Score:1

ความน่าจะเป็นที่จะสำเร็จของฝ่ายตรงข้ามคำนวณอย่างไรในรายงานปี 2545 นี้โดย Dodis, Katz, Xu, Yung เกี่ยวกับรูปแบบลายเซ็นที่มีการหุ้มฉนวน

ธง vn

ใน นี้ กระดาษ ("โครงร่างลายเซ็นที่หุ้มฉนวนกุญแจที่แข็งแกร่ง" โดย Dodis, Katz, Xu, Yung (2002)) ฉันเข้าใจหลักฐานส่วนใหญ่สำหรับบทแทรก 1 (หน้า 9); ฉันต่อสู้กับวิธีการคำนวณความน่าจะเป็นบางอย่าง

ฉันคิดว่าไม่จำเป็นต้องอ่านกระดาษสิ่งที่คุณต้องมีดังต่อไปนี้:

บริบท

  • ปฏิปักษ์ $A$ แบ่ง ("ใหม่") โครงการ $\ปี่$
  • ชาเลนเจอร์ $A'$ ต้องการทำลายโครงร่างพื้นฐาน $\เธต้า$ โดยใช้ $A$
  • การลงนาม oracle ใช้เป็นอินพุตข้อความและ ระยะเวลา $i$
  • เดอะ จำนวนข้อความค้นหาสูงสุด สำหรับการลงนาม oracle คือ $q(k)$

ส่วนที่สับสน:

เมื่อถึงจุดหนึ่งผู้ท้าชิง $A'$ วาดแบบสุ่ม $r \in \{1,..,q(k)\}$ แล้วดูที่ $r^{th}$ ลงชื่อแบบสอบถามว่า $A$ ทำให้.

  • หากข้อความค้นหานี้มีระยะเวลาที่ใช้ในข้อความค้นหาการเซ็นชื่อก่อนหน้านี้เป็นอินพุต ให้ยกเลิกการทดสอบ
  • หากเป็นครั้งแรกที่ช่วงเวลานี้ (แสดงแทน $i^*$) ถูกสอบถาม ดำเนินการต่อ
  • ถ้า $A$ สอบถามหรือสอบถามออราเคิล "การเปิดเผยคีย์" ได้ตลอดเวลา $i^*$ยกเลิกด้วย (การเปิดเผยคีย์ = การเปิดเผยคีย์ลับสำหรับช่วงเวลาที่สอบถาม)

ในที่สุด, $A$ ปลอมลายเซ็นในช่วงเวลาหนึ่ง $i$. (ปรับตัว ฉันคิดว่า, ดังนั้น $i$ ไม่ถูกกำหนดไว้ในตอนต้น แต่ A เลือกไว้ตอนท้าย)

จากนั้นกระดาษเขียนว่า:

ด้วยความน่าจะเป็นเป็นอย่างน้อย $1/q(k)$, การทดสอบจะไม่ถูกยกเลิกและ $i^â = ฉัน$ [..].

ฉันเดา

$P(\text{การทดสอบไม่ถูกยกเลิก } \wedge\, i^â = i) =\ P(\text{period }i^* \text{ไม่ได้สอบถามก่อน } r^{th} \text{เซ็นชื่อแบบสอบถาม } \wedge\, \text{ไม่มีการค้นหาคีย์สำหรับ }i^* \wedge\, i^ â = ฉัน )$

อะไรตอนนี้? ฉันไม่เห็นว่าการคำนวณนี้จะชัดเจนได้อย่างไร ฉันนึกถึงคำถามมากมาย:

  • เหตุการณ์เหล่านั้นเป็นอิสระทั้งหมดหรือไม่ $P(\text{period }i^* \text{ไม่ได้สอบถามก่อน } r^{th} \text{เซ็นชื่อแบบสอบถาม } \wedge\, \text{ไม่มีการค้นหาคีย์สำหรับ }i^* \wedge\, i ^â = i ) = P(\text{period }i^* \text{not query before } r^{th} \text{signing query })*P(\text{no key exposurequery for }i ^*)*P( i^â = i )?$
  • เป็น $P( i^â = i )=1/q(k)$ หรือมีความเป็นไปได้สูงกว่าที่ฝ่ายตรงข้ามเลือก $i$ สำหรับการปลอมแปลงที่พวกเขารู้บางอย่างเกี่ยวกับ (= ที่พวกเขาเคยสอบถามมาก่อน)? หรือเราคิดไปเองว่า $A$แบบสอบถามเป็นแบบสุ่ม? ทำไมเราถึงคิดอย่างนั้น?
  • เป็น $P(\text{period }i^* \text{ไม่ได้สอบถามก่อน } r^{th} \text{ลงชื่อแบบสอบถาม })$ เหมือนกันสำหรับทุกคน $r$ หรือสูงกว่าสำหรับขนาดเล็ก $r$ (แบบสอบถาม = "ต้น")? ขึ้นอยู่กับว่า $P( ฉัน^â = ฉัน )$?

