混淆电路论文学习笔记——part2

阅读论文（Foundation of Garbled Circuits）

一、往期回顾

混淆电路论文学习笔记——part1
part1已经简单介绍了混淆方案，电路，边际信息函数以及混淆方案的三个安全性质。接下来进一步介绍三个安全性质以及三个安全性之间的关系。

二、代码游戏

密码学安全性证明大多都是通过游戏归约的方式来进行证明的。因此这里先介绍一下代码游戏
游戏中一般包括三个可选程序，分别是初始化程序，交互程序，最终程序。
一般初始化程序最先执行，进行一系列初始化操作。并且它的输出（如果有输出的话）就是敌手$\mathcal{A}$的输入（这个时候敌手可能正在和其他程序进行交互）。敌手可以进行产生问询。每次产生问询，交互程序就会启动，然后对敌手的问询进行答复。最终敌手给出一个输出，由最终程序来判断敌手是否在游戏中获胜。

三、隐私性、不经意性、认证性之间的关系

我们接下来从编码游戏的角度来理解这三个性质。下面所有游戏的初始化程序都是初始化一个挑战比特$b$。最终程序都是检验敌手猜测的比特$b^{\prime }$和初始化的挑战比特是否一致。接下来我们详细说明其中的交互程序。

1.隐私性

关于隐私性，我们一共有两种定义方式，一个是不可区分角度（indistinguish）,一个是模拟器角度（simulation）。

1.1、不可区分隐私性

我们首先说不可区分角度的交互程序

1. proc $pr{v}_{ind}(f_0,f_1,x_0,x_1):$
2. if $\Phi (f_0)\ne \Phi (f_1)$ then return false
3. if $f_0(x_0)\ne f_1(x_1)$ then return false
4. if $x_0.length()\ne f_0.n$ then retuen false
5. $(F,e,d)\leftarrow Gb(1^k,f_b)$，$X\leftarrow En(e,x_b)$
6. retuen $(F,X,d)$

代码解释： 这个不可区分角度隐私性游戏要求输入两对$f_0,x_0,f_1,x_1$,并且要求$f_0(x_0)=f_1(x_1)$。第5行中下标b就是初始化程序选择的挑战比特，为0或者1。
程序理解： 这个游戏就是判断敌手是否能够通过返回的$(F,X,d)$来判断该输出来自于哪一个$f,x$。

1.2、模拟隐私性

在模拟隐私性游戏中，有一个模拟器$(S)$,模拟器的功能就是通过安全参数$k$，$f$泄露的信息$\Phi (f)$，和计算结果$y$来获得一个假的$(F,X,d)$.

1. proc $pr{v}_{sim}(f，x):$
2. if $x.length()\ne f.n$,then return false.
3. if b=1 then $(F,e,d)\leftarrow Gb(1^k,f)$ $X\leftarrow En(e,x)$
4. else $(F,X,d)\leftarrow S(1^k,X,d)$
5. return (F,X,d).

程序理解： 该程序表示敌手输入$f,x$,然后获得一个三元组$(F,X,d)$。敌手能不能猜出结果是不是对应输入的$f,x$。

2、不经意性（obliviousness有的博客把这个翻译为茫然性）

2.1、不可区分不经意性

1. proc $ob{v}_{ind}(f_0,f_1,x_0,x_1):$
2. if $\Phi (f_0)\ne \Phi (f_1)$ then return false
3. if $f_0(x_0)\ne f_1(x_1)$ then return false
4. $(F,e,d)\leftarrow Gb(1^k,f_b)$，$X\leftarrow En(e,x_b)$
5. retuen $(F,X)$
   程序理解： 不可区分不经意性和不可区分隐私性类似。不同之处在于输入的$f_0(x_0)与f_1(x_1)$并不要求一定相等了。返回结果少了解码函数d。

2.2、模拟不经意性

1. proc $ob{v}_{sim}(f，x):$
2. if $x.length()\ne f.n$,then return false.
3. if b=1 then $(F,e,d)\leftarrow Gb(1^k,f)$ $X\leftarrow En(e,x)$
4. else $(F,X)\leftarrow S(1^k,X,d)$
5. return (F,X).
   程序理解： 模拟不经意性相比于模拟隐私性来说，少返回了解码函数d。

