模型

Ideal Model

計(jì)算函數(shù)$f:\{0,1{\}}^{?}\times \{0,1{\}}^{?}\to \{0,1{\}}^{?}\times \{0,1{\}}^{?}$的兩方協(xié)議$\pi$，參與方是$P_1,P_2$。存在敵手$A$完全控制損壞的一方$P_i,i\in \{0,1\}$，誠(chéng)實(shí)的另一方記做$P_j,j=1?i$，另外存在一個(gè)可信第三方（trusted party）$T$，一共$4$個(gè)實(shí)體。

輸入：$P_1$的輸入是$x$，$P_2$的輸入是$y$，$A$的輔助輸入是$z$，安全參數(shù)$1^n$作為$4$者的公共輸入。

將輸入發(fā)送給可信第三方：誠(chéng)實(shí)方$P_j$發(fā)送$x$給$T$，敵手$A$控制損壞方$P_i$給$T$發(fā)送如下三者之一，$abor{t}_i$終止信息、輸入$y$、相同長(zhǎng)度的其他任意信息，這取決于敵手$A$對(duì)$z,x$的觀察。將$P_1,P_2$給$T$發(fā)送的消息統(tǒng)一記做$(x^{\prime },y^{\prime })$

提前終止：如果接收到$abor{t}_i$，那么$T$給$P_j$發(fā)送終止符

可信第三方發(fā)送輸出：

$T$計(jì)算$f(x^{\prime },y^{\prime })=(f_1(x^{\prime },y^{\prime }),f_2(x^{\prime },y^{\prime }))$，將$f_i(x^{\prime },y^{\prime })$發(fā)送給$A$控制的$P_i$

敵手$A$決定發(fā)送$continue$還是$abor{t}_i$給$T$

如果$T$接收到的是$continue$，那么將$f_j(x^{\prime },y^{\prime })$發(fā)送給誠(chéng)實(shí)方$P_j$；否則，發(fā)送$abor{t}_i$給$P_j$

輸出：誠(chéng)實(shí)方$P_j$輸出$f_j(x^{\prime },y^{\prime })$，損壞方$P_i$不輸出，敵手$A$輸出任意的關(guān)于$inpu{t}_i\in \{x,y\},z,f_i(x^{\prime },y^{\prime })$的PPT可計(jì)算函數(shù)值。

上述過程的輸出叫做在$(x,y),z,n$下的函數(shù)$f$的ideal execution，記做$IDEA{L}_{f,A(z),i}(x,y,n)$，包含$P_j$和$A$的輸出。

Real Model

計(jì)算函數(shù)$f:\{0,1{\}}^{?}\times \{0,1{\}}^{?}\to \{0,1{\}}^{?}\times \{0,1{\}}^{?}$的兩方協(xié)議$\pi$，參與方是$P_1,P_2$。存在敵手$A$完全控制損壞的一方$P_i,i\in \{0,1\}$，誠(chéng)實(shí)的另一方記做$P_j,j=1?i$，不存在可信第三方，一共$3$個(gè)實(shí)體。

輸入：$P_1$的輸入是$x$，$P_2$的輸入是$y$，$A$的輔助輸入是$z$，安全參數(shù)$1^n$作為$3$者的公共輸入。

交互：誠(chéng)實(shí)方$P_j$嚴(yán)格按照$\pi$的規(guī)則執(zhí)行，敵手$A$控制損壞方$P_j$按照任意的多項(xiàng)式時(shí)間策略發(fā)送$P_j$的消息空間中的任意消息。

輸出：誠(chéng)實(shí)方$P_j$輸出$f_j(x^{\prime },y^{\prime })$，損壞方$P_i$不輸出，敵手$A$輸出任意的關(guān)于$inpu{t}_i\in \{x,y\},z,f_i(x^{\prime },y^{\prime })$的PPT可計(jì)算函數(shù)值。

