Puncte:4

Există definiții diferite ale calculului securizat în două părți?

drapel mm

În timp ce citeam tutoriale despre calculul în două părți, am întâlnit două (cel puțin formal) definiții diferite ale securității (cu adversari semi-cinstiți). Ceea ce vreau să știu este dacă aceste definiții sunt de fapt diferite sau pot fi dovedite a fi echivalente. Bănuiesc că sunt diferite, dar s-ar putea să-mi lipsească ceva, având în vedere că nu am citit nicăieri despre definiții diferite.

În Lindell (2016), calculul securizat în două părți este definit astfel: Pentru fiecare parte, distribuția comună a simulării și rezultatul ideal trebuie să fie imposibil de distins din punct de vedere computațional de distribuția comună a vederii adverse și a rezultatului calculat. Formal, pentru fiecare $i \in \{1, 2\}$, trebuie să existe p.p.t. algoritmi $S_i$ astfel încât $$ {\lbrace (S_i(1^n, x, f_1(x, y)), f(x, y)) \rbace}_{x, y, n} \stackrel{c}{\equiv} {\lbrace (\operatorname{vizualizare}^\pi_i(x, y, n), \operatorname{ieșire}^\pi_i(x, y, n)) \rbace}_{x, y, n} \,\text{.} $$ Această definiție are sens pentru mine, deoarece autorul definește indistinguibilitatea computațională peste ansambluri de probabilitate indexate atât de parametrul de securitate și intrarea:

Două ansambluri de probabilitate $X = \{X(a, n)\}_{a \in {\{0, 1\}}^*; n \in \mathbb{N}}$ și $Y = \{Y(a, n)\}_{a \in {\{0, 1\}}^*; n \in \mathbb{N}}$ se spune că nu se pot distinge din punct de vedere computațional, notate cu $X \stackrel{c}{\equiv} Y$, dacă pentru fiecare algoritm de timp polinomial neuniform $D$ există o funcție neglijabilă $\mu(\cdot)$ astfel încât pentru fiecare $a \în \{0, 1\}^*$ si fiecare $n \în \mathbb{N}$, $$ \lvert \Pr[D(X(a, n)) = 1] - \Pr[D(Y(a, n)) = 1] \rvert \leq \mu(n) \,\text{.} $$

Aceasta înseamnă că trebuie să existe o singură funcție neglijabilă $\mu$ pentru toate intrările care guvernează securitatea.

În contrast, Evans et al. (2018) definiți indistinguibilitatea computațională pentru ansambluri de probabilitate indexate doar de parametrul de securitate. Am văzut, de asemenea, definiții ale indistingibilii computaționale ca aceasta în altă parte. Apoi, atunci când definesc securitatea, ei solicită ca distribuțiile comune să nu se distingă din punct de vedere computațional pentru toate intrările. Cel puțin formal, acest lucru îmi sugerează că aici, funcția neglijabilă poate depinde de intrare.

Răspunsurile la următoarele întrebări ar fi foarte apreciate:

  1. Pierd ceva sau înțeleg greșit definițiile? Pot definițiile arătate a fi echivalente exploatând neuniformitatea adversarului?
  2. Dacă nu, este cazul că, în această din urmă definiție, nu este necesar să existe o singură funcție neglijabilă care „funcționează” pentru toate intrările? Dacă nu mă înșel, asta ar implica că cele două definiții sunt de fapt diferite?
  3. În cazul în care sunt diferite: care dintre definiții ar trebui preferată?
Geoffroy Couteau avatar
drapel cn
Pentru fiecare adversar politimp A, putem limita dimensiunea lui $(x,y)$ la $p(n)$ pentru un polinom fix $p$ (mai mare decât timpul de rulare al lui A) în definiție, deoarece A nu poate citi mai mult de $ p(n)$ bucăți din banda lor oricum. Apoi, odată ce avem un număr finit de $x$ și $y$, ce este greșit în a extrage o singură funcție universală neglijabilă luând maximul tuturor funcțiilor pe care le obținem pentru fiecare pereche $(x,y)$?
Distinguishable Llama avatar
drapel mm
@GeoffroyCouteau Poate am înțeles greșit comentariul tău, dar nu văd cum să limitez dimensiunea intrării; parametrul de securitate $n$ nu este fixat. În a doua definiție, pentru toate intrările există o funcție neglijabilă $\mu$, astfel încât securitatea este valabilă pentru toți $n$. Deci se poate ca, de exemplu, pentru orice polinom $q$ $\mu(n)
Geoffroy Couteau avatar
drapel cn
Ok, asta are sens. Atunci va trebui să-mi încolesc capul, se pare... Oarecum plictisitor :)
Distinguishable Llama avatar
drapel mm
@GeoffroyCouteau Da, este plictisitor. Multumesc oricum pentru interventie :)
Yehuda Lindell avatar
drapel us
@GeoffroyCouteau Vezi răspunsul meu. De fapt, nu cred că este echivalent.
Geoffroy Couteau avatar
drapel cn
Da, asta este de fapt ceea ce credeam acum, după ce m-am gândit o clipă. Multumesc pentru raspunsul clarificator!
Puncte:4
drapel us

