью.Чтобы убедиться в этом, обратите внимание, что когда две честные стороны запускают протокол, ни один из них не выдает прерывание с большой вероятностью. Таким образом, когда честная сторона работает вместе с аугментированным получестным противником, она также выдает аварийное завершение с по крайней мере незначительной вероятностью. Это связано с тем, что распределение по получаемым сообщениям в обоих случаях идентично (поскольку получестный настоящий противник следует инструкциям протокола точно так же, как и честный участник). Это означает, что имитатор злонамеренного случая, когда он применяется к расширенному получестному реальному противнику, вызывает прерывание с минимальной вероятностью. Таким образом, расширенный получестный симулятор может запускать симулятор для злонамеренного случая, когда это необходимо.
Это демонстрируют Кармит Хазай и Иегуда Линделл в книге Эффективные безопасные двусторонние протоколы.
Итак, мой вопрос:
Почему «отмена» здесь незначительна?
Почему нельзя использовать ту же идею, чтобы показать, что безопасность в расширенной получестной модели подразумевает безопасность в получестной модели?
То есть, можем ли мы, чтобы расширенный получестный противник изменил входные данные с незначительной вероятностью, чтобы получить безопасность в присутствии получестного противника?
Если изменение ввода не является незначительным, а прерывание незначительно, в чем разница между ними?
Я могу понять, что протокол, безопасный в присутствии злонамеренных злоумышленников, не обязательно безопасен в присутствии получестных злоумышленников. Потому что они соответствуют разным идеальным моделям.
Поэтому я не знаю, почему протокол, который является безопасным в присутствии злонамеренного противника, также безопасен в присутствии расширенного получестного противника, который, похоже, имеет почти одну и ту же идеальную модель, а дополненный получестный противник ослабленная версия злонамеренного противника.
Расширенный получестный противник определяется следующим образом:
Голдрайх вводит понятие расширенного получестного противника, который может модифицировать свои входные данные перед выполнением.