上述過程的輸出叫做在$(x,y),z,n$下的函數(shù)$f$的real execution，記做$REA{L}_{\pi ,A(z),i}(x,y,n)$，包含$P_j$和$A$的輸出。

惡意敵手下的安全性定義

令$f$是兩方協(xié)議$\pi$要計(jì)算的函數(shù)，我們說$\pi$在惡意敵手下帶終止的安全地計(jì)算$f$（securely compute $f$ with abort in the presence of static malicious adversaries），如果對(duì)于任意非均勻PPT的真實(shí)模型下的敵手$A$，都存在一個(gè)非均勻PPT的理想模型下的敵手$S$，對(duì)于任意的$i\in \{0,1\}$，都有
$$\{IDEA{L}_{f,S(z),i}(x,y,n){\}}_{x,y,z,n}\stackrel{c}{\equiv }\{REA{L}_{\pi ,A(z),i}(x,y,n){\}}_{x,y,z,n}$$
其中$x,y\in \{0,1{\}}^{?}$，$|x|=|y|$，以及$z\in \{0,1{\}}^{?}$，$n\in N$

在討論安全計(jì)算時(shí)，我們總是考慮“abort”的。另外，真實(shí)世界的概率性敵手$A$往往被當(dāng)做黑盒，于是模擬器$S$可以定義$A^{\prime }(?):=A(x,z,r;?)$，其中$r$是隨機(jī)帶，那么$A^{\prime }$就是確定性敵手。在證明中只需考慮確定性敵手即可。

Modular Sequential Composition

順序組合定理（Sequential composition theorems）：如果一個(gè)協(xié)議在獨(dú)立模型下（in the stand-alone model）是$X$定義下安全的（secure under definition $X$），那么它在順序組合（每一個(gè)進(jìn)程在下一個(gè)進(jìn)程開始前結(jié)束）下是$X$定義下安全的。

在設(shè)計(jì)協(xié)議時(shí)，我們可以令這個(gè)協(xié)議包含一個(gè)理想模型下的子例程。首先證明子例程是安全的，然后用可信第三方計(jì)算這個(gè)子例程，在理想模型下證明協(xié)議的安全性。

Hybrid Model：協(xié)議參與方之間進(jìn)行交互（as in the real model），同時(shí)也使用可信第三方（as in the ideal model）。即，協(xié)議$\pi$包含一系列理想調(diào)用（ideal calls）來計(jì)算$f_1,?,f_{p(n)}$，且$f_i$在$f_{i+1}$之前被調(diào)用。調(diào)用期間參與方之間不交互。每次理想調(diào)用是獨(dú)立的，可信第三方不保存調(diào)用狀態(tài)。參與方的交互信息記做standard message，與可信第三方的交互信息記做ideal message。

Blum擲硬幣協(xié)議

擲硬幣（Coin Tossing）：一個(gè)兩方協(xié)議計(jì)算函數(shù)$f_{ct}(\lambda ,\lambda )=(U_1,U_1)$，其中$U_1\in \{0,1\}$是單個(gè)隨機(jī)比特。

如何擲硬幣？很簡(jiǎn)單：$P_1$和$P_2$各自選擇一個(gè)隨機(jī)比特$b_1,b_2$，然后發(fā)送給對(duì)方，計(jì)算兩者的異或值$b=b_1\oplus b_2$。但是，如果在$P_i$發(fā)送$b_i$之前就收到了$b_{1?i}$，那么他就可以選擇$b_i\leftarrow b\oplus b_{i?1}$使得擲硬幣結(jié)果偏向于$b$。解決方案是：“同時(shí)”發(fā)送，但同步信道難以實(shí)現(xiàn)。

Blum協(xié)議：使用承諾方案來解決同步問題。

輸入：安全參數(shù)$1^n$作為$P_1,P_2$的公共輸入

執(zhí)行：

$P_1$隨機(jī)選擇$b_1\in \{0,1\}$以及隨機(jī)數(shù)$r\in \{0,1{\}}^{?}$，計(jì)算承諾值$c\leftarrow Com(b_1;r)$發(fā)送給$P_2$

