Score:2

พารามิเตอร์ความปลอดภัยทางสถิติ -> ข้อมูลปลอดภัยในทางทฤษฎี

ธง ua

หากโปรโตคอลการเข้ารหัสมีพารามิเตอร์ความปลอดภัยทางคอมพิวเตอร์และพารามิเตอร์ความปลอดภัยทางสถิติ หมายความว่าโปรโตคอลนี้มีความปลอดภัยทางคอมพิวเตอร์เท่านั้น แทนที่จะเป็นข้อมูลทางทฤษฎีที่ปลอดภัยหรือไม่

ฉันสงสัยเพราะคำตอบนี้บอกว่าการแยกแยะไม่ออกทางสถิติคือเมื่อฝ่ายตรงข้ามไม่มีขอบเขตทางการคำนวณ: https://crypto.stackexchange.com/a/11790 . นั่นจะหมายความว่าการมีพารามิเตอร์ความปลอดภัยทางสถิติหมายความว่าโปรโตคอลมีความปลอดภัยทางข้อมูลตามทฤษฎี เป็นความจริงหรือไม่?

ขอขอบคุณ!

และนอกเหนือจากนั้น ฉันจะทราบได้อย่างไรว่าโปรโตคอลมีความปลอดภัยทางทฤษฎีของข้อมูลหรือไม่ หากไม่ได้ระบุไว้อย่างชัดเจน

Score:6
ธง ru

โปรโตคอล (และโดยทั่วไปคือการสร้างการเข้ารหัส) ตอบสนอง ความปลอดภัยทางทฤษฎีข้อมูล หากไม่มีศัตรูใดสามารถทำลายระบบได้ ไม่ว่าศัตรูจะทรงพลังเพียงใด คำว่า "ทฤษฎีสารสนเทศ" มีรากฐานมาจากแนวคิดที่ว่าการรั่วไหลจากการโต้ตอบนั้นสามารถศึกษาได้จากมุมมองของ ทฤษฎีสารสนเทศและสามารถสรุปได้โดยใช้เครื่องมือเหล่านี้ ซึ่งโดยทั่วไปจะเกี่ยวข้องกับการผสมผสานอย่างง่ายระหว่างสถิติและทฤษฎีความน่าจะเป็นว่าการโต้ตอบกับระบบรั่วไหลจริงๆ แทบไม่มีอะไรเลย. ตอนนี้ การรักษาความปลอดภัยที่สมบูรณ์แบบและเชิงสถิติเป็นรูปแบบสองรูปแบบของการรักษาความปลอดภัยทางทฤษฎีข้อมูล: ในอดีตมี ศูนย์ รั่วไหล แต่ในระยะหลังมีก เล็กน้อย การรั่วไหลที่สามารถทำให้เล็กลงและเล็กลงได้โดยการเลือกอย่างเหมาะสม พารามิเตอร์ความปลอดภัยทางสถิติ.

ตอนนี้ โปรโตคอลหรืออีกครั้ง โดยทั่วไป โครงสร้างการเข้ารหัสสามารถตอบสนองได้ ความปลอดภัยในการคำนวณซึ่งหมายความว่าจะปลอดภัยตราบเท่าที่ฝ่ายตรงข้ามมีขอบเขตของทรัพยากรการคำนวณ กรณีนี้มักเกิดขึ้นเมื่อใช้เครื่องมือต่างๆ เช่น การเข้ารหัส (โดยปกติจะใช้กับโฮโมมอร์ฟิซึ่มบางประเภท) ซึ่งมีปัญหาเกี่ยวกับการคำนวณที่เกี่ยวข้องซึ่งฝ่ายตรงข้ามไม่ควรสามารถแก้ไขได้เพื่อรับประกันความปลอดภัยของระบบ วิธีการรักษาความปลอดภัยของเครื่องมือเหล่านี้เป็นแบบแผนคือ พารามิเตอร์ความปลอดภัยในการคำนวณซึ่งเมื่อเติบโตขึ้น มันทำให้ปัญหาการคำนวณพื้นฐานยากต่อการแก้ไข ดังนั้นจึงให้ความมั่นใจมากขึ้น (แต่โดยทั่วไปยังทำให้พารามิเตอร์แย่ลงด้วย)