ฉันงุนงงจริง ๆ ที่ความน่าจะเป็นนี้ได้รับโดยไม่มีคำอธิบายเพิ่มเติม ฉันต้องขาดอะไรพื้นฐานไป คุณสามารถช่วย?

Score:1
ธง us

ศัตรู $A$ โครงการแบ่ง $\ปี่$ โดยสร้างของปลอมขึ้นมา การปลอมแปลงทุกครั้งสามารถกำหนดฉลากได้ $i$. ป้ายนี้ $i$ ถูกเลือกโดยฝ่ายตรงข้าม แต่มีเพียงจำนวนพหุนามสำหรับตัวเลือกเท่านั้น $i$.

อัลกอริธึมการลดสามารถตั้งค่าให้ดูเหมือนกับโลกนั้น $A$ คาดหวัง นอกจากนี้ อัลกอริทึมการลดสามารถตั้งค่าเฉพาะ $i^*$ ในใจเพื่อที่ว่าหากฝ่ายตรงข้ามสร้างการปลอมแปลงฉลากขึ้นมา $i^*$จากนั้นอัลกอริทึมการลดสามารถแบ่งโครงร่างได้สำเร็จ $\เธต้า$. ที่สำคัญ และนี่อาจเป็นสิ่งที่คุณขาดหายไป $A$มุมมองของสิ่งต่าง ๆ เป็นอิสระจาก $i^*$. กล่าวอีกนัยหนึ่งไม่ว่าจะเฉพาะเจาะจง $i^*$ การลดลงอยู่ในใจเสมอ มันสร้างการจำลองโลกที่ซื่อสัตย์อย่างสมบูรณ์แบบ $A$ คาดหวัง

อัลกอริทึมการลดควรเลือกอย่างไร $i^*$? ไม่สามารถคาดเดาล่วงหน้าได้ว่าการปลอมแปลงของฝ่ายตรงข้ามจะมีป้ายชื่อใด เลยจะเลือกแทน $i^*$ สุ่มอย่างเท่าเทียมกัน จากตัวเลือกพหุนามมากมาย

ทำไมถึงใช้งานได้ ในที่สุดฝ่ายตรงข้ามก็แสดงการปลอมแปลง และการปลอมแปลงก็มีป้ายกำกับบางอย่าง $i$. หากมุมมองทั้งหมดของฝ่ายตรงข้ามไม่ขึ้นอยู่กับการเลือก $i^*$แล้วการเลือกของฝ่ายตรงข้าม $i$ เป็นอิสระจากการเลือกของ $i^*$. เนื่องจาก $i^*$ มีการกระจายอย่างสม่ำเสมอและเป็นอิสระจาก $i$เราสามารถพูดได้ว่า $\Pr[i=i^*] = \frac{1}{\mbox{# ตัวเลือก}}$.


ในการตั้งค่าของคุณ "ป้ายกำกับ" $i$ ของการปลอมแปลงคือ (เห็นได้ชัดว่า - ฉันทำตามคำแนะนำของคุณเพื่อไม่อ่านกระดาษจริงๆ) ดัชนีของแบบสอบถามการเซ็นชื่อ Oracle แรกที่สร้างขึ้นโดยใช้ช่วงเวลาที่มีชื่อในการปลอมแปลง หากอัลกอริทึมการลดสามารถคาดเดาได้ว่าการสืบค้น oracle ที่ลงชื่อใดจะเป็นอันแรกที่สร้างขึ้นภายใต้ช่วงเวลาของการปลอมแปลงของฝ่ายตรงข้าม จากนั้นจะทำสิ่งพิเศษเพื่อตอบสนองต่อแบบสอบถามนั้น (ฝังข้อมูลบางอย่างที่จะช่วยให้แตก $\เธต้า$). แน่นอนว่ามันไม่สามารถคาดเดาคุณสมบัติของผู้ปลอมแปลงได้ ดังนั้นมันจึงคาดเดา มีเพียง $q(k)$ ความเป็นไปได้สำหรับตัวตนของข้อความค้นหา "พิเศษ" นี้

