Не обращающий внимания трансфер

В криптографии протокол забывчивой передачи ( OT ) — это тип протокола, в котором отправитель передает одну из потенциально многих частей информации получателю, но не обращает внимания на то, какая часть (если таковая имеется) была передана.

Первая форма забывчивого переноса была введена в 1981 году Майклом О. Рабином . ^[1] В этой форме отправитель отправляет сообщение получателю с вероятностью 1/2, при этом отправитель не знает, получил ли получатель сообщение или нет. Схема невнимательной передачи Рабина основана на криптосистеме RSA . Более полезная форма забывчивого переноса, называемая «1–2 забывчивого переноса » или «1 из 2 забывчивого переноса», была разработана позже Шимоном Эвеном , Одедом Гольдрайхом и Абрахамом Лемпелем . ^[2] для создания протоколов для безопасных многосторонних вычислений . Это обобщено до «1 из n незаметной передачи», когда пользователь получает ровно один элемент базы данных, при этом сервер не узнает, какой элемент был запрошен, и при этом пользователь ничего не знает о других элементах, которые не были получены. Последнее понятие «забывчивой передачи» представляет собой усиление поиска частной информации , при котором база данных не остается конфиденциальной.

Клод Крепо показал, что забывчивая передача Рабина эквивалентна 1–2 забывчивым передачам. ^[3]

Дальнейшая работа показала, что невнимательная передача является фундаментальной и важной проблемой криптографии. Это считается одной из критических проблем в этой области из-за важности приложений, которые могут быть созданы на его основе. В частности, он подходит для безопасных многосторонних вычислений : то есть, учитывая реализацию забывчивой передачи, можно безопасно оценить любую вычислимую за полиномиальное время функцию без каких-либо дополнительных примитивов. ^[4]

Забывчивый протокол передачи Рабина

В забывчивом протоколе передачи Рабина отправитель генерирует публичный модуль RSA N = pq , где p и q — большие простые числа , и показатель степени e, относительно простой с λ(N) = ( p — 1)( q — 1). Отправитель шифрует сообщение m как m ^и сторону Н. в

Отправитель отправляет N , e и m ^и мод N к приемнику.
Получатель выбирает случайное число x по модулю N и отправляет x. ² mod N отправителю. Обратите внимание, что gcd( x , N ) = 1 с подавляющей вероятностью, что гарантирует наличие 4 квадратных корней из x ² сторону Н. в
Отправитель находит квадратный корень y из x ² mod N и отправляет y получателю.

Если получатель обнаружит, что y не является ни x , ни −x по модулю N , получатель сможет факторизовать N и, следовательно, расшифровать m. ^и для восстановления m ( см. в разделе «Шифрование Рабина» более подробную информацию ). Однако, если y равен x или − x mod N , получатель не будет иметь никакой информации о m, кроме ее шифрования. Поскольку каждый квадратичный вычет по модулю N имеет четыре квадратных корня, вероятность того, что получатель узнает m, равна 1/2.

1–2 невнимательных передачи

В протоколе передачи с забывчивостью 1–2 Алиса-отправитель имеет два сообщения m ₀ и m ₁ и хочет гарантировать, что получатель узнает только одно. Боб, получатель, имеет бит b и желает получить m _b так, чтобы Алиса не узнала b .Протокол Эвена, Голдрейха и Лемпеля (который авторы частично приписывают Сильвио Микали ) является общим, но его можно реализовать с использованием шифрования RSA следующим образом.