แม้ว่าผู้วิจัยอาจใช้ภาษาค่อนข้างหละหลวม แต่สถานการณ์โดยทั่วไปคือคุณจะพบว่าประเภทของความปลอดภัยระบุไว้อย่างชัดเจน เช่น ...protocol X จำลองการทำงานของ Y พร้อมความปลอดภัยที่สมบูรณ์แบบ/ความปลอดภัยทางสถิติ/ความปลอดภัยในการคำนวณ... อย่างไรก็ตาม บางครั้งก็สันนิษฐานว่าทราบจากบริบท หรือจุดเน้นในแง่ของความชัดเจนอยู่ที่แง่มุมอื่นๆ ของโครงสร้าง ดังนั้นผู้เขียนจะไม่ระบุเรื่องนี้อย่างชัดเจน ตามกฎทั่วไป หากมีโครงสร้างใดๆ ที่สันนิษฐานว่าเป็นศัตรูที่มีขอบเขต ซึ่งโดยทั่วไปรวมถึงการเข้ารหัส ลายเซ็น การผูกมัด และอื่น ๆ ดังนั้นการรักษาความปลอดภัยจะต้องใช้การคำนวณอย่างแน่นอน ควรกล่าวถึงด้วยว่าเป็นธรรมเนียมที่ค่อนข้างจะไม่มีการระบุพารามิเตอร์ความปลอดภัยในการคำนวณไว้อย่างชัดเจน

นอกจากนี้ และสิ่งนี้เกี่ยวข้องโดยตรงกับคำถามเริ่มต้นของคุณ สิ่งสำคัญคือต้องคำนึงว่าโปรโตคอลสามารถมีความปลอดภัยทางคอมพิวเตอร์แต่ยังมีพารามิเตอร์ความปลอดภัยทางสถิติด้วย กรณีนี้อาจเกิดขึ้นได้ เช่น หากโปรโตคอลใช้เครื่องมือการเข้ารหัส เช่น การเข้ารหัส และอื่นๆ แต่บางส่วนอาศัยการตรวจสอบทางสถิติที่ผู้ไม่หวังดีสามารถโกงด้วยความน่าจะเป็นเล็กน้อย เป็นต้น เนื่องจากยังคงเป็นความจริงที่โปรโตคอลจะใช้งานไม่ได้หากฝ่ายตรงข้ามมีทรัพยากรที่ไม่จำกัด ดังนั้นข้อสรุปของคุณจึงถูกต้อง: ประเภทของความปลอดภัยจะเป็นเพียง การคำนวณ.

HelloWorld123 avatar
ua flag
ขอบคุณ คำตอบนั้นมีประโยชน์มาก! ฉันจะสันนิษฐานว่าโปรโตคอลต่อไปนี้มีความปลอดภัยทางทฤษฎีเนื่องจากระบุไว้ในภาคผนวก A ว่า "ปริมาณต่อไปนี้เล็กน้อย (ใน Î »)" ใช่ไหม http://web.eecs.umich.edu/~mosharaf/Readings/SecureML.pdf
Daniel avatar
ru flag
@HelloWorld123 ใช่ SecureML มีความปลอดภัยทางคอมพิวเตอร์เพราะใช้ Oblivious Transfer
Score:3
ธง us

ในโปรโตคอลแบบโต้ตอบ (เช่น MPC) คุณมักจะเห็นการรวมกันของพารามิเตอร์ความปลอดภัยเชิงคำนวณและเชิงสถิติที่ใช้ร่วมกัน

  • พารามิเตอร์ความปลอดภัยในการคำนวณ: ปรับความแข็งของการโจมตีบางอย่างที่ขึ้นอยู่กับเวลาทำงานของฝ่ายตรงข้าม ตัวอย่างเช่น โปรโตคอลใช้ฟังก์ชันสุ่มเทียม และการทำลายฟังก์ชันสุ่มเทียมนั้นจะทำให้โปรโตคอลเสียหาย ขนาดคีย์ของฟังก์ชันสุ่มเทียมถูกควบคุมโดยพารามิเตอร์ความปลอดภัยในการคำนวณของโปรโตคอล เมื่อคุณดูความได้เปรียบอย่างเป็นทางการของฝ่ายตรงข้ามอย่างใกล้ชิด และคุณเห็นเงื่อนไขของรูปแบบ $T/2^\กัปปะ$ หรือ $q^2/2^\กัปปะ$ ที่ไหน $T$ หรือ $คิว$ เกี่ยวข้องกับความพยายามในการคำนวณของฝ่ายตรงข้ามแล้ว $\กัปปะ$ เป็นพารามิเตอร์ความปลอดภัยในการคำนวณ

