掷硬币协议

模型

Ideal Model

计算函数 f : { 0 , 1 } ∗ × { 0 , 1 } ∗ → { 0 , 1 } ∗ × { 0 , 1 } ∗ f: \{0,1\}^* \times \{0,1\}^* \rightarrow \{0,1\}^* \times \{0,1\}^* f:{0,1}∗×{0,1}∗→{0,1}∗×{0,1}∗的两方协议$\pi$，参与方是$P_1,P_2$。存在敌手$A$完全控制损坏的一方 P i , i ∈ { 0 , 1 } P_i,i \in \{0,1\} Pi​,i∈{0,1}，诚实的另一方记做$P_j,j=1-i$，另外存在一个可信第三方（trusted party）$T$，一共$4$个实体。

1. 输入：$P_1$的输入是$x$，$P_2$的输入是$y$，$A$的辅助输入是$z$，安全参数$1^n$作为$4$者的公共输入。
2. 将输入发送给可信第三方：诚实方$P_j$发送$x$给$T$，敌手$A$控制损坏方$P_i$给$T$发送如下三者之一，$abor{t}_i$终止信息、输入$y$、相同长度的其他任意信息，这取决于敌手$A$对$z,x$的观察。将$P_1,P_2$给$T$发送的消息统一记做$(x^{\prime },y^{\prime })$
3. 提前终止：如果接收到$abor{t}_i$，那么$T$给$P_j$发送终止符
4. 可信第三方发送输出：
   1. $T$计算$f(x^{\prime },y^{\prime })=(f_1(x^{\prime },y^{\prime }),f_2(x^{\prime },y^{\prime }))$，将$f_i(x^{\prime },y^{\prime })$发送给$A$控制的$P_i$
   2. 敌手$A$决定发送$continue$还是$abor{t}_i$给$T$
   3. 如果$T$接收到的是$continue$，那么将$f_j(x^{\prime },y^{\prime })$发送给诚实方$P_j$；否则，发送$abor{t}_i$给$P_j$
5. 输出：诚实方$P_j$输出$f_j(x^{\prime },y^{\prime })$，损坏方$P_i$不输出，敌手$A$输出任意的关于 i n p u t i ∈ { x , y } , z , f i ( x ′ , y ′ ) input_i \in \{x,y\},z,f_i(x',y') inputi​∈{x,y},z,fi​(x′,y′)的PPT可计算函数值。

上述过程的输出叫做在$(x,y),z,n$下的函数$f$的ideal execution，记做$IDEA{L}_{f,A(z),i}(x,y,n)$，包含$P_j$和$A$的输出。

Real Model

计算函数 f : { 0 , 1 } ∗ × { 0 , 1 } ∗ → { 0 , 1 } ∗ × { 0 , 1 } ∗ f: \{0,1\}^* \times \{0,1\}^* \rightarrow \{0,1\}^* \times \{0,1\}^* f:{0,1}∗×{0,1}∗→{0,1}∗×{0,1}∗的两方协议$\pi$，参与方是$P_1,P_2$。存在敌手$A$完全控制损坏的一方 P i , i ∈ { 0 , 1 } P_i,i \in \{0,1\} Pi​,i∈{0,1}，诚实的另一方记做$P_j,j=1-i$，不存在可信第三方，一共$3$个实体。

1. 输入：$P_1$的输入是$x$，$P_2$的输入是$y$，$A$的辅助输入是$z$，安全参数$1^n$作为$3$者的公共输入。
2. 交互：诚实方$P_j$严格按照$\pi$的规则执行，敌手$A$控制损坏方$P_j$按照任意的多项式时间策略发送$P_j$的消息空间中的任意消息。
3. 输出：诚实方$P_j$输出$f_j(x^{\prime },y^{\prime })$，损坏方$P_i$不输出，敌手$A$输出任意的关于 i n p u t i ∈ { x , y } , z , f i ( x ′ , y ′ ) input_i \in \{x,y\},z,f_i(x',y') inputi​∈{x,y},z,fi​(x′,y′)的PPT可计算函数值。

上述过程的输出叫做在$(x,y),z,n$下的函数$f$的real execution，记做$REA{L}_{\pi ,A(z),i}(x,y,n)$，包含$P_j$和$A$的输出。

恶意敌手下的安全性定义

令$f$是两方协议$\pi$要计算的函数，我们说$\pi$在恶意敌手下带终止的安全地计算$f$（securely compute $f$ with abort in the presence of static malicious adversaries），如果对于任意非均匀PPT的真实模型下的敌手$A$，都存在一个非均匀PPT的理想模型下的敌手$S$，对于任意的 i ∈ { 0 , 1 } i \in \{0,1\} i∈{0,1}，都有
{ I D E A L f , S ( z ) , i ( x , y , n ) } x , y , z , n ≡ c { R E A L π , A ( z ) , i ( x , y , n ) } x , y , z , n \{IDEAL_{f,S(z),i}(x,y,n)\}_{x,y,z,n} \overset{c}{\equiv} \{REAL_{\pi,A(z),i}(x,y,n)\}_{x,y,z,n} {IDEALf,S(z),i​(x,y,n)}x,y,z,n​≡c{REALπ,A(z),i​(x,y,n)}x,y,z,n​
其中 x , y ∈ { 0 , 1 } ∗ x,y \in \{0,1\}^* x,y∈{0,1}∗，$|x|=|y|$，以及 z ∈ { 0 , 1 } ∗ z \in \{0,1\}^* z∈{0,1}∗，$n\in N$

在讨论安全计算时，我们总是考虑“abort”的。另外，真实世界的概率性敌手$A$往往被当做黑盒，于是模拟器$S$可以定义$A^{\prime }(\cdot ):=A(x,z,r;\cdot )$，其中$r$是随机带，那么$A^{\prime }$就是确定性敌手。在证明中只需考虑确定性敌手即可。