Алиса				Боб
Исчисление	Секрет	Общественный		Общественный	Секрет	Исчисление
Сообщения для отправки	$m_{0},m_{1}$
Создайте пару ключей RSA и отправьте общедоступную часть Бобу.	$d$	$N,e$	$\Rightarrow$	$N,e$		Получить открытый ключ
Создать два случайных сообщения		$x_{0},x_{1}$	$\Rightarrow$	$x_{0},x_{1}$		Получать случайные сообщения
					$k,b$	Выбирать $b\in \{0,1\}$ и генерировать случайные $k.$
		$v$	$\Leftarrow$	$v=(x_{b}+k^{e}){\bmod {N}}$		Вычислить шифрование $k$ , слепой с $x_{b}$ и отправить Алисе
Один из них будет равен $k$ , но Алиса не знает, какой именно.	${\begin{aligned}k_{0}&=(v-x_{0})^{d}{\bmod {N}}\\k_{1}&=(v-x_{1})^{d}{\bmod {N}}\end{aligned}}$
Отправьте оба сообщения Бобу		${\begin{aligned}m'_{0}=(m_{0}+k_{0}){\bmod {N}}\\m'_{1}=(m_{1}+k_{1}){\bmod {N}}\end{aligned}}$	$\Rightarrow$	$m'_{0},m'_{1}$		Получить оба сообщения
					$m_{b}=(m'_{b}-k){\bmod {N}}$	Боб расшифровывает $m'_{b}$ поскольку он знает, какой $x_{b}$ он выбрал ранее.

У Алисы есть два сообщения: $m_{0},m_{1}$ и хочет отправить Бобу ровно один из них. Боб не хочет, чтобы Алиса знала, какой из них он получит.
Алиса генерирует пару ключей RSA, содержащую модуль $N$ , публичный представитель $e$ и частный показатель $d$ .
Она также генерирует два случайных значения: $x_{0},x_{1}$ и отправляет их Бобу вместе с ее общедоступным модулем и показателем степени.
Боб выбирает $b$ быть либо 0, либо 1, и выбирает $x_{b}$ .
Боб генерирует случайное значение $k$ использует его, чтобы ослепить $x_{b}$ путем вычисления $v=(x_{b}+k^{e}){\bmod {N}}$ , который он отправляет Алисе.
Алиса комбинирует $v$ с обоими ее случайными значениями, чтобы получить: $k_{0}=(v-x_{0})^{d}{\bmod {N}}$ и $k_{1}=(v-x_{1})^{d}{\bmod {N}}$ . Сейчас $k_{b}$ будет равен $k$ а другой будет бессмысленной случайной величиной. Однако, поскольку Алиса не знает значения $b$ что выбрал Боб, она не может определить, какой из $k_{0}$ и $k_{1}$ равно $k$ .
Она объединяет два секретных сообщения с каждым из возможных ключей. $m'_{0}=(m_{0}+k_{0}){\bmod {N}}$ и $m'_{1}=(m_{1}+k_{1}){\bmod {N}}$ и отправляет их обоих Бобу.
Боб знает $k$ , поэтому он может вычислить $m_{b}=(m'_{b}-k){\bmod {N}}$ . Однако, поскольку он не знает $d$ , он не может вычислить $k_{1-b}=(v-x_{1-b})^{d}{\bmod {N}}$ и поэтому не могу определить $(m_{1-b}){\bmod {N}}$ .

Передача с забвением 1 из n и k из n передача с забвением

Протокол забывчивой передачи «1 из n» можно определить как естественное обобщение протокола забывчивой передачи «1 из 2». В частности, у отправителя есть n сообщений, а у получателя есть индекс i , и получатель желает получить i -е сообщение отправителя, при этом отправитель не узнает i , в то время как отправитель хочет гарантировать, что получатель получит только одно из n сообщений .

Забывчивая передача «один из n» несравнима с поиском конфиденциальной информации (PIR). С одной стороны, передача с забывчивостью «1 из n» накладывает дополнительные требования конфиденциальности для базы данных, а именно: получатель должен узнать не более одной из записей базы данных. С другой стороны, PIR требует сублинейной по n связи , тогда как не обращающая внимания передача 1 из n не имеет такого требования. Тем не менее, предположение PIR одного сервера является достаточным предположением для построения забывчивой передачи 1 из 2. ^[5]

Протокол забывчивой передачи «один из n» с сублинейной связью был впервые построен (как обобщение односерверного PIR) Эялем Кушилевицем и Рафаилом Островским . ^[6] Более эффективные конструкции предложили Мони Наор и Бенни Пинкас . ^[7] Уильям Айелло , Юваль Ишай и Омер Рейнгольд , ^[8] Свен Лаур и Хельгер Липмаа . ^[9] In 2017, Kolesnikov et al. , ^[10] предложил эффективный протокол 1-n забывчивой передачи, который требует примерно в 4 раза больше стоимости 1-2 забывчивой передачи в амортизированных условиях.

