Получение частной информации

В криптографии протокол поиска частной информации (PIR) — это протокол, который позволяет пользователю получать элемент с сервера, владеющего базой данных , не раскрывая, какой именно элемент был получен. «1 из n» PIR — это более слабая версия забывчивой передачи , где также требуется, чтобы пользователь не получал информацию о других элементах базы данных.

Один тривиальный, но очень неэффективный способ достижения PIR — это отправка сервером пользователю полной копии базы данных. Фактически, это единственно возможный протокол (в классической или квантовой обстановке). ^[1] пользовательской ), что обеспечивает теоретическую конфиденциальность информации для их запросов в условиях одного сервера. ^[2] Есть два способа решить эту проблему: сделать сервер ограниченным в вычислительном отношении или предположить, что существует несколько несотрудничающих серверов, каждый из которых имеет копию базы данных.

Проблема была предложена в 1995 году Чором , Гольдрайхом, Кушилевицем и Суданом. ^[2] в области теории информации и в 1997 году Кушилевица и Островского в области вычислений. ^[3] С тех пор были обнаружены очень эффективные решения. Единая база данных (частная в вычислительном отношении) PIR может быть достигнута с помощью постоянной (амортизированной) связи, а PIR с k-базой данных (теоретическая информация) может быть реализована с помощью ${\displaystyle n^{O\left({\frac {\log \log k}{k\log k}}\right)}}$ коммуникация.

Первая вычислительная PIR-схема с одной базой данных, обеспечивающая сложность связи менее ${\displaystyle n}$ был создан в 1997 году Кушилевицем и Островским. ^[3] и достигли коммуникационной сложности ${\displaystyle n^{\epsilon }}$ для любого ${\displaystyle \epsilon }$, где ${\displaystyle n}$ количество битов в базе данных. Безопасность их схемы основывалась на хорошо изученной проблеме квадратичной невязки . В 1999 году Кристиан Кашен, Сильвио Микали и Маркус Стадлер. ^[4] достигнута полилогарифмическая сложность связи. Безопасность их системы основана на предположении о сокрытии Фи . В 2004 году Хельгер Липмаа ^[5] достигнута логарифмическая сложность связи ${\displaystyle O(\ell \log n+k\log ^{2}n)}$, где ${\displaystyle \ell }$ длина строк и ${\displaystyle k}$ является параметром безопасности. Безопасность его системы сводится к семантической безопасности гибкой по длине аддитивно гомоморфной криптосистемы, такой как криптосистема Дамгорда-Юрика . В 2005 году Крейг Джентри и Зульфикар Рамзан ^[6] достигнута логарифмическая сложность связи, которая извлекает логарифмические (последовательные) биты базы данных. Безопасность их схемы также основана на варианте предположения о сокрытии Фи. Скорость связи наконец снизилась до ${\displaystyle 1}$ Авторы: Аггелос Киайяс , Никос Леонардос , Хельгер Липмаа , Катерина Павлик , Цян Тан , в 2015 году. ^[7]

Все предыдущие вычислительные протоколы PIR для сублинейной связи требовали линейной вычислительной сложности ${\displaystyle \Omega (n)}$ операции с открытым ключом. В 2009 году Хельгер Липмаа ^[8] разработал вычислительный протокол PIR со сложностью связи ${\displaystyle O(\ell \log n+k\log ^{2}n)}$ и расчет наихудшего случая ${\displaystyle O(n/\log n)}$ операции с открытым ключом. Методы амортизации, извлекающие непоследовательные биты, рассматривались Ювалем Ишаем , Эялем Кушилевицем , Рафаилом Островским и Амитом Сахаи . ^[9]

Как показали Островский и Скейт, ^[10] схемы Кушилевица и Островского ^[3] и Липмаа ^[5] используйте аналогичные идеи, основанные на гомоморфном шифровании . Протокол Кушилевица и Островского основан на криптосистеме Гольдвассера-Микали, а протокол Липмаа основан на криптосистеме Дамгорда-Юрика .

