ในโปรโตคอลแบบโต้ตอบ (เช่น MPC) คุณมักจะเห็นการรวมกันของพารามิเตอร์ความปลอดภัยเชิงคำนวณและเชิงสถิติที่ใช้ร่วมกัน
พารามิเตอร์ความปลอดภัยในการคำนวณ: ปรับความแข็งของการโจมตีบางอย่างที่ขึ้นอยู่กับเวลาทำงานของฝ่ายตรงข้าม ตัวอย่างเช่น โปรโตคอลใช้ฟังก์ชันสุ่มเทียม และการทำลายฟังก์ชันสุ่มเทียมนั้นจะทำให้โปรโตคอลเสียหาย ขนาดคีย์ของฟังก์ชันสุ่มเทียมถูกควบคุมโดยพารามิเตอร์ความปลอดภัยในการคำนวณของโปรโตคอล เมื่อคุณดูความได้เปรียบอย่างเป็นทางการของฝ่ายตรงข้ามอย่างใกล้ชิด และคุณเห็นเงื่อนไขของรูปแบบ $T/2^\กัปปะ$ หรือ $q^2/2^\กัปปะ$ ที่ไหน $T$ หรือ $คิว$ เกี่ยวข้องกับความพยายามในการคำนวณของฝ่ายตรงข้ามแล้ว $\กัปปะ$ เป็นพารามิเตอร์ความปลอดภัยในการคำนวณ
พารามิเตอร์ความปลอดภัยทางสถิติ: ปรับความแข็งของการโจมตีบางอย่างโดยที่เวลาทำงานของฝ่ายตรงข้ามไม่เกี่ยวข้อง โดยปกติแล้วเป็นเพราะมีเหตุการณ์บางอย่างเกิดขึ้นเพียงครั้งเดียวในโปรโตคอล และฝ่ายตรงข้ามมีโอกาสเพียงครั้งเดียวที่จะโจมตีสำเร็จ ตัวอย่างเช่น ฝ่ายหนึ่งสร้างข้อผูกมัดกับสตริง และฝ่ายตรงข้ามทำลายโปรโตคอลก็ต่อเมื่อสามารถเดาเนื้อหาของสตริงนั้นได้อย่างแม่นยำก่อนที่จะเปิดเผย ความยาวของสตริงต้องอยู่ภายใต้พารามิเตอร์ความปลอดภัยทางสถิติของโปรโตคอล เมื่อคุณตรวจสอบความได้เปรียบของฝ่ายตรงข้ามและเห็นเงื่อนไขของแบบฟอร์ม $c/2^\แลมบ์ดา$ สำหรับค่าคงที่ $ค$ (ไม่ขึ้นอยู่กับความพยายามในการคำนวณของฝ่ายตรงข้าม) จากนั้น $\แลมบ์ดา$ เป็นพารามิเตอร์ความปลอดภัยทางสถิติ
ตัวอย่างที่เป็นรูปธรรมที่มีพารามิเตอร์ความปลอดภัยทั้งสองประเภทคือโปรโตคอลแบบตัดและเลือกสำหรับวงจรที่อ่านไม่ออก (ผมร่างโปรโตคอลอย่างคร่าว ๆ ของ ลินเดลล์ ที่นี่).
- อลิซควรจะสร้าง $\แลมบ์ดา$ การอ่านไม่ออกของวงจร สามารถสร้างวงจรที่ผิดเพี้ยนได้อย่างถูกต้องหรือไม่ถูกต้อง เนื่องจาก "เมล็ด" ที่สร้างวงจรที่อ่านไม่ออก จึงง่ายต่อการตรวจสอบว่าวงจรถูกสร้างขึ้นอย่างถูกต้องหรือไม่
- Bob โยนเหรียญที่ยุติธรรมสำหรับแต่ละเหรียญ $\แลมบ์ดา$ วงจร หากเหรียญออกหัว เขาท้าให้อลิซพิสูจน์ว่าวงจรถูกสร้างขึ้นอย่างถูกต้อง (โดยเปิดเผย "เมล็ด" ของมัน) หากเหรียญออกก้อย วงจรจะถูกใช้ในภายหลังสำหรับวงจรที่อ่านไม่ออกตามปกติ
เนื่องจากกลไกที่ชาญฉลาดบางอย่างในโปรโตคอลที่เหลือ Alice สามารถโกงได้สำเร็จโดยทำให้วงจร "ตรวจสอบ" ทั้งหมดถูกต้องและวงจร "ไม่ได้ตรวจสอบ" ทั้งหมดไม่ถูกต้อง กล่าวอีกนัยหนึ่ง เธอสามารถประสบความสำเร็จได้ก็ต่อเมื่อเธอทำนายทั้งหมด $\แลมบ์ดา$ ของการโยนเหรียญของ Bob ก่อนที่จะเกิดขึ้น (ด้วยความน่าจะเป็น $1/2^\แลมบ์ดา$). เพราะฉะนั้น $\แลมบ์ดา$ เป็นพารามิเตอร์ความปลอดภัยทางสถิติของโปรโตคอล
เพื่อตอบคำถามของคุณ: เพียงเพราะโปรโตคอลมีพารามิเตอร์ความปลอดภัยทางสถิติ ไม่ได้หมายความว่าโปรโตคอลทั้งหมดมีความปลอดภัยทางข้อมูลตามทฤษฎี หากประกอบด้วยพารามิเตอร์ความปลอดภัยในการคำนวณ ดังนั้นโปรโตคอลทั้งหมดจึงมีความปลอดภัยในการคำนวณ หากสามารถพิสูจน์ได้
ผลกระทบของการแยกความแตกต่างของพารามิเตอร์ความปลอดภัยเชิงคำนวณและเชิงสถิติ:
ในตัวอย่างนี้และอื่นๆ พารามิเตอร์ความปลอดภัยทางสถิติอาจมีขนาดเล็กลงมาก (นำไปสู่โปรโตคอลที่มีประสิทธิภาพมากขึ้น) ในทางปฏิบัติ เป็นเรื่องปกติที่จะตั้งค่าพารามิเตอร์ความปลอดภัยทางสถิติเป็น 40 ซึ่งจะจำกัด "เหตุการณ์ช็อตเดียวที่ไม่ดี" ทั้งหมดไว้กับความน่าจะเป็น $1/2^{40}$. ในตัวอย่างแบบตัดและเลือก หมายความว่า Alice ส่งวงจรที่อ่านไม่ออกเพียง 40 วงจรแทนที่จะเป็น 128 วงจร ในขณะเดียวกัน โปรโตคอลยังคงใช้ PRF และสิ่งอื่นๆ ซึ่งต้องการพารามิเตอร์ความปลอดภัยในการคำนวณ 128