Брассар , Крепо и Робер далее обобщили это понятие на случай невнимательного переноса , ^[11] при этом получатель получает набор из k сообщений из n коллекции сообщений. Набор из k сообщений может быть получен одновременно («неадаптивно») или они могут быть запрошены последовательно, причем каждый запрос основан на предыдущих полученных сообщениях. ^[12]

Обобщенный перенос без внимания

k - n Забывчивый перенос - это частный случай обобщенного забывчивого переноса, который был представлен Ишаем и Кушилевицем. ^[13] отправитель имеет набор U из n сообщений, а ограничения передачи задаются набором A допустимых подмножеств U. В этом случае Получатель может получить любое подмножество сообщений в U которое появляется в коллекции A. , Отправитель должен не обращать внимания на выбор, сделанный получателем, в то время как получатель не может узнать ценность сообщений за пределами подмножества сообщений, которое он решил получить. Коллекция A является монотонно убывающей в том смысле, что она замкнута относительно содержания (т. е. если данное подмножество B находится в коллекции A , то же самое относится и ко всем подмножествам B ).Решение, предложенное Ишаем и Кушилевицем, использует параллельные вызовы 1-2 забывчивых передач при использовании специальной модели частных протоколов. Позже были опубликованы и другие решения, основанные на обмене секретами, — авторы Бхавани Шанкара, Каннана Шринатана и К. Панду Рангана . ^[14] и еще один Тамир Тасса. ^[15]

Происхождение

В начале семидесятых годов Стивен Визнер представил примитив, называемый мультиплексированием в своей основополагающей статье «Сопряженное кодирование» .который был отправной точкой квантовой криптографии . ^[16] К сожалению, на публикацию ушло более десяти лет. Несмотря на тоэтот примитив был эквивалентен тому, что позже было названо 1–2 передачей без внимания , Визнер не видел его применения в криптографии.

Квантовый перенос без внимания

Протоколы забывчивой передачи могут быть реализованы с помощью квантовых систем . В отличие от других задач квантовой криптографии , таких как распределение квантовых ключей , было показано, что квантовая передача без внимания не может быть реализована с безусловной безопасностью, то есть безопасность протоколов квантовой передачи без внимания не может быть гарантирована только законами квантовой физики . ^[17]

