混淆电路论文学习笔记——part2

最新推荐文章于 2023-06-28 11:35:16 发布

Yixx1314

最新推荐文章于 2023-06-28 11:35:16 发布

阅读量4.9k

点赞数 2

分类专栏：多放安全计算——混淆电路文章标签：安全

本文链接：https://blog.csdn.net/lrylx/article/details/121022624

版权

多放安全计算——混淆电路专栏收录该内容

6 篇文章 1 订阅

订阅专栏

本文深入探讨混淆电路的三大安全性质：隐私性、不经意性和认证性，通过代码游戏阐述其定义和相互关系。隐私性分为不可区分和模拟两种角度，不经意性同样有不可区分和模拟之分，而认证性关注混淆方案的正确性。这些性质的证明通常借助于密码学的安全性归约方法，并通过边际信息函数来量化信息泄露。

摘要由CSDN通过智能技术生成

阅读论文（Foundation of Garbled Circuits）

文章目录

一、往期回顾

混淆电路论文学习笔记——part1
part1已经简单介绍了混淆方案，电路，边际信息函数以及混淆方案的三个安全性质。接下来进一步介绍三个安全性质以及三个安全性之间的关系。

二、代码游戏

密码学安全性证明大多都是通过游戏归约的方式来进行证明的。因此这里先介绍一下代码游戏
游戏中一般包括三个可选程序，分别是初始化程序，交互程序，最终程序。
一般初始化程序最先执行，进行一系列初始化操作。并且它的输出（如果有输出的话）就是敌手 $\mathcal{A}$ 的输入（这个时候敌手可能正在和其他程序进行交互）。敌手可以进行产生问询。每次产生问询，交互程序就会启动，然后对敌手的问询进行答复。最终敌手给出一个输出，由最终程序来判断敌手是否在游戏中获胜。

三、隐私性、不经意性、认证性之间的关系

我们接下来从编码游戏的角度来理解这三个性质。下面所有游戏的初始化程序都是初始化一个挑战比特 $b$ 。最终程序都是检验敌手猜测的比特 $b^{'}$ 和初始化的挑战比特是否一致。接下来我们详细说明其中的交互程序。

1.隐私性

关于隐私性，我们一共有两种定义方式，一个是不可区分角度（indistinguish）,一个是模拟器角度（simulation）。

1.1、不可区分隐私性

我们首先说不可区分角度的交互程序

proc $prv_{ind}(f_0,f_1,x_0,x_1):$
if $\varPhi(f_0)\neq\varPhi(f_1)$ then return false
if $f_0(x_0) \neq f_1(x_1)$ then return false
if $x_0.length() \neq f_0.n$ then retuen false
$\leftarrow Gb(1^k,f_b)$ ， $\leftarrow En(e,x_b)$
retuen $(F, X, d)$

代码解释： 这个不可区分角度隐私性游戏要求输入两对 $f_0,x_0,f_1,x_1$ ,并且要求 $f_0(x_0) = f_1(x_1)$ 。第5行中下标b就是初始化程序选择的挑战比特，为0或者1。
程序理解： 这个游戏就是判断敌手是否能够通过返回的 $(F, X, d)$ 来判断该输出来自于哪一个 $f, x$ 。

1.2、模拟隐私性

在模拟隐私性游戏中，有一个模拟器 $\mathcal(S)$ ,模拟器的功能就是通过安全参数 $k$ ， $f$ 泄露的信息 $\varPhi(f)$ ，和计算结果 $y$ 来获得一个假的 $(F, X, d)$ .

proc $prv_{sim}(f，x):$
if $\neq f.n$ ,then return false.
if b=1 then $(F,e,d)\leftarrow Gb(1^k,f)$ $X\leftarrow En(e,x)$
else $(F,X,d)\leftarrow S(1^k,X,d)$
return (F,X,d).

