Регистрация Войти
Рейтинг:1
Anon avatar Crypto

Существует ли выигрышная стратегия, основанная на этом протоколе подбрасывания монет?

флаг cn
Anon

Учитывая протокол подбрасывания монеты:

  • А выбирает $a \in_R \{0,1\}$ и вычисляет $ зафиксировать (а, г) $. Она посылает $ зафиксировать (а, г) $ к Б.
  • Б выбирает $b \in_R \{0,1\}$ и отправляет $б$ к А.
  • А посылает $ открыть (а, г) $ и B проверяет, действительно ли открытие.
  • Оба выхода $монета = а \oplus b$

куда $коммит$ это схема обязательств, используемая Алисой.

Я пытаюсь понять, как возможно, что у одной из сторон есть выигрышная стратегия, которая гарантирует, что результат равен 0. Я предполагаю, что это связано с некоторой формой нечестности одной из сторон, но я не понимаю, как это может быть быть выполнено. Я понимаю, что Алиса может сказать, нравится ей результат или нет, прежде чем произвести вывод, но тогда что навязывает решение быть ей по вкусу?

Также я понимаю, что каждая сторона должна немного выводить, но тогда, если действительно одна является нечестно, как тогда определяется окончательный результат?

Любые советы будут высоко ценится.

132
0 + 0
kodlu avatar
флаг sa
kodlu
сообщить подробности! что такое com(), другие функции? определить их. также введите MathJax вместо изображения, эти ссылки не являются постоянными.
0
Ответить
Anon avatar
флаг cn
Anon
Извинения - исправлено сейчас (новинка для криптографии, поэтому предполагаемые обязательства являются широко известным понятием, включая аббревиатуры).
1
Ответить
флаг us
Mikero
Вы, кажется, уверены, что одна сторона может повлиять на результат. Откуда у тебя такое впечатление?
0
Ответить
Anon avatar
флаг cn
Anon
Я прочитал это в газете, в которой говорится: смещение протокола подбрасывания монеты измеряет максимальное влияние противника, контролирующего подмножество злонамеренные стороны на выходе честных сторон, где смещение равно 0, если выход всегда однороден распределены, а **смещение равно 1/2, если злоумышленник может заставить вывод всегда быть (скажем) 1 .... наивные протоколы, чье смещение равно 1/2**.» (от: https://eprint.iacr .org/2012/643.pdf) - возможно, я ошибаюсь, что протокол, который я написал выше, считается наивным? (в документе не указано, что такое «наивный»).
0
Ответить
Morrolan avatar
флаг ng
Morrolan
Вполне вероятно, что документ дает злоумышленникам возможность прервать протокол и начать его новую реализацию. В этом случае, поскольку $A$ узнает о результате до $B$, злоумышленник $A$ может добиться этого.
0
Ответить
Рейтинг:1
avatar Crypto
флаг us
Mikero

Здесь есть тонкое различие, которое необходимо сделать явным. Мы должны рассмотреть две разновидности определений безопасности:

  • «Безопасность с прерыванием»: Коррумпированной стороне разрешено видеть их результаты, а затем решать, разрешить ли честной стороне получать их результаты. (Я описываю то, что происходит в идеальном мире — протокол безопасен, если каждая атака на протокол может иметь тот же эффект, что и любая атака в идеальном мире.)

    Идеальная функциональность для «подбрасывания монеты с прерыванием» делает следующее:

    1. подбросить монету $c \получает\{0,1\}$;
    2. дайте $с$ противнику;
    3. подожди немного $д$ ($д$ = «доставить») от противника
    4. если $д=0$, затем дайте вывод $\бот$ честным сторонам; иначе если $д=1$ затем дайте вывод $с$ к честным сторонам.

  • «Гарантированный выход»: Коррумпированная сторона не может помешать честной стороне получить результат.

    Идеальная функциональность для «подбрасывания монеты с гарантированным выходом» делает следующее:

    1. подбросить монету $c \получает\{0,1\}$;
    2. дайте $с$ всем сторонам;

Описанный вами протокол не говорит, что должно произойти, если коррумпированная Алиса не откроет свое обязательство к удовлетворению Боба. Если мы скажем Бобу прервать в этом случае, мы действительно получим протокол, который обеспечивает безопасность с прерыванием. Так что в этом смысле ваша интуиция верна.

Но какой бы протокол вы ни добавляли, он не обеспечит безопасность с гарантированным выходом. Именно этот вопрос обсуждается в бумага что вы упомянули.

Ради вашего вопроса мы определяем «наивный» протокол как протокол со смещением 1/2, то есть противник всегда может с уверенностью добиться определенного результата. Вы описали протокол в своем вопросе и спрашиваете, наивен ли он согласно этому определению. Однако ваш протокол недоопределен --- он не описывает, что должен делать честный Боб, если Алиса не сможет (или не решит) открыть свое обязательство. Поэтому невозможно ответить, является ли этот протокол наивным в соответствии с этим определением.

На странице 3 этой статьи они рассматривают описанный вами протокол, но со следующим добавленным условием: «Если Алиса прервет или не откроет обязательство правильно, тогда Боб должен выбрать свой собственный случайный бит и использовать этот бит в качестве своего вывода». Они показывают, как получившийся протокол имеет смещение 1/4, а также утверждают, что 1/4 является лучшим смещением атаки для этого полученного протокола. Таким образом, результирующий протокол не является наивным в соответствии с нашим определением.

0 + 0
Рейтинг:1
avatar Crypto
флаг in
Stanley

  • Алиса выбирает немного $а$ и отправляет $с = зафиксировать(а)$ к Бобу.

  • Боб выбирает и возвращает $b$ Алисе.

  • Алиса вычисляет $а\оплюс б$ и, если это $0$, она продолжает протокол, посылая $ открыть (с) $. если это не $0$, Алиса прерывает и перезапускает протокол.

Алиса имеет полный контроль над протоколом и может гарантировать, что $а\оплюс б$ любое значение, которое она выбирает.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.