Studiam un protocol care folosea un OT și dintr-o dată îmi dau seama că nu reușesc să-mi imaginez cum un protocol care folosea un OT poate fi securizat rău intenționat.
Să presupunem că avem un protocol P care utilizează un OT ca subrotocol. Să presupunem că se folosește OT $N$ ori. Fiecare OT are intrare $x_{0,i}$, $x_{1,i}$, Unde $i$ denotă $i-$a ista a VT, de la 1 la $N$. Este rezonabil să presupunem că, pentru fiecare situație, receptorul alege bit $0$ sau $1$ în funcție de intrarea sa (acesta este de exemplu cazul unui protocol Yao, unde pentru fiecare poartă receptorul cere 0 dacă intrarea sa este 0 sau 1 în caz contrar).
Acum să presupunem că expeditorul din OT este rău intenționat și decide, a priori, să se schimbe $x_{0,N}$ cu altceva. Ar putea fi o valoare aleatorie, valoarea $x_{1,N}$ sau orice altceva. Avem trei posibilități
- Avortarea protocolului. Atunci expeditorul știe că în timpul ultimului OT receptorul a cerut 0.
- Protocolul nu se anulează și intrarea este într-adevăr corectă. Expeditorul știe acum că în timpul ultimului OT, destinatarul a cerut 1.
- Protocolul nu se întrerupe, intrarea este greșită și părțile sunt capabile să o detecteze. Expeditorul știe acum că în timpul ultimului OT receptorul a cerut 0.
- Protocolul nu se întrerupe, intrarea este greșită, dar părțile nu sunt capabile să o detecteze. Apoi expeditorul poate face în mod arbitrar ca protocolul să scoată valori diferite față de cea prescrisă.
Dacă comportamentul este unul dintre primele trei, expeditorul poate schimba fiecare OT în acest fel și a făcut-o $\frac{1}{2^N}$ probabilitatea de a învăța toată cererea fără a merge detectat, că din moment ce $N$ este un parametri fix nu este de neglijat (cu atât mai mult dacă $N$ este mic). În celelalte cazuri, receptorul învață că expeditorul este rău intenționat, dar acest lucru nu îl împiedică pe receptor să învețe ceva.
Dacă comportamentul este ultimul, nu reușesc să înțeleg cum un astfel de protocol ar putea fi considerat „securizat”, deoarece este foarte ușor pentru un atacator să efectueze un atac „DoS”, în care fiecare ieșire este lipsită de sens.
În cazul protocolului Yao, să presupunem că expeditorul setează ultimul OT $X_{0,N}, X_{0,N}$. Cum putem preveni asta? Dacă protocolul „merge prost”, atunci expeditorul știe că ultimul bit al lui Bob este 0. Este uriaș, nu?
Și nu iau în considerare cazul simetric: ce se întâmplă dacă receptorul în loc să întrebe conform regulii, întreabă la întâmplare? Din câte înțeleg, acest comportament nu este luat în considerare în timpul probei de securitate, greșesc?
Am pierdut ceva? Sunt aceste considerații în afara domeniului de aplicare și permitem acest tip de comportament? Poate presupunem că expeditorul stabilește întotdeauna $x_0$ și $x_1$ în mod corect?