Điểm:4

Có các định nghĩa khác nhau về tính toán hai bên an toàn không?

lá cờ mm

Trong khi đọc các hướng dẫn về tính toán hai bên, tôi đã gặp hai định nghĩa khác nhau (ít nhất là chính thức) về bảo mật (với các đối thủ nửa trung thực). Điều tôi muốn biết là liệu những định nghĩa này thực sự khác nhau hay có thể được chứng minh là tương đương. Tôi nghi ngờ rằng chúng khác nhau, nhưng tôi có thể thiếu điều gì đó, vì tôi chưa đọc ở đâu về các định nghĩa khác nhau.

Trong Lindell (2016), tính toán an toàn của hai bên được định nghĩa như sau: Đối với mỗi bên, phân phối chung của mô phỏng và kết quả lý tưởng phải không thể phân biệt về mặt tính toán với phân phối chung của chế độ xem đối nghịch và đầu ra được tính toán. Về mặt hình thức, đối với mỗi $i \in \{1, 2\}$, phải tồn tại p.p.t. thuật toán $S_i$ như vậy mà $$ {\lbrace (S_i(1^n, x, f_1(x, y)), f(x, y)) \rbrace}_{x, y, n} \stackrel{c}{\equiv} {\lbrace (\operatorname{view}^\pi_i(x, y, n), \operatorname{output}^\pi_i(x, y, n)) \rbrace}_{x, y, n} \,\chữ{.} $$ Định nghĩa này có ý nghĩa với tôi, vì tác giả định nghĩa không thể phân biệt tính toán vượt quá xác suất tập hợp được lập chỉ mục bởi cả tham số bảo mật và đầu vào:

Hai tổ hợp xác suất $X = \{X(a, n)\}_{a \in {\{0, 1\}}^*; n \in \mathbb{N}}$$Y = \{Y(a, n)\}_{a \in {\{0, 1\}}^*; n \in \mathbb{N}}$ được cho là không thể phân biệt về mặt tính toán, được biểu thị bằng $X \stackrel{c}{\equiv} Y$, nếu với mọi thuật toán thời gian đa thức không đồng nhất $D$ tồn tại một chức năng không đáng kể $\mu(\cdot)$ sao cho mọi $a \in \{0, 1\}^*$ và mọi thứ $n \in \mathbb{N}$, $$ \lvert \Pr[D(X(a, n)) = 1] - \Pr[D(Y(a, n)) = 1] \rvert \leq \mu(n) \,\chữ{.} $$

Điều này có nghĩa là phải có một chức năng không đáng kể duy nhất $\mu$ cho tất cả các đầu vào quản lý an ninh.

Ngược lại, Evans và cộng sự. (2018) xác định khả năng không thể phân biệt tính toán cho các nhóm xác suất chỉ được lập chỉ mục bởi tham số bảo mật. Tôi cũng đã thấy các định nghĩa về tính không thể phân biệt bằng máy tính như thế này ở những nơi khác. Sau đó, khi xác định bảo mật, họ yêu cầu các bản phân phối chung không thể phân biệt được về mặt tính toán cho tất cả các đầu vào. Ít nhất về mặt hình thức, điều này gợi ý cho tôi rằng ở đây, chức năng không đáng kể có thể phụ thuộc vào đầu vào.

Câu trả lời cho các câu hỏi sau đây sẽ được đánh giá rất cao:

  1. Tôi đang thiếu một cái gì đó hoặc hiểu sai các định nghĩa? Các định nghĩa được hiển thị là tương đương có thể khai thác sự không đồng nhất của đối thủ không?
  2. Nếu không, có phải trong định nghĩa sau, không bắt buộc phải có một hàm không đáng kể duy nhất "hoạt động" cho tất cả các đầu vào? Nếu tôi không nhầm thì điều đó có nghĩa là hai định nghĩa trên thực tế là khác nhau?
  3. Trong trường hợp chúng khác nhau: Định nghĩa nào nên được ưu tiên hơn?
Geoffroy Couteau avatar
lá cờ cn
Đối với mọi đối thủ đa thời gian A, chúng ta có thể giới hạn kích thước của $(x,y)$ thành $p(n)$ đối với một số đa thức cố định $p$ (lớn hơn thời gian chạy của A) trong định nghĩa, vì A không thể đọc nhiều hơn $ p(n)$ bit trong băng của họ. Sau đó, khi chúng ta có một số hữu hạn $x$'s và $y$'s, có vấn đề gì khi trích xuất một hàm phổ biến không đáng kể duy nhất bằng cách lấy tối đa tất cả các hàm chúng ta nhận được cho mỗi cặp $(x,y)$?
Distinguishable Llama avatar
lá cờ mm
@GeoffroyCouteau Có thể tôi hiểu sai nhận xét của bạn, nhưng tôi không thấy cách giới hạn kích thước của đầu vào; tham số bảo mật $n$ không cố định. Trong định nghĩa thứ hai, đối với tất cả các đầu vào, tồn tại một hàm không đáng kể $\mu$ để đảm bảo an toàn cho tất cả $n$. Vì vậy, nó có thể là như vậy, ví dụ, đối với bất kỳ đa thức nào $q$ $\mu(n)
Geoffroy Couteau avatar
lá cờ cn
Được rồi, cái đó có lý. Sau đó, tôi sẽ phải quấn lấy nó, có vẻ như ... Hơi tẻ nhạt :)
Distinguishable Llama avatar
lá cờ mm
@GeoffroyCouteau Vâng, thật là muộn. Dù sao cũng cảm ơn vì đầu vào :)
Yehuda Lindell avatar
lá cờ us
@GeoffroyCouteau Xem câu trả lời của tôi. Tôi không nghĩ rằng nó thực sự tương đương.
Geoffroy Couteau avatar
lá cờ cn
Vâng, đây thực sự là những gì tôi đang tin tưởng, sau khi cân nhắc một lúc. Cảm ơn câu trả lời rõ ràng!
Điểm:4
lá cờ us