См. также

Ссылки

^ Майкл О. Рабин . «Как обмениваться секретами с невнимательной передачей». Технический отчет TR-81, Вычислительная лаборатория Эйкена, Гарвардский университет, 1981. Отсканированный почерк + напечатанная версия в архиве eprint.iacr.org. Архивировано 23 ноября 2021 г. на Wayback Machine . Печатная версия доступна на домашней странице Дусти .
^ С. Эвен, О. Голдрейх и А. Лемпель, «Рандомизированный протокол подписания контрактов», Сообщения ACM , том 28, выпуск 6, стр. 637–647, 1985.
^ Клод Крепо . «Эквивалентность двух разновидностей забывчивого переноса». В книге «Достижения в криптологии – CRYPTO '87», том 293 конспектов лекций по информатике, страницы 350–354. Спрингер, 1988 г.
^ Джо Килиан . «Основы криптографии на основе забывчивой передачи», материалы 20-го ежегодного симпозиума ACM по теории вычислений (STOC), 1988. Статья на портале ACM (требуется подписка)
^ Джованни Ди Крещенцо, Таль Малкин , Рафаил Островский: Поиск частной информации в единой базе данных подразумевает незаметную передачу. ЕВРОКРИПТ 2000: 122–138.
^ Эяль Кушилевиц, Рафаил Островский: Репликация НЕ нужна: ОДНА база данных, поиск конфиденциальной вычислительной информации. ФОКС 1997: 364–373.
^ Мони Наор и Бенни Пинкас (1990). Забывчивая полиномиальная оценка. Архивировано 12 августа 2017 г. на Wayback Machine. 31-м STOC
↑ Уильям Айелло , Юваль Ишай и Омер Рейнгольд (2001) Цена забывчивой передачи: как продавать цифровые товары. Архивировано 27 марта 2016 г. в Wayback Machine EUROCRYPT '01. Материалы Международной конференции по теории и применению криптографических методов: достижения в области Криптология, страницы 119–135.
^ Свен Лаур и Хельгер Липмаа (2007). «Новый протокол об условном раскрытии секретов и его применение» . Джонатан Кац и Моти Юнг, редакторы ACNS , Конспекты лекций по информатике 4521 : 207–225. Спрингер, Гейдельберг.
^ Владимир Колесников, Ранджит Кумаресан, Майк Росулек и Ни Триу (2017). «Эффективный пакетный забывчивый PRF с приложениями для пересечения частных наборов». Архивировано 11 июля 2017 г. в Wayback Machine . В Эдгаре Р. Вайппле, Стефане Катценбайсере, Кристофере Крюгеле, Эндрю К. Майерсе и Шае Халеви, редакторах, ACM CCS 16, страницы 818–829. ACM Press, октябрь 2016 г.
^ Жиль Брассар , Клод Крепо и Жан-Марк Робер . «Раскрытие секретов по принципу «все или ничего». В «Достижениях в криптологии – CRYPTO '86», том 263 LNCS, страницы 234–238. Спрингер, 1986.
^ Мони Наор и Бенни Пинкас . «Незабываемый перенос с адаптивными запросами». В книге «Достижения в криптологии – CRYPTO '99», том 1666 LNCS, страницы 573–590. Спрингер, 1999.
^ Юваль Ишай и Эяль Кушилевиц. «Протоколы частных одновременных сообщений с приложениями». В Proc. ISTCS'97, Компьютерное общество IEEE, страницы 174–184, 1997.
^ Бхавани Шанкар, Каннан Шринатан и К. Панду Ранган. «Альтернативные протоколы для общего забвения». В Proc. ICDCN'08, LNCS 4904, страницы 304–309, 2008 г.
^ Тамир Тасса. «Общая передача без внимания путем обмена секретами». Проекты, коды и криптография, том 58:1, страницы 11–21, январь 2011 г. Статья на openu.ac.il. Архивировано 1 апреля 2011 г. на Wayback Machine.
^ Стивен Визнер, «Сопряженное кодирование», Sigact News, vol. 15, нет. 1, 1983, стр. 78–88; Оригинальная рукопись, написанная примерно в 1970 году.
^ Ло, Х.-К. (1997). «Небезопасность квантовобезопасных вычислений» . Физ. Преподобный А. 56 (2): 1154–1162. arXiv : Quant-ph/9611031 . Бибкод : 1997PhRvA..56.1154L . дои : 10.1103/PhysRevA.56.1154 . S2CID 17813922 . Архивировано из оригинала 21 июля 2019 г. Проверено 21 июля 2019 г.

Внешние ссылки

Коллекция веб-ссылок Хельгера Липмаа по теме.

[1] Майкл О. Рабин . «Как обмениваться секретами с невнимательной передачей». Технический отчет TR-81, Вычислительная лаборатория Эйкена, Гарвардский университет, 1981. Отсканированный почерк + напечатанная версия в архиве eprint.iacr.org. Архивировано 23 ноября 2021 г. на Wayback Machine . Печатная версия доступна на домашней странице Дусти .

[2] С. Эвен, О. Голдрейх и А. Лемпель, «Рандомизированный протокол подписания контрактов», Сообщения ACM , том 28, выпуск 6, стр. 637–647, 1985.

