Puncte:4

Partajare secretă, astfel încât toți acționarii să obțină acces la secret (un acționar nu poate fugi doar cu acțiunile)

drapel in

Să zicem, folosind ceva ca schema polinomială a lui Shamir, ai împărțit un secret $x$ printre $n$ oameni (fiecare a primit o „parte” din secret) astfel încât aveți nevoie de toate $n$ acțiuni pentru a recupera secretul. Cum se poate asigura că toate $n$ participanții vor avea acces la secret. De exemplu. cu doi oameni, Bob și Alice, Alice îi putea spune lui Bob partea ei, iar Bob putea să ia asta și să deschidă secretul fără să-i dezvăluie partea lui. Cum vă asigurați că toți acționarii vor putea deschide secretul, sau niciunul?

De asemenea, aș dori un răspuns la această problemă similară: Alice și Bob au fiecare secretul lor $a$ și $b$ respectiv. Cum se pot asigura că amândoi au acces la secretul celuilalt? Spre deosebire de ex. Alice îi spune lui Bob secretul ei, iar Bob pur și simplu fuge fără să-i spună Alicei secretul său. Dacă este necesar, ai voie să insisti că secretele au anumite proprietăți. (de exemplu. $a$ este soluția unei ecuații $f(a)\equiv 0$).

Pentru toate aceste probleme, aș dori o soluție care să nu implice terți. Este posibil?

Puncte:3
drapel cn

Sunteți în căutarea unei primitive de schimb echitabil (reconstituirea corectă a acțiunilor este o variantă puțin mai complexă, mă voi concentra pe primul în acest răspuns). Au fost multe cercetări pe acest subiect. Concluzia este:

  • În modelul standard de calcul fără majoritate onesta și fără vreo parte terță de încredere, schimbul echitabil este imposibil (rezultat seminal Aici, niște lucrări mai recente Aici).
  • Cu toate acestea, cu o formă foarte limitată de TTP (care nu vede nimic și este folosit doar atunci când lucrurile merg prost), devine fezabil. Cuvântul cheie este schimb echitabil optimist (Aici sau Aici).
  • Cu o majoritate strictă onestă a părților, este posibilă calcularea generală corectă și sigură.

Apoi, există și alte soluții ingenioase, care se abat de la modelul standard de calcul:

  • Puteți utiliza ipoteze de sincronizare și primitive, cum ar fi puzzle-uri cu blocare în timp sau angajamente cronometrate. Permiteți-mi să vă dau un exemplu simplificat: să presupunem că Alice și Bob au secretele respective $a$ și $b$. Mai întâi schimbă angajamente $c_a$ și $c_b$ la intrările lor. Atunci o vor face slăbește treptat deschiderea angajamentului - gândiți-vă de ex. eliberând bit cu bit informațiile de deschidere, în runde. Apoi, obțineți următoarea garanție, care nu este tocmai corectitudine, dar poate fi suficient de bună: să presupunem, de exemplu, că Bob avortează devreme și reușește să se recupereze $a$ prin forțarea în timp a părții lipsă a deschiderii $T$. Atunci Alice are întotdeauna aproape la fel de multe informații ca și Bob, până la un singur bit (din moment ce părțile schimbă un singur bit pe rundă). Prin urmare, ea se poate recupera singură $b$ cel mult în timp 2 mil dolari.

Construcțiile mai implicate încearcă să se asigure că „timpul de forță brută” este în mod necesar secvenţial, astfel încât, chiar dacă trișorul are o cantitate mare de putere de calcul, ele nu o pot accelera semnificativ. Vezi mai multe detalii Aici - sunt multe urmăriri.

Un dezavantaj al acestei soluții este că nu există o limită superioară a puterii pe care părțile cinstite ar trebui să o investească: dacă adversarul este dispus să petreacă un timp foarte mare $T$, atunci părțile cinstite trebuie să petreacă de două ori mai mult timp decât atât. Acest lucru poate fi oarecum reparat, dacă sunteți dispus să vă mulțumiți corectitudine parțială, unde ești de acord cu o mică probabilitate $1/n$, Unde $n$ este polinom, că adversarul încalcă corectitudinea. În această setare, am apărut în această hârtie că puteți obține un protocol de schimb (parțial) echitabil, cu o limită clară a calculului maxim pe care participanții ar putea avea de investit (chiar și atunci când cineva trișează).

  • Sau puteți înlocui TTP-ul folosind un blockchain ca ipoteză de încredere. Acest lucru, într-un anumit sens, descentralizează TTP. Unele propuneri în acest sens pot fi de fapt implementate în practică pe blockchain-ul Ethereum. Un punct de plecare pentru această linie de lucru este această hârtie.

  • Variantele celor de mai sus folosesc stimulente monetare, cu contracte inteligente care vă garantează fie că jucați cinstit și corect, fie că pierdeți bani (Aici este o mostră din această linie de lucru, deși nu cred că abordează în mod explicit corectitudinea).

Introducerea în lucrarea mea Aici oferă discuții și indicații mai extinse, pe care le puteți găsi de interes.

drapel in
Sclipitor! Întrebare rapidă totuși: pentru schema dezvăluire bit-cu-bit, este aceasta încă vulnerabilă la faptul că Alice trimite doar biți falși tot timpul și fugi cu fragmentele sincere ale lui Bob la sfârșit?
Geoffroy Couteau avatar
drapel cn
Este, desigur; cele de mai sus funcționează în modelul semi-onest. Dar puteți îmbunătăți acest lucru, de ex. cu dovezi ZK că deschiderile parțiale sunt deschideri parțiale valide, sau folosind orice altă metodă standard pentru a obține securitate rău intenționată dintr-un protocol semi-onest. Ideea este că corectitudinea este ceea ce este greu de atins, dar aplicarea unui comportament onest (pe lângă avorturi) este o „criptare standard”

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.