两方安全计算的情形
在本节中我们主要定义两种模型敌手下的安全,在所有的这两个模型中,敌手都是非适应的并且是计算有界的,并且存在辅助书输入。下面的主要内容如下:
1.考虑一个半诚实的模型。
2.继续考虑恶意的敌手。
两方安全计算框架
一个两方协议问题可以被描述为一个随机的过程,将一对输入映射到一对输出,我们更倾向于定义这个描述为函数体(functionality)
,也就是说对于任意的一对输入(x, y) ,都会有一对随机的输出值 f(x,y) 。 第一方持有输入x , 希望获得函数 f(x,y) 中的第一个输出,同样的第二方,持有数据y, 它希望获得函数 f(x,y) 中的第二个输出。下面要主要介绍几种有趣的内容:
Symmetric deterministic functionalities: 对称的确定性函数功能,这是在论文中经常提出来的一种最为简单的通用模型,在这个例子中,我们预先假定一个函数功能,g, 参与的双方都想要获得函数g 中根据输入计算得到的数据。也就是说,希望安全的计算 f(x,y) = (g(x,y) , g(x,y)) 。
Input-oblivious randomized functionalities:输入不经意随机函数功能,例如两方想要获得一个随机的字符串,但是其中的每一方都不能通过自己影响输出。
Asymmetric functionalities:不对称的功能,一个特殊的例子是,一方需要获得一些预定的信息根据另一方的秘密输入,后者的秘密对于第一方的输入信息。即为,如果能够达到验证效果v(x,y)=1 那么就展示预定信息的过程,否则终止这个过程。就是说如果有两方,P1 和 P2 ,P1 需要知道 f 函数的相关信息根据P2 的输入,并且这个输入是可以验证的,那么这个函数就定义为为 f(x,y) = (R(y), perix) 当且仅当 Verify(x,y) = 1 通过时,才计算R(y) , 否则终止,我觉得这是非常合理的一种设计,因为两方达成一致必须由两方全部参与,而不应该由一方决定,就是为什么多方参与的签名协议或者加密协议,总是伴随着各种验证技术的存在。
两方安全计算中的一些简化约定
假设1:协议能解决的问题一定是输入相同长度的问题。
假设2:函数功能必须在输入长度的时间多项式下可以计算。
假设3:安全的定义是很久输入的长度衡量的。
这三个假设每一个都表示一个需要解决的根本性问题。
第一种假设,很明显没有限制两方输入长度关系时不允许存在安全的协议对于任何“非退化”的功能,原因是每一方的程序必须依赖于自己的输入长度或者获取对方输入的长度。如果后者的类型的信息没有隐含在输出值中,那么久意味着,可以从输出值中获取对方的相关信息,一个安全的协议不能允许这个信息泄露。(类似于安全加密的定义,要求消息必须和秘钥长度之间是多项式关系)可以通过填充技术将消息补全。然后达到这个要求。
第二种假设,明显的整个的安全的两方计算协议所需要的时间不能小于直接计算功能的时间。考虑输出长度的情况下,我们可以看到需要一个先验的函数复杂性的界限,一种通用的方法是将这个复杂性提供给两个参与方。所以进一步,一个通用的函数g, 存在一个时间界限t, 所有声明函数如下:
现在安全的计算g 的问题就被规约到了安全的计算函数f 上,是多项式时间可以计算得。
第三种假设,实际上一个更一般的观点是使用一个明确的安全参数来定义协议的安全。假设我们需要计算一个函数f, 在一对输入(x,y) 上根据安全参数s, 即可以定义函数功能为:
这个想法是合理的,必将在双方计算函数的时候一定要先确定函数的安全参数达到共识。
An alternative set of conventions 一种解决方案
对于上文中提到的三种假设,解决这三种假设的一种方法就是设置一个显示的安全参数,即定义如下:
我们可以认为在这种情况下,协议运行的时间和安全性仅仅依赖于参数n, 并且独立于输入的长度。
558
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