$P_2$接收到$c$之后，隨機(jī)選擇$b_2\in \{0,1\}$，發(fā)送明文給$P_1$

$P_1$接收到$b_2$后，發(fā)送解承諾$(b_1,r)$給$P_2$

$P_2$驗(yàn)證$c=Com(b_1;r)$是否滿足

輸出：$P_1$和$P_2$各自輸出相同的擲硬幣結(jié)果，$b=b_1\oplus b_2$

解釋：$P_2$接收到$c$之后，$P_1$便無法再更改$b_1$（承諾協(xié)議的綁定性），同時(shí)$P_2$也無法獲得關(guān)于$b_1$的信息來使得結(jié)果偏向$b$（承諾協(xié)議的隱藏性）。

證明安全性：模擬器$S$的挑戰(zhàn)目標(biāo)是，讓它模擬的擲硬幣結(jié)果等于理想模型下可信第三方返回的結(jié)果。

$S$發(fā)送$\lambda$給計(jì)算$f_{ct}$的可信第三方，得到返回值$b$

$S$迭代$n$次，$i=1,?,n$，

首先隨機(jī)選擇$b_1$和$r$，計(jì)算$c=Com(b_1;r)$發(fā)送給$P_2$，同時(shí)發(fā)送給確定性敵手$A$

如果$A$返回的結(jié)果滿足$b_2=b\oplus b_1$，那么$S$發(fā)送解承諾$(b_1,r)$給$A$，并將$A$的相應(yīng)作為輸出。

如果$A$返回的結(jié)果滿足$b_2=b\oplus b_1$，那么$i++$。

如果$i=n$，$S$輸出$fail$；否則繼續(xù)迭代。

由于擲單個(gè)硬幣，因此期望上只需要回滾$2$次即可令結(jié)果相同。$S$輸出$fail$的概率是$\mu (n)$；當(dāng)輸出的不是$fail$時(shí)，它在$IDEAL$下和$REAL$下的輸出分布不可區(qū)分。

詳細(xì)證明過程很長(zhǎng)，雖然協(xié)議看起來是如此簡(jiǎn)單。結(jié)論是：假設(shè)$Com$是完美綁定的，那么Blum協(xié)議可以安全擲硬幣。

常數(shù)輪擲多個(gè)硬幣協(xié)議

應(yīng)用順序組合定理，我們$l(n)$次擲單個(gè)硬幣，依然是安全的。然而，我們更希望獲得常數(shù)輪的擲多個(gè)硬幣。如果只是簡(jiǎn)單地將Blum協(xié)議中的單個(gè)隨機(jī)比特$b_i\in \{0,1{\}}^{?}$替換成${\rho }_i\in \{0,1{\}}^{l(n)}$，這就沒法用模擬技術(shù)來證明安全性了，因?yàn)槠谕线@需要$2^{l(n)}$次回滾。

解決方案是，做承諾$c$之后，$P_1$不發(fā)送解承諾$({\rho }_1,r)$，而僅發(fā)送${\rho }_1$，并用零知識(shí)證明$c$就是${\rho }_1$對(duì)應(yīng)的承諾。

令$f_{zk}^R((x,w),x)$是關(guān)于語言$R\in NP$的常數(shù)輪零知識(shí)證明協(xié)議，

$$f_{zk}^R((x,w),x):=\{\begin{array}{rlr}(\lambda ,R(x,w))& & x=x^{\prime }\\ (\lambda ,0)& & otherwise\end{array}$$

協(xié)議為：

利用混雜模型，可以證明：如果$Com$是完美綁定的，且$l(n)$是多項(xiàng)式的，那么上述協(xié)議 securely computes the functionality $f_{ct}^l(\lambda ,\lambda )=(U_{l(n)},U_{l(n)})$ in the $(f_{zk}^{R_1},f_{zk}^{R_2})?$hybrid model.

總結(jié)

以上是生活随笔為你收集整理的掷硬币协议的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。