- •Конфиденциальные вычисления
- •Водные замечания по проблематике конфиденциальных вычислений
- •Описание используемых примитивов, схем и протоколов
- •Общие определения
- •Проверяемая схема разделения секрета
- •Широковещательный примитив (Br-протокол)
- •Протокол bb
- •Протокол византийского соглашения (ba-протокол)
- •Обобщенные модели для сети синхронно и асинхронно взаимодействующих процессоров
- •Вводные замечания
- •Обобщенные модели сбоев и противника
- •Получестные модели
- •Злонамеренные модели Действия процессоров в злонамеренной модели
- •Вычисления в идеальной модели
- •Вычисления в идеальной модели
- •Вычисления в реальной модели
- •Модель взаимодействия
- •Синхронная модель вычислений Общее описание модели
- •Идеальный и реальный сценарии
- •Асинхронная модель вычислений Общее описание модели
- •Асинхронные идеальный и реальный сценарии
- •Безопасность асинхронных вычислений
- •Конфиденциальное вычисление функции
- •Проверяемые схемы разделения секрета как конфиденциальное вычисление функции
- •Описание проверяемой схемы разделения секрета
- •Протокол РзПр
- •Протокол ВсПр
- •Доказательство безопасности схемы проверяемого разделения секрета
- •Описание работы моделирующего устройства m
- •Синхронные конфиденциальные вычисления
- •Примитив «Забывающий обмен»
- •Протокол отпчм
- •Двухсторонние вычисления Безопасные протоколы для получестной модели
- •Редукция к от41
- •Протокол вычислений на арифметической схеме над gf(2)
- •Редукция к мв
- •Основной результат для злонамеренной модели
- •Многосторонние протоколы Общая идея
- •Получестная модель
- •Конфиденциальное вычисление
- •Многосторонний протокол схемного вычисления
- •Редукция к кВm
- •Основной результат для злонамеренной модели
- •Асинхронные конфиденциальные вычисления
- •Вводные замечания
- •Примитив «Соглашение об аккумулируемом множестве» (соам-субпротокол)
- •Протокол соам
- •Алгоритм звз
- •Процедура скоп
- •Асинхронная схема проверяемого разделения секрета Общие определения
- •Протокол аРзПр
- •Протокол аВсПр
- •Доказательство безопасности схемы апрс
- •Асинхронная схема глобального проверяемого разделения секрета
- •Протокол агРз
- •Протокол агВс
- •Субпротокол агпрс
- •Вычисления на мультипликативном вентиле Вычисления при fs-сбоях
- •Вычисления на линейном вентиле
- •Вычисления на мультипликативном вентиле
- •Протокол мат (XI,a)
- •Субпротокол mul(ai,bi)
- •Основной протокол
- •Протокол авф
- •Вычисления при By-сбоях
- •Процедура соим
- •Протокол соим(Zi)
- •Протокол ByMul
Получестная модель
Построение многосторонних протоколов (безопасных против получестного поведения) конфиденциального вычисления для любой данной вычислимой функции от нескольких аргументов основывается на соответствующем протоколе для случая с двумя процессорами. Для простоты, зафиксируем число процессоров - m. (В общем случае для предлагаемых конструкций значениеmможет быть как функция полинома).
Рассмотрим схему с вычислениями над GF(2) для оценки значенияm-арной вычислимой функцииf. Сначала каждый из процессоров объединяет свои входные биты со всеми другими процессорами так, чтобы сумма всех долей равнялась некоторому входному биту.
Следуя от входных линий к выходным линиям, мы выполняем конфиденциальное вычисление доли на каждой линии схемы так, чтобы сумма долей равнялась бы корректному значению. Перед нами стоит только одна проблема. При вычислениях на мультипликативном вентиле, мы имеем процессор i, имеющий битыaiиbiи нам необходимо выполнить конфиденциальное вычисление так, чтобы этот процессор закончил работу со случайным битомciи выполнялось бы:.
Более точно, нас интересует конфиденциальное вычисление следующих рандомизированной вычислимой m-арной функции
((a1,b1),...,(am,bm))(c1,...,cm)R*{0,1}m, (3.3)
и
. (3.4)
Таким образом, необходимо конфиденциально вычислить посредством m-стороннего протокола вышеупомянутую вычислимую функцию. Это делается посредством конфиденциального сведения (для независимогоm) вычисления уравнений (3.3)-(3.4) к вычислению тех же самых функциональных зависимостей для случаяm=2, которые, в свою очередь, соответствуют уравнениям (3.1)-(3.2).
Конфиденциальное вычисление
Необходимо отметить, что арифметика над GF(2) реализует также, что –1=+1.
Имеют место следующие соотношения:
=+= =(m-2)+
Из этого соотношения можно увидеть, что каждый процессор может сам вычислить элемент (m-2)aibi, в то время как каждые два процессора из двухэлементного подмножества {i,j} могут конфиденциально вычислить доли по элементам (ai+aj)(bi+bj) (в соответствии с теоремой 3.2). Отсюда следует алгоритм сведения вычисления на основании (3.3) и (3.4)m-арной функции к вычислению на основании (3.1) и (3.2) функции для двух аргументов.
Редукция к КВm=2
Вход.Процессорiсодержит (ai,bi){0,1}{0,1},i=1,...,m.
1. Редукция. Каждая пара процессоров (i,j), гдеi<j, вызывает 2-арную функцию (см. (3.1)-(3.2)). Процессорiобеспечивает входную пару (ai,bi), в то время как процессорjобеспечивает - (aj,bj). Кроме того, определим ответ оракула процессору iкакcj{i,j}.
2. Процессор iустанавливаетci=(m-2)aibi+.
3. Процессор iвыдаетci.
Вышеприведенное сведение является корректным, так как выходы всех процессоров складываются в соответствии с алгоритмом. Конфиденциальность сведения определяется следующим предложением.
Предложение 3.1.Алгоритм «Редукция к КВm=2» конфиденциально сводит вычисления на основании (3.3) и (3.4)m-арной функции к вычислению на основании (3.1) и (3.2) функции для двух аргументов.
В работе [Go2] приводятся формальные аргументы для доказательства корректности и конфиденциальности такой редукции. А следующая теорема, устанавливает главный результат для конфиденциального вычисления любой вычислимой функции для случая многостороннего протокола взаимодействия.
Теорема 3.4.Предположим, что односторонние перестановки с секретом существуют. Тогда любая вычислимаяm-арная функция для получестной модели конфиденциально вычислима.