- •Конфиденциальные вычисления
- •Водные замечания по проблематике конфиденциальных вычислений
- •Описание используемых примитивов, схем и протоколов
- •Общие определения
- •Проверяемая схема разделения секрета
- •Широковещательный примитив (Br-протокол)
- •Протокол bb
- •Протокол византийского соглашения (ba-протокол)
- •Обобщенные модели для сети синхронно и асинхронно взаимодействующих процессоров
- •Вводные замечания
- •Обобщенные модели сбоев и противника
- •Получестные модели
- •Злонамеренные модели Действия процессоров в злонамеренной модели
- •Вычисления в идеальной модели
- •Вычисления в идеальной модели
- •Вычисления в реальной модели
- •Модель взаимодействия
- •Синхронная модель вычислений Общее описание модели
- •Идеальный и реальный сценарии
- •Асинхронная модель вычислений Общее описание модели
- •Асинхронные идеальный и реальный сценарии
- •Безопасность асинхронных вычислений
- •Конфиденциальное вычисление функции
- •Проверяемые схемы разделения секрета как конфиденциальное вычисление функции
- •Описание проверяемой схемы разделения секрета
- •Протокол РзПр
- •Протокол ВсПр
- •Доказательство безопасности схемы проверяемого разделения секрета
- •Описание работы моделирующего устройства m
- •Синхронные конфиденциальные вычисления
- •Примитив «Забывающий обмен»
- •Протокол отпчм
- •Двухсторонние вычисления Безопасные протоколы для получестной модели
- •Редукция к от41
- •Протокол вычислений на арифметической схеме над gf(2)
- •Редукция к мв
- •Основной результат для злонамеренной модели
- •Многосторонние протоколы Общая идея
- •Получестная модель
- •Конфиденциальное вычисление
- •Многосторонний протокол схемного вычисления
- •Редукция к кВm
- •Основной результат для злонамеренной модели
- •Асинхронные конфиденциальные вычисления
- •Вводные замечания
- •Примитив «Соглашение об аккумулируемом множестве» (соам-субпротокол)
- •Протокол соам
- •Алгоритм звз
- •Процедура скоп
- •Асинхронная схема проверяемого разделения секрета Общие определения
- •Протокол аРзПр
- •Протокол аВсПр
- •Доказательство безопасности схемы апрс
- •Асинхронная схема глобального проверяемого разделения секрета
- •Протокол агРз
- •Протокол агВс
- •Субпротокол агпрс
- •Вычисления на мультипликативном вентиле Вычисления при fs-сбоях
- •Вычисления на линейном вентиле
- •Вычисления на мультипликативном вентиле
- •Протокол мат (XI,a)
- •Субпротокол mul(ai,bi)
- •Основной протокол
- •Протокол авф
- •Вычисления при By-сбоях
- •Процедура соим
- •Протокол соим(Zi)
- •Протокол ByMul
Редукция к от41
Вход.Процессорiсодержит (ai,bi){0,1}{0,1},i=1,2.
1. Первый процессор равномерно выбираетc1R{0,1}.
2. Оба процессора вызывают субпротоколOT41, где первый процессор играет роль отправителяS, а второй процессор играет роль получателяR.
Тогда вход для отправителя – это 4-элементный кортеж (c1+a1b1,c1+a1(b1+1),c1+(a1+1)b1,c1+(a1+1)(b1+1)), а вход получателя - 1+2a2+b2{1,2,3,4}.
Выход.Первый процессор выдаетc1, в то время как второй процессор выдает результат, полученный при вызовеOT41.
В столбцах таблицы 3.1 приведены значения выходов процессора 2 как функции от значений его собственных входов и входы и выходы процессора 1 (то есть, a1,b1,c1). Значения, с которыми процессор 2 инициализирует субпротоколОТ(то есть, 1+2a2+b2) показаны во второй строке и значения выходов (иOT, и всего протокола) показаны в третьей строке. Отметим, что в каждом случае, выход процессора 2 равняетсяc1+(a1+a2)(b1+b2).
Таблица 3.1
|
Значения (a2,b2) |
(0,0) |
(0,1) |
(1,0) |
(1,1) |
|
ВыходОТ
|
1 |
2 |
3 |
4 |
|
Значения выхода |
c1+a1b1 |
c1+a1(b1+1) |
c1+(a1+1) b1 |
c1+(a1+1) (b1+1) |
Вначале отметим, что вышеупомянутая редукция корректна, так как выход процессора 2 равняется c1+(a1+a2)(b1+b2). Это следует из анализа вышеприведенной таблицы истинности, которая описывает значения выхода процессора 2, как функции от ее собственных входовa1,b1,c1. Необходимо подчеркнуть, что выходная пара (c1,c2) равномерно распределена среди всех пар, для которыхc1+c2=(a1+a2) (b1+b2).
Таким образом, каждый из локальных выходов (т.e., либо процессора 1, либо процессора 2) равномерно распределен, хотя оба локальных выхода зависимы друг от друга (как в уравнении (3.2). Таким образом, легко увидеть, что редукция конфиденциально вычислима. Формальные аргументы приведены в [Go2].
Протокол вычислений на арифметической схеме над gf(2)
Теперь мы покажем, что процесс вычисления любой детерминированной вычислимой функции, которая вычисляется посредством арифметической схемы над GF(2), конфиденциально сводим к вычислению функции в соответствии с уравнениями (3.1) - (3.2). Напомним, что последняя вычислимая функция соответствует частному вычислению на мультипликативных вентилях для входов, общедоступных обоим процессорам. Таким образом, можно констатировать, что эта вычислимая функция может рассматриваться как эмулирование мультипликативного вентиля, как это описано выше. В частности разделение битового значенияvмежду обоими процессорами означает равномерно выбранную пару битов (v1,v2) так, чтоv=v1+v2, где первый процессор содержитv1, второй -v2. Наша цель заключается в разделении, через частные вычисления, долей входных линий схемы на доли всех линий схемы так, чтобы, в конце концов, мы получили бы доли выходных линий схемы.
В начале мы рассмотрим нумерацию всех линий схемы. Входные линии схемы (n) для каждого процессора будут пронумерованы 1,2,...,2nтак, что дляj=1,...,nj-тый вход процессора iсоответствует ((i-1)n+j)-той линии. Линии будут пронумерованы так, чтобы выходные линии каждого вентиля имеют большую нумерацию, чем его входные линии. Для простоты предположим, что каждый процессор получаетnвыходных битов, и что выходные биты второго процессора соответствуют последнимnлиниям схемы.
Ниже приводится алгоритм сведения любой детерминированной вычислимой функции к вычислениям на мультипликативном вентиле.