Rengeteg kérdés van itt az “elrontott áramkörök” részleteiről és hogyan kell működni, de még nem láttam semmit, amely meghatározná, hogy milyen elrontott áramkörök azok .
Mi is pontosan a egy elrontott áramkör? Mire szánják őket? Milyen korlátok vannak?
Az elrontott áramkörök címkéje csak azt mondja, hogy ezeket biztonságos többpartneres számításokhoz használják. Azonban ez a válasz kijelenti, hogy “csak kétoldalú számításokra alkalmasak?
Ez a kérdés az “áramkör” meghatározását keresi. Mi a különbség egy áramkör és egy elrontott áramkör között?
Megjegyzések
- Megtalálja a Yao s zavaros áramköri protokoll a biztonságos kétoldalú számításokhoz ebben a könyvben . ' drága, de előfordulhat, hogy a helyi egyetemi könyvtárban van.
- Javaslom ezt a videót és diák
Válasz
A áramkör csak egy módszer a számítás ábrázolására. Az áramkörben nincs semmi kifejezetten titkosító. Ez csak egyenes vonalú számítást jelent (nincs ciklus vagy áramlásszabályozó konstrukció), amely csak bit eken alapuló műveletekből áll, mint például az ÉS, VAGY, NEM.
A elrontott áramkör a “titkosítás olyan módja”, amely csak a számítás kimenetét tárja fel, de semmit nem árul el a bemenetekről vagy a köztes értékekről. . Az “áramkör” kifejezést azért használjuk, mert az elrontott áramkörök úgy működnek, hogy az Ön számára fontos számításokat áramkörként fejezik ki , majd néhány kriptográfiai dolgot végeznek az áramkör minden műveletéhez (ÉS, VAGY NEM). .
Ha egy kicsit pontosabbak akarunk lenni, akkor a “szemétláda” a következőkből áll:
-
(Márvány) A (sima) átalakításának módja áramkör $ C $ elrontott áramkörré $ \ widehat C $.
-
(Kódolás) Bármely (egyszerű) $ x $ bemenet konvertálása az áramkörhöz egy zavaros bemenetbe $ \ widehat x $. Szüksége van arra a titkos véletlenszerűségre, amelyet az áramkör elrontásához használtak a $ x $ kódolásához $ \ widehat x $ -ba.
-
(Evaluate) Egy garbled felvételének módja áramkör $ \ widehat C $ és elrontott bemenet $ \ widehat x $ és kiszámítja a $ C (x) $ áramkör kimenetet. Bárki megteheti ezt, nem kell ismernie a $ x $ értéket vagy a $ \ widehat C $ titkos véletlenszerűségét a $ C (x) $ értékeléséhez és megtanulásához.
Itt egy kicsit leegyszerűsítem. De a biztonság fő gondolata az, hogy $ \ widehat C $ és $ \ widehat x $ együttesen legfeljebb $ C (x) $ értéket szivárogtatnak. Különösen nem árulnak el semmit a $ x $ -ról, de lehetővé teszik a $ C (x) $ kiszámítását (megfeledkezve). Ezt értem a “számítás titkosítása” alatt.
Az elrontott áramkörök fő alkalmazása a biztonságos kétoldalú számítás. Képzelje el, hogy Alice-nek van privát bemenete $ x $, Bobnak pedig privát inputja van $ y $. Megállapodnak a $ f $ valamilyen funkciójában, és egyetértenek abban, hogy mindketten meg akarják tanulni a $ f (x, y) $ -t, de nem akarják, hogy ellenfelük bármit többet megtudjon, mint $ f (x, y ) $. Ennek elérése érdekében a következőket tehetik (ez Yao klasszikus protokollja):
-
A felek megállapodnak abban, hogy a $ f $ -ot (sima ) áramkör. Alice elrontja a $ f \ mapsto \ widehat f $ áramkört. Elküldi a $ \ widehat f $ -t Bobnak, valamint a saját “elrontott bevitelt” $ \ widehat x $.
