兩方安全計算惡意模型分析
在存在惡意敵手的兩方安全模型中,核心是要定義理想與現實不可區分,這個在之前的描述中已經比較清晰了,進一步,我們討論一些相關的屬性。
一個重要的屬性在這個模型被實現就是保密性,也就是說,所有的敵手能夠有學習通過參與協議的方式,並且使用可能的任意策略,能夠本質的推斷出相應的輸出僅僅通過自己的方式。另一個屬性是在這個模型中被實現是正確性,這意味着誠實方的輸出必須符合一個輸入對,這個輸入對的元素必須對應等於誠實方的實際輸入。更進一步,對應於敵手的元素不能影響誠實方的輸入。即爲,誠實方的輸入是誠實的,惡意方的輸入不能影響誠實方的輸入。這兩個模型很容易被實現通過這個模型,但是將這個模型並不能實現通過聯和考慮這種屬性。
進一步,我們需要去強調這個模型中隱含的另外一個性質,不失一般性的,這個模型暗示着,在真實的執行這個協議的最後階段,每一方都知道對應輸入的值對於獲取到的輸出。這就是說,當一個惡意的第一方獲得了輸出v,他知道一個x` (這個值不必要滿足等於初始化的本地輸入x) 就像例如 v = f1(x’ ,y)對於一些y. 這種知識被實現等價的在理想模型中,參與方將輸入給與TPP,這個輸入可能是被修改過的。例如, 第一方使用惡意的策略A1,然後在現實模型中,輸出值對應輸入對(B1(x),y) ;B1是由理想模型敵手由真實模型敵手衍生出來。
PS:這裏主要還是說的是存在於現實模型的一種惡意行爲,也會出現在理想模型中,例如在現實模型執行完成後,兩方一定會獲得對方的輸入和分別計算得到的輸出,但是這裏有一個知識泄露的問題,例如第一方是惡意的,他獲得了輸出和對方的輸入後,他可能也會獲得一個不同於初始值的輸入,依然滿足計算得到合法輸出。在理想模型中也存在這樣的問題,兩個參與方均將自己的輸入給TPP。但是獲得的輸入可能是修改過的,卻不一定影響輸出。
在當前的描述中,並沒有討論敵手A 轉換敵手B。雖然在安全模型中,還沒有能保證這兩種敵手轉換是有效的,但是在工作中這種轉換都是多項式時間可計算的。
在真實和理想情況下敵手的轉換問題此處還沒有詳細說明!
進一步的討論,我們首先確定一個情況,一方提前終止協定這種情況是不能避免的,但是強制將這個能力強制的設計給第一方是有點隨意的。更一般的方法可能有意義的,但是當前的這種描述更加的簡單和滿足我們接下來的描述。一個不相關的時間是不同於半誠實模型,我們不能包括明顯的輸出在理想和現實模型中。這裏主要說的就是對於終止問題的設定討論,所以提前終止問題其實主要針對的是隨機函數纔有用,如果是確定性函數,那麼就沒有意義。
一個新的角度
首先一個更簡單的安全定義將會被使用在一個特別的例子單輸出函數,單輸出函數的例子就是指一方獲得輸出。假設,不是一般性,僅僅只有第一方獲得數輸出從函數 f . 也就是說,f(x,y) = (f1(x,y), z). 函數的輸出就是第一方計算的結果。在這種情況下,我們不需要關注第一方輸出後的行爲,因爲第二方無法獲得輸出,所以也就不需要考慮因爲執行以後帶來了的問題。也就是說,這種預先終止的行爲直接通過一種單向輸出的函數來討論。所以理想的模型如下:
Input : 每一方獲得一個輸入,定義爲u;
Sending inputs to the trusted party: 一個誠實方總是發送 u 給TPP。一個惡意參與方可能根據於 u 要麼終止協議執行或者發送一個u` 給TPP. 然而,不失一般性,在這個階段終止就是想可信方發送了一個特殊的符號。
The answer of the trusted party:當誠實方獲得了一對輸入(x,y)誠實方給第一方輸出計算結果。不失一般性,第一方獲得輸出,因爲第二方不會收到任何信息。
Outputs:一個誠實方總是輸出他從TPP獲得的信息。一個惡意敵手可能會輸出一個隨機的關於初始輸入的函數結果。
因此,在理想模型被捕獲通過以下的定義,函數B1和B2表現出了所有可能的操作在模型中。B1和B2的視圖和上文的定義是類似的。
存在惡意敵手下兩方計算的安全模型定義
定義在惡意敵手下的兩方安全計算理想模型
在這個理想模型下,fun 是一個單輸出函數。定義和之前的定義相同。
定義在惡意敵手下的兩方安全計算現實模型
已經定義了現實和理想兩個模型,我們獲得了對應的安全定義,簡單來說,這個定義斷言了一個安全兩方協議在現實模型下模擬理想模型。允許敵手在理想模型中有能力去模擬那羣真實協議執行在任何允許的敵手存在情況下。即,理想模型有能力去模擬安全真實協議的執行。
安全性定義
以上內容參考《Foundations.of.Cryptography.Volume.2.Basic.Applications(Oded.Goldreich)》