Modular Sequential Composition

顺序组合定理（Sequential composition theorems）：如果一个协议在独立模型下（in the stand-alone model）是$X$定义下安全的（secure under definition $X$），那么它在顺序组合（每一个进程在下一个进程开始前结束）下是$X$定义下安全的。

在设计协议时，我们可以令这个协议包含一个理想模型下的子例程。首先证明子例程是安全的，然后用可信第三方计算这个子例程，在理想模型下证明协议的安全性。

Hybrid Model：协议参与方之间进行交互（as in the real model），同时也使用可信第三方（as in the ideal model）。即，协议$\pi$包含一系列理想调用（ideal calls）来计算$f_1,\cdots ,f_{p(n)}$，且$f_i$在$f_{i+1}$之前被调用。调用期间参与方之间不交互。每次理想调用是独立的，可信第三方不保存调用状态。参与方的交互信息记做standard message，与可信第三方的交互信息记做ideal message。

Blum掷硬币协议

掷硬币（Coin Tossing）：一个两方协议计算函数$f_{ct}(\lambda ,\lambda )=(U_1,U_1)$，其中 U 1 ∈ { 0 , 1 } U_1 \in \{0,1\} U1​∈{0,1}是单个随机比特。

如何掷硬币？很简单：$P_1$和$P_2$各自选择一个随机比特$b_1,b_2$，然后发送给对方，计算两者的异或值$b=b_1\oplus b_2$。但是，如果在$P_i$发送$b_i$之前就收到了$b_{1-i}$，那么他就可以选择$b_i\leftarrow b\oplus b_{i-1}$使得掷硬币结果偏向于$b$。解决方案是：“同时”发送，但同步信道难以实现。

Blum协议：使用承诺方案来解决同步问题。

1. 输入：安全参数$1^n$作为$P_1,P_2$的公共输入
2. 执行：
   1. $P_1$随机选择 b 1 ∈ { 0 , 1 } b_1 \in \{0,1\} b1​∈{0,1}以及随机数 r ∈ { 0 , 1 } ∗ r \in \{0,1\}^* r∈{0,1}∗，计算承诺值$c\leftarrow Com(b_1;r)$发送给$P_2$
   2. $P_2$接收到$c$之后，随机选择 b 2 ∈ { 0 , 1 } b_2 \in \{0,1\} b2​∈{0,1}，发送明文给$P_1$
   3. $P_1$接收到$b_2$后，发送解承诺$(b_1,r)$给$P_2$
   4. $P_2$验证$c=Com(b_1;r)$是否满足
3. 输出：$P_1$和$P_2$各自输出相同的掷硬币结果，$b=b_1\oplus b_2$

解释：$P_2$接收到$c$之后，$P_1$便无法再更改$b_1$（承诺协议的绑定性），同时$P_2$也无法获得关于$b_1$的信息来使得结果偏向$b$（承诺协议的隐藏性）。

证明安全性：模拟器$S$的挑战目标是，让它模拟的掷硬币结果等于理想模型下可信第三方返回的结果。

1. $S$发送$\lambda$给计算$f_{ct}$的可信第三方，得到返回值$b$
2. $S$迭代$n$次，$i=1,\cdots ,n$，
   1. 首先随机选择$b_1$和$r$，计算$c=Com(b_1;r)$发送给$P_2$，同时发送给确定性敌手$A$
   2. 如果$A$返回的结果满足$b_2=b\oplus b_1$，那么$S$发送解承诺$(b_1,r)$给$A$，并将$A$的相应作为输出。
   3. 如果$A$返回的结果满足$b_2\ne b\oplus b_1$，那么$i++$。
   4. 如果$i=n$，$S$输出$fail$；否则继续迭代。

由于掷单个硬币，因此期望上只需要回滚$2$次即可令结果相同。$S$输出$fail$的概率是$\mu (n)$；当输出的不是$fail$时，它在$IDEAL$下和$REAL$下的输出分布不可区分。

详细证明过程很长，虽然协议看起来是如此简单。结论是：假设$Com$是完美绑定的，那么Blum协议可以安全掷硬币。

常数轮掷多个硬币协议

应用顺序组合定理，我们$l(n)$次掷单个硬币，依然是安全的。然而，我们更希望获得常数轮的掷多个硬币。如果只是简单地将Blum协议中的单个随机比特 b i ∈ { 0 , 1 } ∗ b_i \in \{0,1\}^* bi​∈{0,1}∗替换成 ρ i ∈ { 0 , 1 } l ( n ) \rho_i \in \{0,1\}^{l(n)} ρi​∈{0,1}l(n)，这就没法用模拟技术来证明安全性了，因为期望上这需要$2^{l(n)}$次回滚。

解决方案是，做承诺$c$之后，$P_1$不发送解承诺$({\rho }_1,r)$，而仅发送${\rho }_1$，并用零知识证明$c$就是${\rho }_1$对应的承诺。

令$f_{zk}^R((x,w),x)$是关于语言$R\in NP$的常数轮零知识证明协议，

$$f_{zk}^R((x,w),x):=\{\begin{array}{rlr}(\lambda ,R(x,w))& & x=x^{\prime }\\ (\lambda ,0)& & otherwise\end{array}$$

协议为：

利用混杂模型，可以证明：如果$Com$是完美绑定的，且$l(n)$是多项式的，那么上述协议 securely computes the functionality $f_{ct}^l(\lambda ,\lambda )=(U_{l(n)},U_{l(n)})$ in the $(f_{zk}^{R_1},f_{zk}^{R_2})-$hybrid model.