Điểm:1

Giao thức giao cắt bộ riêng dựa trên Diffie-Hellman không thể vượt qua bằng chứng mô phỏng?

lá cờ vn

Với giao thức Giao lộ tập hợp riêng (PSI) phổ biến được mô tả lần đầu trong [1]:

  • Alice chọn ngẫu nhiên $a$, và gửi $\{H(x_i)^{a}\bmod p\}| (i=1,...m)$ gửi Bob.
  • Bob chọn ngẫu nhiên $b$, và gửi $\{H(y_i)^{b}\bmod p\}| (i=1,...n)$ đến Alice.
  • Alice tính toán và gửi $\{H(y_i)^{ba}\bmod p\}| (i=1,...n)$ gửi Bob.
  • Bob tính toán và gửi $\{H(x_i)^{ab}\bmod p\}| (i=1,...m)$ đến Alice.
  • Mỗi bên tính toán cục bộ các giao điểm.

Câu hỏi 1: Nếu (với một cơ hội rất nhỏ) tồn tại $x_1$$x_2$ điều đó $H(x_1)=H(x_2)^2\bmod p$, thì Bob có thể phát hiện ra nó vì $H(x_1)^a=(H(x_2)^a)^2\bmod p$. Chắc chắn Bob không thể mô phỏng thông tin này. Điều đó có nghĩa là giao thức này vi phạm bảo mật bán trung thực?

Tôi đã thảo luận điều này với bạn bè, một số người nói rằng điều này không vi phạm bảo mật bán trung thực, bởi vì cơ hội $H(x_1)=H(x_2)^2\bmod p$ là không đáng kể. Nhưng tôi nghĩ là có, bởi vì trong Định nghĩa 4.1.của hướng dẫn chứng minh mô phỏng [2], mô phỏng phải luôn thành công và không phụ thuộc vào đầu vào $\{x,y\}$.

Câu hỏi 2: Trong giao thức PSI (Hình.3) của [3], họ sử dụng $H(H(x_i)+H(x_i)^{a})$ thay vì $H(x_i)^{a}$ (lưu ý rằng giao thức vẫn đúng nếu họ sử dụng $H(x_i)^{a}$), điều này dường như củng cố quan điểm của tôi (giao thức DH-PSI ngây thơ không thể chứng minh được), bởi vì $H(H(x_i)+H(x_i)^{a})$ dễ mô phỏng hơn $H(x_i)^{a}$ . Tôi hiểu có đúng không?

Cảm ơn.

  1. Huberman B A, Franklin M, Hogg T. Nâng cao quyền riêng tư và niềm tin trong cộng đồng điện tử[C]// Hội nghị ACM về Thương mại Điện tử. ACM, 1999:78-86
  2. Lindell Y, Làm thế nào để mô phỏng nó, https://eprint.iacr.org/2016/046.pdf
  3. Heinrich A, Hollick M, Schneider T, et al. PrivateDrop: Xác thực bảo vệ quyền riêng tư thiết thực cho Apple AirDrop, USENIX'SEC 21
Điểm:1
lá cờ us

Nếu (với một cơ hội rất nhỏ) tồn tại $x_1$$x_2$ điều đó $H(x_1) = H(x_2)^2$, sau đó Bob có thể khám phá ra nó... quá trình mô phỏng phải luôn thành công và không nên phụ thuộc vào thông tin đầu vào $\{x,y\}$.

Tôi đồng ý với bạn của bạn rằng quan sát này không vi phạm bảo mật bán trung thực.

Trong mô hình bán trung thực, các đầu vào độc lập với tiên tri ngẫu nhiên. Nói cách khác, các đầu vào được cố định đầu tiên, và sau đó $H$ được lấy mẫu. Môi trường không có quyền truy cập vào tiên tri ngẫu nhiên (trong mô hình tiên tri ngẫu nhiên cục bộ), do đó, việc lựa chọn đầu vào cho các bên trung thực' không phụ thuộc vào tiên tri ngẫu nhiên. Vậy sự kiện mà $H(x_1) = H(x_2)^2$ không phụ thuộc vào $x_1, x_2$. Nó có khả năng không đáng kể đối với tất cả các đầu vào, vì vậy trình giả lập có thể bỏ qua trường hợp này một cách an toàn.

Trong giao thức PSI (Hình.3) của [3],

Tôi không chắc câu hỏi của bạn ở đây là gì. Trong [3] họ cần một giao thức PSI an toàn chống mã độc, còn giao thức DH-PSI cổ điển thì không. Vì vậy, họ sử dụng giao thức phức tạp hơn của Jarecki & Liu.

Câu hỏi lớn hơn dường như là liệu DH-PSI cổ điển có "không thể được mô phỏng" hay không, trong đó có lẽ bạn muốn nói đến việc chống lại các đối thủ nguy hiểm. Tôi đồng ý. Chỉ cần nghĩ về trường hợp các bên có 1 mặt hàng. Hãy xem xét trường hợp một Alice bị hỏng truy vấn nhà tiên tri ngẫu nhiên tại $x_0$$x_1$, tung đồng xu $b$, và gửi $H(x_b)^a$ cho số mũ ngẫu nhiên $a$. Số mũ ngẫu nhiên $a$ làm cho chế độ xem của trình giả lập (các truy vấn tiên tri ngẫu nhiên $x_0, x_1$ và thông báo giao thức $H(x_b)^a$) hoàn toàn độc lập với $b$. Nhưng trình mô phỏng phải đoán $b$ để trích xuất một cách chính xác.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.