Xác định tính không thể phân biệt là rất khó khăn.Tôi thực sự nghĩ rằng định nghĩa trong cuốn sách của Evans et al. quá yếu, nhưng có lẽ Mike Rosulek sẽ cân nhắc. Nếu bạn định nghĩa bảo mật bằng cách nói rằng đối với mọi đầu vào, các phân phối của THỰC/LÝ TƯỞNG là không thể phân biệt được, thì điều bạn thực sự đang nói là như sau: tồn tại cho mọi đầu vào và mọi dấu hiệu phân biệt chức năng không đáng kể $\mu$ sao cho người phân biệt thành công với xác suất nhiều nhất $\mu(n)$. Điều này có nghĩa là bạn có thể cần một hàm không đáng kể khác cho mỗi đầu vào. Cụ thể hơn, nếu chúng ta mở rộng vấn đề này ra, định nghĩa này nói rằng đối với mọi đầu vào, mọi bộ phân biệt $D$ và mọi đa thức $p$ tồn tại một giá trị $n_0$ sao cho mọi $n>n_0$ người phân biệt thành công với xác suất nhỏ hơn $1/p(n)$. Điều này có nghĩa rằng $n$ có thể phụ thuộc vào đầu vào và đặc biệt là không có $n_0$ để vượt ra ngoài $n_0$ không thể phân biệt được tất cả các yếu tố đầu vào. Nói cách khác, bạn có khả năng phải lấy một tham số bảo mật khác cho các đầu vào khác nhau. Đó không phải là điều bạn muốn làm (và thậm chí sẽ không thể thực hiện được vì làm cách nào để bạn đồng ý với thông số bảo mật mà không biết thông tin đầu vào và cách bạn xác định thông số bảo mật đó sẽ là gì). Ngược lại, trong định nghĩa mà đầu vào là một phần của tập hợp, có một $n_0$ cho tất cả các đầu vào. Câu hỏi làm thế nào chúng ta xác định được điều đó $n_0$ rất đơn giản trong thực tế - đó là những gì chúng ta cần cho tất cả các nguyên mẫu mà chúng ta sử dụng để được an toàn. Không cần phải nói, Evans et al. không làm bất cứ điều gì khác biệt trong các công trình xây dựng của họ. Tuy nhiên, định nghĩa là thiếu sót, theo sự hiểu biết tốt nhất của tôi.

[Bên cạnh đó, có một bài viết ngắn của Mihir Bellare tên là Lưu ý về các chức năng không đáng kể cho phép bạn đảo ngược các bộ định lượng trên hàm đối nghịch và không đáng kể. Tuy nhiên, theo hiểu biết tốt nhất của tôi, điều này không hoạt động đối với đầu vào.]

Distinguishable Llama avatar
lá cờ mm
Điều đó trả lời câu hỏi của tôi :) Cảm ơn bạn cũng đã đề xuất bài báo về các chức năng không đáng kể.
lá cờ us
Đánh giá này nghe có vẻ đúng với tôi. Tôi sẽ sửa định nghĩa trong bản cập nhật errata tiếp theo của chúng tôi. Cảm ơn tất cả mọi người ở đây cho báo cáo lỗi tập thể!
Distinguishable Llama avatar
lá cờ mm
Chỉ là một ghi chú trên bài báo của Bellare: Tôi nghĩ rằng lập luận của anh ấy về việc đảo ngược các bộ định lượng cũng có thể hoạt động đối với đầu vào, nhưng tôi không hoàn toàn chắc chắn (đối số có phần phức tạp hơn đối với các đối thủ không đồng nhất, nhưng ít nhất nó sẽ hoạt động đối với các đối thủ thống nhất). Hai định nghĩa được nêu ở đây vẫn khác nhau, bởi vì Bellare sử dụng một khái niệm khác về một hàm đơn lẻ không đáng kể $\mu$: Anh ấy chỉ yêu cầu rằng biểu thức **cuối cùng** nhỏ hơn $\mu$, điều đó vẫn cho phép $n_0 $ để phụ thuộc vào đầu vào.
Yehuda Lindell avatar
lá cờ us
Trong trường hợp đó, sẽ không đủ cho một định nghĩa tốt về bảo mật ở đây (có $n_0$ phụ thuộc vào đầu vào). Tuy nhiên, có sự khác biệt lớn giữa đầu vào và đối thủ, vì vậy tôi sẽ cẩn thận với việc xác minh điều đó.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.