-
Alice tudja, hogyan kell kódolni a $ f $ értékű bemenetet “elrontott” bemenet, de csak Bob ismeri a $ y $ privát bemenetét. Tehát a felek megbeszélik Bobot, hogy vegye elő a (z) $ \ widehat y $ elrontott verziót anélkül, hogy Alice megtudná, mi is az a $ y $. Ez megtehető egy primitívnek, az úgynevezett feledéktelen átvitelnek.
-
Most Bobnak van a $ \ widehat f $ elrontott áramköre és egy elrontott bemenet $ \ widehat x, \ widehat y $ arra az áramkörre. Ezután lefuttathatja az értékelési eljárást, és megtanulhatja a $ f (x, y) $ értéket. Felfedheti a $ f (x, y) $ értéket Alice számára.
Azt állíthatjuk, hogy a protokoll legfeljebb $ f (x, y) $ értéket fed fel a következőkben: módja:
-
Alice nem lát mást, csak a $ f (x, y) $ végső választ ebben a protokollban (a feledetlen adatátvitel biztonsága biztosítja, hogy semmit ne tudjon meg lépésről lépésre) 2).
-
Annak ellenére, hogy Bob látja a $ \ widehat f $, $ \ widehat x $ és $ \ widehat y $ értékeket, az elrontott áramkörök biztonsága biztosítja, hogy ezek az értékek ne ” nem fedhet fel mindent, ami meghaladja a $ f (x, y) $ értéket.
Ez a megközelítés akkor működik, ha Alice & Bob félig őszinte (azaz az utasítás szerint követik a protokollt). De amikor Alice rosszindulatú, akkor más $ f “$ függvényt is elronthat az elfogadott $ f $ helyett.Tehát más dolgokat kell hozzáadni a protokollhoz, hogy ez ne fordulhasson elő, amikor biztonságot akarunk a rosszindulatú ellenfelek ellen.
Referenciaanyag:
- A Yao konstrukció és a biztonság igazolása (videó), Yehuda Lindell
- A Yao protokolljának igazolása a biztonságos kétoldalú számításhoz , Yehuda Lindell & Benny Pinkas
- A foltos áramkörök alapjai , Mihir Bellare, Viet Tung Hoang, Phillip Rogaway
- A Garbled Circuit praktikus optimalizálásának rövid története , egy videóm . Az első néhány diában a zűrzavarok “klasszikus” felépítése található.
Megjegyzések
- Hogyan bukja el Bob anélkül, hogy tudná a titkos véletlenszerűséget, amelyet Alice választott, amikor a szemetelés sémájára gondolt?
- Az elrontott kódolás apránként működik. Vegyük Bob első bitje. Alice elgondolkodhat magában: " ha Bob 0-as bitet adott meg, akkor az elrontott kódolása $ G_0 $ legyen. Ha megadja az 1. bitet, akkor a kódolt kódjának $ G_1 $ kell lennie. " A megfeledkezõ átvitel egy primitív, ahol Alice két karakterláncot ad meg: $ G_0, G_1 $ bemenetként. Bob egy kicsit $ b $ -t ad meg inputként, és megtanulja a $ G_b $ -t (de a másikat nem $ G_ {1-b} $). Alice nem ' nem tanulja meg a $ b $ -t. A felek figyelmen kívül hagyják a Bob ' bemenet minden bitjét. Ami a feledéktelen átadás hogyan működését illeti, az már egy másik kérdés;)
- Yao ' mellett az elrontott áramkör ' t nem szabad újrafelhasználni. Meg tudja oldani azt a bizalmat, hogy " Engedélyezhet-e különféle kulcsok hozzárendelését minden egyes alkalommal, amikor a hibás áramkört végrehajtják, vagy ha a 0 és 1 bemeneti bithez rögzítik a kulcsokat? >