  • พารามิเตอร์ความปลอดภัยทางสถิติ: ปรับความแข็งของการโจมตีบางอย่างโดยที่เวลาทำงานของฝ่ายตรงข้ามไม่เกี่ยวข้อง โดยปกติแล้วเป็นเพราะมีเหตุการณ์บางอย่างเกิดขึ้นเพียงครั้งเดียวในโปรโตคอล และฝ่ายตรงข้ามมีโอกาสเพียงครั้งเดียวที่จะโจมตีสำเร็จ ตัวอย่างเช่น ฝ่ายหนึ่งสร้างข้อผูกมัดกับสตริง และฝ่ายตรงข้ามทำลายโปรโตคอลก็ต่อเมื่อสามารถเดาเนื้อหาของสตริงนั้นได้อย่างแม่นยำก่อนที่จะเปิดเผย ความยาวของสตริงต้องอยู่ภายใต้พารามิเตอร์ความปลอดภัยทางสถิติของโปรโตคอล เมื่อคุณตรวจสอบความได้เปรียบของฝ่ายตรงข้ามและเห็นเงื่อนไขของแบบฟอร์ม $c/2^\แลมบ์ดา$ สำหรับค่าคงที่ $ค$ (ไม่ขึ้นอยู่กับความพยายามในการคำนวณของฝ่ายตรงข้าม) จากนั้น $\แลมบ์ดา$ เป็นพารามิเตอร์ความปลอดภัยทางสถิติ

ตัวอย่างที่เป็นรูปธรรมที่มีพารามิเตอร์ความปลอดภัยทั้งสองประเภทคือโปรโตคอลแบบตัดและเลือกสำหรับวงจรที่อ่านไม่ออก (ผมร่างโปรโตคอลอย่างคร่าว ๆ ของ ลินเดลล์ ที่นี่).

  • อลิซควรจะสร้าง $\แลมบ์ดา$ การอ่านไม่ออกของวงจร สามารถสร้างวงจรที่ผิดเพี้ยนได้อย่างถูกต้องหรือไม่ถูกต้อง เนื่องจาก "เมล็ด" ที่สร้างวงจรที่อ่านไม่ออก จึงง่ายต่อการตรวจสอบว่าวงจรถูกสร้างขึ้นอย่างถูกต้องหรือไม่
  • Bob โยนเหรียญที่ยุติธรรมสำหรับแต่ละเหรียญ $\แลมบ์ดา$ วงจร หากเหรียญออกหัว เขาท้าให้อลิซพิสูจน์ว่าวงจรถูกสร้างขึ้นอย่างถูกต้อง (โดยเปิดเผย "เมล็ด" ของมัน) หากเหรียญออกก้อย วงจรจะถูกใช้ในภายหลังสำหรับวงจรที่อ่านไม่ออกตามปกติ

เนื่องจากกลไกที่ชาญฉลาดบางอย่างในโปรโตคอลที่เหลือ Alice สามารถโกงได้สำเร็จโดยทำให้วงจร "ตรวจสอบ" ทั้งหมดถูกต้องและวงจร "ไม่ได้ตรวจสอบ" ทั้งหมดไม่ถูกต้อง กล่าวอีกนัยหนึ่ง เธอสามารถประสบความสำเร็จได้ก็ต่อเมื่อเธอทำนายทั้งหมด $\แลมบ์ดา$ ของการโยนเหรียญของ Bob ก่อนที่จะเกิดขึ้น (ด้วยความน่าจะเป็น $1/2^\แลมบ์ดา$). เพราะฉะนั้น $\แลมบ์ดา$ เป็นพารามิเตอร์ความปลอดภัยทางสถิติของโปรโตคอล

เพื่อตอบคำถามของคุณ: เพียงเพราะโปรโตคอลมีพารามิเตอร์ความปลอดภัยทางสถิติ ไม่ได้หมายความว่าโปรโตคอลทั้งหมดมีความปลอดภัยทางข้อมูลตามทฤษฎี หากประกอบด้วยพารามิเตอร์ความปลอดภัยในการคำนวณ ดังนั้นโปรโตคอลทั้งหมดจึงมีความปลอดภัยในการคำนวณ หากสามารถพิสูจน์ได้

ผลกระทบของการแยกความแตกต่างของพารามิเตอร์ความปลอดภัยเชิงคำนวณและเชิงสถิติ: ในตัวอย่างนี้และอื่นๆ พารามิเตอร์ความปลอดภัยทางสถิติอาจมีขนาดเล็กลงมาก (นำไปสู่โปรโตคอลที่มีประสิทธิภาพมากขึ้น) ในทางปฏิบัติ เป็นเรื่องปกติที่จะตั้งค่าพารามิเตอร์ความปลอดภัยทางสถิติเป็น 40 ซึ่งจะจำกัด "เหตุการณ์ช็อตเดียวที่ไม่ดี" ทั้งหมดไว้กับความน่าจะเป็น $1/2^{40}$. ในตัวอย่างแบบตัดและเลือก หมายความว่า Alice ส่งวงจรที่อ่านไม่ออกเพียง 40 วงจรแทนที่จะเป็น 128 วงจร ในขณะเดียวกัน โปรโตคอลยังคงใช้ PRF และสิ่งอื่นๆ ซึ่งต้องการพารามิเตอร์ความปลอดภัยในการคำนวณ 128

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา