協議的安全性定義
如果一個協議能夠計算函數 f , 那麼這個協議計算 f 時,當且僅當協議安全的計算函數 f 在半誠實模型下。
證明
TIPS:對於等價性的證明,通用的方法就是證明A 包含於 B 再證明B 包含於 A。
第一階段,證明現實理想模型可以實現模擬器模型(此處我們將基於模擬器視圖的證明簡稱爲模擬器模型),假設協議安全的計算函數 f 在半誠實模型。 不是一般性,我們展示瞭如何模擬第一方的視圖,爲此,我們定義了函數A1 A2 對於現實模型,A1是一個單純的身份轉變,但是A2表示爲誠實的參與方,此時我們考慮敵手A1沒有獲得輔助輸入,進一步,敵手純粹的輸出給與他的視圖。 定義B1,B2是理想的敵手,我們使用B1爲模擬器,得到滿足7.9 而不是僅僅滿足7.7 。 不是一般性,在模擬器模型中,保持了第一方視圖和兩方輸出的關係在現實模型中,依然存在於理想模型中。特別是,因爲A1是一個消極的敵手,第一方的輸出在真實的環境下是由第一方的視圖決定的。現在模擬器模型實現了一樣的關係在被模擬的第一方視圖和輸出中必須保持在理想模型中,這和使用B1作爲模擬器維持了模擬器的視圖和模擬器的輸出一樣。
第二節階段,證明模擬器模型能實現(現實理想模型),假設協議能夠保密的計算函數 f ,在模擬器模型中存在S1和S2。依然定義A1 和A2位一對真實模型下的敵手,不失一般性,我們假設A2單純第二方的映射視圖到第二方對應的輸出,也就是說,第二方是誠實的,第一方是不誠實的嗎,所以,我們定義理想的B1和B2,例如以下定義:
進一步,我們可以得到如下的式子:
由此可見,現實理想模型其實是模擬器模型的一種繁瑣的方式,但是這種模型滿足惡意模型框架。
2019.11.17
對於理想現實模型和模擬器模型的補充:
今天,我又重新看了一遍書上這個定理的證明過程,上邊寫的太過於混亂,我自己都看不懂了,所以現在打算,重新梳理一下思路,這裏爲了表述清楚,首先聲明幾個定義和縮寫方便描述:
基於模擬器的證明:簡要記錄爲“模擬器模型”,Smodule,S模型;
基於現實-理想模型的證明:簡要記錄爲“現實理想模型”,RImodule,RI模型;
爲了證明對於兩方安全計算在半誠實敵手模型下是安全的,並且兩種方法具有等價性,根據書上證明過程,我們做如下的梳理:
第一部分 證明RImodule可以實現Smodule
首先我們定義理想模型中的兩個參與方,其中設置A1 爲敵手,A2爲一個誠實參與方,敵手最終根據自己獲得的視圖輸出自己的輸出,A2最終誠實的根據他自己視圖給與他的結果。這裏其實和RI模型中半誠實的設計沒有什麼不同。在這裏我們強調敵手A1並沒有獲得輔助的輸入(或者忽略了這個輔助輸入)。進一步,敵手A1僅僅輸出視圖給與他的內容,這個輸出最終會給與潛在的區分者。接着,定義B1,B2,是理想模型中的敵手,即爲B1爲半誠實敵手,B2爲誠實的參與方。我們稱使用B1可以滿足之前的等式7.9
這裏,我考慮是這樣的,首先在理想的情況下存在這個B1算法,對應於Smodule中的模擬器S1,此時,S1的輸出爲根據自己獲得視圖輸出值,同樣的,在理想模型中B1同樣需要依靠這樣的視圖來輸出結果,並且對於式子7.9的VIEW而言,執行協議的輸出其實也就是現實模型的執行結果,所以這裏B1完全可以充當S1的角色並且滿足式7.9。廣義上來說,這個說法是成立的因爲在RI模型中保證了這樣一種關係即爲第一方視圖和兩方輸出關係在現實執行過程中也被維持在理想模型中。這就是說在RI模型中,已經說明了協議在真實執行過程中的核心關係依然可以在理想模型中維持,那麼就有了以下的一個關係:
具體來說,因爲A1是一個消極的敵手,P1在真實執行環境中的輸出值等於由P1視圖決定的,這個輸出結果又和函數功能相匹配,
現在,RI模型實現了同樣的關係在P1被模擬視圖和輸出一定保持在理想模型中,因此使用B1作爲S1的角色,可以保證被模擬的視圖符合模擬器的給與的輸出。也就是說,B1和S1其實存在等價性,並且在半誠實模型下A1和B1也具有等價性,就是說,B1所獲得的內容以及獲得這些內容的依據既可以通過模擬的方式表示,也可以在理想的模型下表示。
簡而言之,這個證明的根本在於是否能夠用B1來實現模擬視圖,是否能夠證明B1也滿足式7.9。首先,在RI中已經定義了,第一方的視圖和兩方輸出之間在真實執行過程中的關係時可以保證存在於理想模型之中的,具體來說,在A1真實執行過程中,A1的輸出值由自己的視圖決定,並且也對應於函數的執行的輸出。RI模型實現了這種關係在理想模型中,所以B1扮演S1的角色保證了被模擬的視圖對應於模擬器給與輸出。就是說B1的輸出是根據當前自己的視圖來輸出的,這和S1模擬器給與的輸出是相匹配的。
再簡而言之,就是說B1的輸出與視圖的關係與S1的模擬器和視圖的關係相同,並且B1和A1滿足等式7.9。足以說明這個關係的等價性。
第二部分 證明S模型能夠實現RI模型
假設協議能夠保密計算函數 f , S1 和 S2 如S模型中的定義。現在定義A1A2爲一對現實模型中的敵手,不失一般性,我們假設A2爲誠實方,定義理想模型B1和B2,由於第一方我們定義爲了半誠實方,那麼此時B1的視圖即爲如下:
此處A1是現實中的敵手,在理想模型下B1其實也是對應的半誠實敵手,所以B1可以通過A1 定義,此處A1即包括S1模擬器的視圖和一個輔助輸入。
於是進一步得到下面的式子:
第一 二行:現實視圖,中A2的輸出就是執行理想協議的輸出。
第三 四行:由等式7.9 和 上述B1定義 可得當前等式。
由此可以看出使用S模型依然實現了RI模型。