3.认证性

1. proc aut(f,x):
2. if $x.length()\ne f.n$,then return false
3. $(F,e,d)\leftarrow Gb(1^k,f)$ $X\leftarrow En(e,x)$
4. return (F,X)
   认证性的最终程序和上面两个少许不同，这里我们直接给出。
5. proc finalize(Y):
6. if $De(d,Y)=valid$ and $Y\ne Ev(F,X)$*,then return ture
7. *else return false

**代码理解：**认证性就是判断敌手在获得F，X的前提下能不能得到一个新的不同于F（X）的合法的Y。

4、边际信息函数

1、常见的集中边际信息函数

${\Phi }_{circ}(f)$表示泄露电路$f$的全部信息
${\Phi }_{size}(f)$表示泄露电路$f$的$(n,m,q)$
${\Phi }_{topo}(f)$表示泄露电路$f$的拓扑结构

2、边际信息函数$\Phi$的逆。

定义：边际函数$\Phi (f)$的逆函数$\Phi -inverter()$的输入是$\varphi$，输出是$\Phi$函数的原项$f$，即$\Phi (f)=\varphi$。
定义：如果对于特定的求值函数$ev$,我们也可以定义$(\Phi ，ev)-inverter()$.该函数输入是$(\varphi ,y)$,输出是$(f,x)$。即满足$\Phi (f)=\varphi$,$ev(f,x)=y$。
定理1：对于${\Phi }_{circ}(f)$,${\Phi }_{size}(f)$,${\Phi }_{topo}(f)$都存在多项式时间下的$\Phi -inverter()$函数。
定理2:对于,${\Phi }_{size}(f)$,${\Phi }_{topo}(f)$都存在多项式时间下的$(\Phi ，ev)-inverter()$函数。
定理理解
对于定理1来说，${\Phi }_{circ}$泄露了电路的所有信息，因此很容易恢复线路。${\Phi }_{topo}(f)$泄露了电路$f$的拓扑结构，因此我们可以对电路门进行随意赋值操作，比如，我们把所有的门电路都赋值为与门，得到的电路就是输出电路。${\Phi }_{size}(f)$，我们可以进行随意的连线操作。比如，我们把所有门电路的输入线都连接电路输入线1和2，那么我们就得到了拓扑电路，然后我们由前面可知，我们可以得到原项。
对定理二来说，,${\Phi }_{topo}(f)$泄露了电路$f$的拓扑结构，已知结果$y$,那么我们把所有输出为电路输出的门电路设置为常量电路，常量就是$y_i$。前面的门电路我们随意设置即可。例如：我们可以设置为与门。对于${\Phi }_{size}(f)$，我们前面已经描述了由size信息怎么构造拓扑电路的方法，则我们就可以找到${\Phi }_{size}(f)$的逆。

4、相互关系（证明见论文）

1、包含关系

1. 若一个混淆方案具有模仿隐私性，则它一定具有不可区分隐私性。
2. 若一个混淆方案具有不可区分隐私性，且要求$ev(f,x)$对于$\Phi$是可逆的（如果不可逆，则不一定），则该混淆方案也具有模仿隐私性。
3. 若一个混淆方案具有模仿不经意性，则它一定具有不可区分隐私性。
4. 若一个混淆方案具有不可区分不经意性，且要求$ev(f,x)$在$\Phi$是可逆的（如果不可逆，则不一定），则该混淆方案也具有模仿隐私性。
   关于证明部分相对繁琐，我们这里就不直接给出，如有感兴趣可以私聊我，我可以把论文原文分享一下。

2、不包含关系

1.一个混淆方案具有不可区分隐私性，该方案不一定具有模拟不可区分不经意性。
2.一个混淆方案具有不可区分不经意性，该方案不一定具有模拟不可区分隐私性。
3.一个混淆方案具有模拟隐私性和模拟不经意性，该方案不一定具有认证性。
4.一个混淆方案具有认证性，该方案不一定具有模拟隐私性或者模拟不经意性。