Definirea indistincibilității este foarte dificilă.De fapt, cred că definiția din cartea lui Evans et al. este prea slab, dar poate că Mike Rosulek va cântări. Dacă definiți securitatea spunând că pentru fiecare intrare, distribuțiile lui REAL/IDEAL nu se pot distinge, atunci ceea ce spuneți de fapt este după cum urmează: pentru fiecare intrare și fiecare element distinctiv există o funcţie neglijabilă $\mu$ astfel încât distinctorul să reușească cel mult cu probabilitate $\mu(n)$. Aceasta înseamnă că este posibil să aveți nevoie de o funcție neglijabilă diferită pentru fiecare intrare. Pentru a fi mai concret, dacă deschidem acest lucru în continuare, ceea ce spune această definiție este că pentru fiecare intrare, fiecare diferență $D$ și fiecare polinom $p$ există o valoare $n_0$ astfel încât pentru fiecare $n>n_0$ deosebitorul reușește cu probabilitate mai mică decât $1/p(n)$. Aceasta înseamnă că $n$ poate depinde de intrare și în special nu există $n_0$ astfel încât dincolo $n_0$ există indistinguire pentru toate intrările. În mod diferit, ar trebui potențial să luați un parametru de securitate diferit pentru diferite intrări. Acesta nu este ceva pe care ați dori să faceți (și nici măcar nu ar fi posibil, deoarece cum sunteți de acord cu parametrul de securitate fără a cunoaște intrarea și cum determinați care ar trebui să fie acel parametru de securitate). În schimb, în ​​definiția în care intrarea face parte din ansamblu, există una $n_0$ pentru toate intrările. Întrebarea cum determinăm asta $n_0$ este simplu în practică - este ceea ce avem nevoie pentru ca toate primitivele pe care le folosim să fie în siguranță. Inutil să spun că Evans et al. nu fac nimic diferit în construcțiile lor. Totuși, după înțelesul meu, definiția este greșită.

[Pe o notă laterală, există o scurtă lucrare a lui Mihir Bellare numită O notă despre funcțiile neglijabile care vă permite să inversați cuantificatorii pe funcția adversar și neglijabilă. Cu toate acestea, din câte știu, acest lucru nu funcționează pentru intrări.]

Distinguishable Llama avatar
drapel mm
Răspunde la întrebarea mea :) Mulțumesc, de asemenea, sugerând lucrarea despre funcțiile neglijabile.
drapel us
Această evaluare mi se pare corectă. Voi repara definiția în următoarea noastră actualizare a erratei. Mulțumim tuturor celor de aici pentru raportul colectiv de eroare!
Distinguishable Llama avatar
drapel mm
Doar o notă pe lucrarea lui Bellare: cred că argumentul său pentru inversarea cuantificatorilor ar putea funcționa și pentru intrări, dar nu sunt complet sigur (argumentul este ceva mai complicat pentru adversarii neuniformi, dar ar trebui cel puțin să funcționeze pentru adversari uniformi). Cele două definiții menționate aici sunt încă diferite, deoarece Bellare folosește o noțiune diferită de o singură funcție neglijabilă $\mu$: El cere doar ca expresia să fie **eventual** mai mică decât $\mu$, ceea ce permite totuși $n_0 $ pentru a depinde de intrare.
Yehuda Lindell avatar
drapel us
În acest caz, nu ar fi suficient pentru o definiție bună a securității aici (având $n_0$ depind de intrare). Cu toate acestea, există diferențe mari între intrare și adversar, așa că aș fi atent să verific asta.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.