Достижение теоретической безопасности требует предположения о наличии нескольких несотрудничающих серверов, каждый из которых имеет копию базы данных. Без этого предположения любой теоретически безопасный протокол PIR требует объема связи, который, по крайней мере, равен размеру базы данных n . Многосерверные протоколы PIR, устойчивые к не отвечающим или вредоносным/вступающим в сговор серверам, называются надежными или византийскими надежными соответственно. Эти вопросы были впервые рассмотрены Беймелем и Сталем (2002). Система ℓ-серверов, которая может работать там, где отвечают только k серверов, ν серверов отвечают неправильно, и которая может противостоять до t вступающим в сговор серверам, не раскрывая запрос клиента, называется « t -private ν-византийским устойчивым k -out -of-ℓ PIR» [DGH 2012]. В 2012 году К. Девет, И. Голдберг и Н. Хенингер (DGH 2012) предложили оптимально надежную схему, которая является византийско-устойчивой для ${\displaystyle \nu <k-t-1}$ что является теоретическим максимальным значением. Он основан на более раннем протоколе Голдберга, который использует секретный обмен Шамира для сокрытия запроса. Голдберг выпустил реализацию C++ на SourceForge . ^[11]

Односторонние функции необходимы, но не являются достаточными для нетривиального (т. е. с сублинейной связью) поиска конфиденциальной вычислительной информации из одной базы данных. доказали, что такой протокол Фактически, Джованни Ди Крещенцо , Тал Малкин и Рафаил Островский подразумевает передачу по невнимательности (см. ниже). ^[12]

Забывчивая передача , также называемая симметричным PIR, представляет собой PIR с дополнительным ограничением, заключающимся в том, что пользователь не может изучить какой-либо элемент, кроме того, который он запросил. Он называется симметричным, поскольку и пользователь, и база данных предъявляют требования к конфиденциальности.

Устойчивые к коллизиям криптографические хеш-функции подразумеваются любой однораундовой вычислительной схемой PIR, как показали Ишай, Кушилевиц и Островский. ^[13]

Основной мотивацией для поиска частной информации является семейство двухсторонних протоколов, в которых одна из сторон ( отправитель ) владеет базой данных, а другая часть ( получатель ) хочет запросить ее с определенными ограничениями и гарантиями конфиденциальности. Таким образом, в результате протокола, если получатель хочет получить i-е значение в базе данных, он должен узнать i-ю запись, но отправитель не должен ничего узнать об i . В общем протоколе PIR отправитель , не обладающий вычислительными возможностями , ничего не может узнать об i, поэтому конфиденциальность теоретически сохраняется. С тех пор как была поставлена ​​проблема ПИР, рассматривались разные подходы к ее решению и предлагались некоторые вариации.

Протокол CPIR (вычислительный поиск конфиденциальной информации) аналогичен протоколу PIR: получатель извлекает выбранный им элемент из базы данных отправителя, так что отправитель не получает информации о том, какой элемент был передан. ^[8] Единственное отличие состоит в том, что конфиденциальность защищена от полиномиально ограниченного отправителя. ^[14]

Протокол CSPIR (вычислительно-симметричный поиск частной информации) используется в аналогичном сценарии, в котором используется протокол CPIR. Если отправитель владеет базой данных, а получатель хочет получить i-е значение в этой базе данных, то в конце выполнения протокола SPIR получатель не должен был узнать ничего о значениях в базе данных, кроме i-го один. ^[14]

В литературе было реализовано множество вычислительных PIR и теоретико-информационных схем PIR. Вот неполный список:

• МачПИР ^[15] — это реализация CPIR как расширение Postgres C/C++ [GitHub, 2021].
• ПечатьПИР ^[16] — это быстрая реализация CPIR [ACLS 2018].
• Попкорн ^[17] — это реализация PIR, адаптированная для средств массовой информации [GCMSAW 2016].
• Перси++ ^[11] включает реализации [AG 2007, DGH 2012, CGKS 1998, Goldberg 2007, HOG 2011, LG 2015].
• РЕЙД-ПИР ^[18] является реализацией схемы ITPIR [DHS 2014].
• XPIR ^[19] представляет собой быструю реализацию CPIR [ABFK 2014].
• вверхPIR ^[20] является реализацией ITPIR [Cappos 2013].

• k-анонимность
• Локально декодируемый код

• Веб-ссылки Хельгера Липмаа о забывчивом переводе и PIR
• Веб-сайт Уильяма Гасарча, посвященный PIR, включая обзорные статьи
• Сайт Рафаила Островского, где представлены статьи и обзоры ПИР.