Верифицируемая случайная функция

В криптографии ( проверяемая случайная функция с открытым ключом VRF) — это псевдослучайная функция , которая обеспечивает доказательства того, что ее выходные данные были рассчитаны правильно. Владелец секретного ключа может вычислить значение функции, а также соответствующее доказательство для любого входного значения. Все остальные, используя доказательство и связанный с ним открытый ключ (или ключ проверки) ^[1] ), может проверить, что это значение действительно было рассчитано правильно, однако эту информацию нельзя использовать для поиска секретного ключа. ^[2]

Поддающуюся проверке случайную функцию можно рассматривать как аналог криптографического хеша с открытым ключом. ^[2] и как криптографическая приверженность экспоненциально большому количеству, казалось бы, случайных битов. ^[3] Концепция проверяемой случайной функции тесно связана с концепцией проверяемой непредсказуемой функции (VUF), выходные данные которой трудно предсказать, но они не обязательно кажутся случайными. ^{[3] [4]}

Концепция VRF была представлена ​​Микали , Рабином и Вадханом в 1999 году. ^{[4] [5]} С тех пор проверяемые случайные функции нашли широкое применение в криптовалютах, а также в предложениях по разработке протоколов и кибербезопасности.

В 1999 году Микали, Рабин и Вадхан представили концепцию VRF и предложили первый такой вариант. ^[4] Первоначальная конструкция была довольно неэффективной: она сначала создает проверяемую непредсказуемую функцию , затем использует аппаратный бит для преобразования ее в VRF; более того, входные данные должны быть сопоставлены с простыми числами сложным способом: а именно, с помощью генератора последовательности простых чисел, который генерирует простые числа с подавляющей вероятностью, используя вероятностный тест на простоту . ^{[3] [4]} Предложенная таким образом проверяемая непредсказуемая функция, которая доказуемо безопасна, если вариант проблемы RSA сложен, определяется следующим образом: открытый ключ PK равен ${\displaystyle (m,r,Q,coins)}$, где m — произведение двух случайных простых чисел, r — число, случайно выбранное из ${\displaystyle \mathbb {Z} _{m}^{*}}$, монеты — это случайно выбранный набор битов, а Q — функция, выбранная случайным образом из всех полиномов степени ${\displaystyle 2k^{2}-1}$ над полем ${\displaystyle GF(2^{k})}$. Секретный ключ ${\displaystyle (PK,\phi (m))}$. Учитывая входные данные x и секретный ключ SK , VUF использует генератор последовательности простых чисел для выбора соответствующего простого числа. ${\displaystyle p_{x}}$ (генератору требуются вспомогательные входы Q и монеты ), а затем вычисляет и выводит ${\displaystyle r^{1/p_{x}}{\pmod {m}}}$, что легко сделать, зная ${\displaystyle \phi (m)}$. ^[4]

В 2005 году Додис и Ямпольский предложили эффективную и практичную проверяемую случайную функцию. ^{[3] [6]} Когда ввод ${\displaystyle x}$ принадлежит небольшой области (затем авторы расширяют ее на более крупную область), функцию можно определить следующим образом:

${\displaystyle F_{SK}(x)=e(g,g)^{1/(x+SK)}\quad {\mbox{and}}\quad p_{SK}(x)=g^{1/(x+SK)},}$

где e (·, ·) – билинейное отображение . Чтобы проверить, ${\displaystyle F_{SK}(x)}$ правильно вычислено или нет, можно проверитьесли ${\displaystyle e(g^{x}PK,p_{SK}(x))=e(g,g)}$ и ${\displaystyle e(g,p_{SK}(x))=F_{SK}(x)}$. ^{[3] [6]} Чтобы распространить это на более крупный домен, авторы используют древовидную конструкцию и универсальную хеш-функцию . ^[3] Это безопасно, если трудно нарушить «предположение инверсии q-Диффи-Хельмана», которое гласит, что ни один алгоритм не задан. ${\displaystyle (g,g^{x},\dots ,g^{x^{q}})}$ может вычислить ${\displaystyle g^{1/x}}$и « допущение q-решительной билинейной инверсии Диффи-Хельмана », которое утверждает, что это невозможно для эффективного алгоритма при заданном ${\displaystyle (g,g^{x},\ldots ,g^{(x^{q})},R)}$ в качестве входных данных для различения ${\displaystyle R=e(g,g)^{1/x}}$ случайно, в группе ${\displaystyle \mathbb {G} }$. ^{[3] [6]}

В 2015 году Хофхайнц и Ягер построили VRF, которая доказуемо безопасна для любого члена «семейства (n - 1)-линейных предположений», которое включает предположение о линейности решения . ^[7] Это первая такая построенная VRF, которая не зависит от «предположения о сложности Q-типа». ^[7]

В 2019 году Битанский показал, что VRF существуют, если неинтерактивные доказательства неразличимы свидетелями (то есть более слабые версии неинтерактивных доказательств с нулевым разглашением для задач NP , которые только скрывают свидетельство, которое использует доказывающий). ^{[1] [8]} ), неинтерактивные криптографические обязательства и псевдослучайные функции с ограничениями по одному ключу (то есть псевдослучайные функции, которые позволяют пользователю оценивать функцию только с заранее заданным ограниченным подмножеством возможных входных данных). ^[9] ) тоже делаю. ^[1]

Когда забывчивая псевдослучайная функция основана на асимметричной криптографии , владение открытым ключом может позволить клиенту проверить выходные данные функции путем проверки цифровой подписи или доказательства с нулевым разглашением .

В 2020 году Эсгин и др. предложил постквантовую безопасную VRF, основанную на решетчатой ​​криптографии . ^[10]

VRF обеспечивают детерминированные предварительные обязательства для входных данных с низкой энтропией, которые должны быть устойчивы к атакам грубой силы на прообразы . ^{[11] [ нужен лучший источник ]} VRF можно использовать для защиты от атак автономного перечисления (например, атак по словарю ) на данные, хранящиеся в структурах данных на основе хэша. ^[2]

VRF использовались для:

• Сбрасываемые доказательства с нулевым разглашением (т. е. доказательства, которые остаются с нулевым разглашением, даже если злоумышленнику разрешено сбросить честное доказательство и запросить его снова) ^[12] ) с тремя патронами в голой модели ^{[3] [7]}
• Неинтерактивные лотерейные системы ^{[3] [7]}
• Поддающиеся проверке схемы условного депонирования транзакций ^{[3] [7]}
• Обновляемые базы данных с нулевым разглашением ^[7]
• Электронные деньги ^[7]

VRF также можно использовать для реализации случайных оракулов . ^[13]

DNSSEC — это система, которая предотвращает вмешательство злоумышленников в сообщения системы доменных имен , но она также страдает от уязвимости перечисления зон. Предлагаемая система NSEC5, использующая VRF. ^{[ как? ]} , доказуемо предотвращает этот тип атаки. ^{[14] [ важность? ]}