[3] Клод Крепо . «Эквивалентность двух разновидностей забывчивого переноса». В книге «Достижения в криптологии – CRYPTO '87», том 293 конспектов лекций по информатике, страницы 350–354. Спрингер, 1988 г.

[4] Джо Килиан . «Основы криптографии на основе забывчивой передачи», материалы 20-го ежегодного симпозиума ACM по теории вычислений (STOC), 1988. Статья на портале ACM (требуется подписка)

[5] Джованни Ди Крещенцо, Таль Малкин , Рафаил Островский: Поиск частной информации в единой базе данных подразумевает незаметную передачу. ЕВРОКРИПТ 2000: 122–138.

[6] Эяль Кушилевиц, Рафаил Островский: Репликация НЕ нужна: ОДНА база данных, поиск конфиденциальной вычислительной информации. ФОКС 1997: 364–373.

[7] Мони Наор и Бенни Пинкас (1990). Забывчивая полиномиальная оценка. Архивировано 12 августа 2017 г. на Wayback Machine. 31-м STOC

[8] Уильям Айелло , Юваль Ишай и Омер Рейнгольд (2001) Цена забывчивой передачи: как продавать цифровые товары. Архивировано 27 марта 2016 г. в Wayback Machine EUROCRYPT '01. Материалы Международной конференции по теории и применению криптографических методов: достижения в области Криптология, страницы 119–135.

[9] Свен Лаур и Хельгер Липмаа (2007). «Новый протокол об условном раскрытии секретов и его применение» . Джонатан Кац и Моти Юнг, редакторы ACNS , Конспекты лекций по информатике 4521 : 207–225. Спрингер, Гейдельберг.

[10] Владимир Колесников, Ранджит Кумаресан, Майк Росулек и Ни Триу (2017). «Эффективный пакетный забывчивый PRF с приложениями для пересечения частных наборов». Архивировано 11 июля 2017 г. в Wayback Machine . В Эдгаре Р. Вайппле, Стефане Катценбайсере, Кристофере Крюгеле, Эндрю К. Майерсе и Шае Халеви, редакторах, ACM CCS 16, страницы 818–829. ACM Press, октябрь 2016 г.

[11] Жиль Брассар , Клод Крепо и Жан-Марк Робер . «Раскрытие секретов по принципу «все или ничего». В «Достижениях в криптологии – CRYPTO '86», том 263 LNCS, страницы 234–238. Спрингер, 1986.

[12] Мони Наор и Бенни Пинкас . «Незабываемый перенос с адаптивными запросами». В книге «Достижения в криптологии – CRYPTO '99», том 1666 LNCS, страницы 573–590. Спрингер, 1999.

[13] Юваль Ишай и Эяль Кушилевиц. «Протоколы частных одновременных сообщений с приложениями». В Proc. ISTCS'97, Компьютерное общество IEEE, страницы 174–184, 1997.

[14] Бхавани Шанкар, Каннан Шринатан и К. Панду Ранган. «Альтернативные протоколы для общего забвения». В Proc. ICDCN'08, LNCS 4904, страницы 304–309, 2008 г.

[15] Тамир Тасса. «Общая передача без внимания путем обмена секретами». Проекты, коды и криптография, том 58:1, страницы 11–21, январь 2011 г. Статья на openu.ac.il. Архивировано 1 апреля 2011 г. на Wayback Machine.

[16] Стивен Визнер, «Сопряженное кодирование», Sigact News, vol. 15, нет. 1, 1983, стр. 78–88; Оригинальная рукопись, написанная примерно в 1970 году.

[17] Ло, Х.-К. (1997). «Небезопасность квантовобезопасных вычислений» . Физ. Преподобный А. 56 (2): 1154–1162. arXiv : Quant-ph/9611031 . Бибкод : 1997PhRvA..56.1154L . дои : 10.1103/PhysRevA.56.1154 . S2CID 17813922 . Архивировано из оригинала 21 июля 2019 г. Проверено 21 июля 2019 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]