程序理解： 该程序表示敌手输入 $f, x$ ,然后获得一个三元组 $(F, X, d)$ 。敌手能不能猜出结果是不是对应输入的 $f, x$ 。

2、不经意性（obliviousness有的博客把这个翻译为茫然性）

2.1、不可区分不经意性

proc $obv_{ind}(f_0,f_1,x_0,x_1):$
if $\varPhi(f_0)\neq\varPhi(f_1)$ then return false
if $f_0(x_0) \neq f_1(x_1)$ then return false
$\leftarrow Gb(1^k,f_b)$ ， $\leftarrow En(e,x_b)$
retuen $(F, X)$
程序理解： 不可区分不经意性和不可区分隐私性类似。不同之处在于输入的 $f_0(x_0)与f_1(x_1)$ 并不要求一定相等了。返回结果少了解码函数d。

2.2、模拟不经意性

proc $obv_{sim}(f，x):$
if $\neq f.n$ ,then return false.
if b=1 then $(F,e,d)\leftarrow Gb(1^k,f)$ $X\leftarrow En(e,x)$
else $(F,X)\leftarrow S(1^k,X,d)$
return (F,X).
程序理解： 模拟不经意性相比于模拟隐私性来说，少返回了解码函数d。

3.认证性

proc aut(f,x):
if $\neq f.n$ ,then return false
$(F,e,d)\leftarrow Gb(1^k,f)$ $X\leftarrow En(e,x)$
return (F,X)
认证性的最终程序和上面两个少许不同，这里我们直接给出。
proc finalize(Y):
if $D e (d, Y) = v a l i d$ and $\neq Ev(F,X)$ *,then return ture
*else return false

**代码理解：**认证性就是判断敌手在获得F，X的前提下能不能得到一个新的不同于F（X）的合法的Y。

4、边际信息函数

1、常见的集中边际信息函数

$\varPhi_{circ}(f)$ 表示泄露电路 $f$ 的全部信息
$\varPhi_{size}(f)$ 表示泄露电路 $f$ 的 $(n, m, q)$
$\varPhi_{topo}(f)$ 表示泄露电路 $f$ 的拓扑结构

2、边际信息函数 $\varPhi$ 的逆。

定义：边际函数 $\varPhi(f)$ 的逆函数 $\varPhi-inverter()$ 的输入是 $\phi$ ，输出是 $\varPhi$ 函数的原项 $f$ ，即 $\varPhi(f) = \phi$ 。
定义：如果对于特定的求值函数 $e v$ ,我们也可以定义 $(\varPhi，ev)-inverter()$ .该函数输入是 $(\phi,y)$ ,输出是 $(f, x)$ 。即满足 $\varPhi(f) = \phi$ , $e v (f, x) = y$ 。
定理1：对于 $\varPhi_{circ}(f)$ , $\varPhi_{size}(f)$ , $\varPhi_{topo}(f)$ 都存在多项式时间下的 $\varPhi-inverter()$ 函数。
定理2:对于, $\varPhi_{size}(f)$ , $\varPhi_{topo}(f)$ 都存在多项式时间下的 $(\varPhi，ev)-inverter()$ 函数。
定理理解
对于定理1来说， $\varPhi_{circ}$ 泄露了电路的所有信息，因此很容易恢复线路。 $\varPhi_{topo}(f)$ 泄露了电路 $f$ 的拓扑结构，因此我们可以对电路门进行随意赋值操作，比如，我们把所有的门电路都赋值为与门，得到的电路就是输出电路。 $\varPhi_{size}(f)$ ，我们可以进行随意的连线操作。比如，我们把所有门电路的输入线都连接电路输入线1和2，那么我们就得到了拓扑电路，然后我们由前面可知，我们可以得到原项。
对定理二来说，, $\varPhi_{topo}(f)$ 泄露了电路 $f$ 的拓扑结构，已知结果 $y$ ,那么我们把所有输出为电路输出的门电路设置为常量电路，常量就是 $y_i$ 。前面的门电路我们随意设置即可。例如：我们可以设置为与门。对于 $\varPhi_{size}(f)$ ，我们前面已经描述了由size信息怎么构造拓扑电路的方法，则我们就可以找到 $\varPhi_{size}(f)$ 的逆。

4、相互关系（证明见论文）

1、包含关系

若一个混淆方案具有模仿隐私性，则它一定具有不可区分隐私性。
若一个混淆方案具有不可区分隐私性，且要求 $e v (f, x)$ 对于 $\varPhi$ 是可逆的（如果不可逆，则不一定），则该混淆方案也具有模仿隐私性。
若一个混淆方案具有模仿不经意性，则它一定具有不可区分隐私性。
若一个混淆方案具有不可区分不经意性，且要求 $e v (f, x)$ 在 $\varPhi$ 是可逆的（如果不可逆，则不一定），则该混淆方案也具有模仿隐私性。
关于证明部分相对繁琐，我们这里就不直接给出，如有感兴趣可以私聊我，我可以把论文原文分享一下。