ในการตั้งค่าของคุณ มีการยกเลิกบางอย่างเกิดขึ้น แต่นี่เป็นการเบี่ยงเบนความสนใจของคำถามความน่าจะเป็นที่แท้จริง สิ่งที่เกิดขึ้นจริงคือ: การลดจะประสบความสำเร็จในการทำลายเท่านั้น $\เธต้า$ เมื่อเดาได้ $i^*$ เท่ากับฉลาก $i$ ของ $A$ของปลอม ผู้เขียนในที่นี้กำลังบอกว่าการลดลงอาจยอมแพ้ (กล่าวคือ ยกเลิก) เมื่อเห็นว่าการคาดเดาจะผิดพลาด คงจะดีถ้าพวกเขาเขียนอัลกอริทึมการลดเพื่อไม่ให้ยกเลิกและแทนที่จะทำ "แทงในที่มืด" ตาบอดเมื่อทำลาย $\เธต้า$ ในกรณีเหล่านี้

phi.nm avatar
vn flag
โอเคขอบคุณ! ฉันคิดว่าประเด็นของคุณที่ว่ามุมมองของฝ่ายตรงข้ามนั้นไม่ขึ้นอยู่กับสิ่งที่ผู้ท้าชิงคาดเดาได้ซึ่งนำข้อความสำคัญกลับมา: ฝ่ายตรงข้ามไม่ได้พยายามที่จะก่อวินาศกรรมผู้ท้าชิงเพราะไม่สนใจเกี่ยวกับเบื้องหลังของผู้ท้าชิงด้วย $\Theta$ เพียงเกี่ยวกับ มีสภาพแวดล้อมที่เหมาะสมในการปลอมแปลงลายเซ็นสำหรับ $\Pi$ ใช่ไหม แต่คุณกำลังบอกว่าความน่าจะเป็นของการทำแท้งไม่ได้มีบทบาทใด ๆ ที่นี่? หรือคุณกำลังบอกว่า $P(\text{experiment not aborted } \wedge\, i^* = i)$ เหมือนกับ $P(\text{Challenger Guess the right label})=1/q(k )?$
phi.nm avatar
vn flag
ฉันเพิ่งเข้าใจด้วยว่าคำถามที่สองของฉัน ("$A$ เลือกป้ายกำกับสำหรับการปลอมแปลงที่รู้บางอย่างเกี่ยวกับ (= ใช้ในข้อความค้นหา) หรือไม่") ใช้ไม่ได้ เนื่องจากหลักฐานพิจารณาสองกรณี และ ส่วนหนึ่งที่เราจัดการกับกรณี "$A$ ใช้ป้ายกำกับการสืบค้นสำหรับการปลอมแปลง" - ฉันไม่รู้จักเท่านั้น นั่นมีอิทธิพลต่อความน่าจะเป็นของ $i^*=i$ หรือไม่ หลังจากนั้น
phi.nm avatar
vn flag
- ขออภัย ความคิดเห็นก่อนหน้ามีต่อ - นั่นมีอิทธิพลต่อความน่าจะเป็นของ $i^*=i$ หรือไม่ ท้ายที่สุด การพิสูจน์บอกว่าความน่าจะเป็นคือ "อย่างน้อย $1/q(k)$" ไม่ใช่ "เท่ากับ" ความคิดของฉัน: กลุ่มของป้ายกำกับที่เป็นไปได้นั้นมีขนาดเล็กกว่า (ถ้ามี) หมายความว่าความน่าจะเป็นที่จะเดาได้อย่างถูกต้องนั้นสูงกว่า (ถ้ามี) ใช่ไหม หรือคำอธิบายของคุณครอบคลุมส่วน "อย่างน้อย" อยู่แล้ว เพราะมันเกี่ยวข้องกับการทำแท้ง?
us flag
ฉันไม่รู้ว่าทำไมการพิสูจน์ถึงบอกว่าความน่าจะเป็น "อย่างน้อย $1/q$" แทนที่จะเป็น "แน่นอน $1/q$" แต่ฉันเห็นว่าคุณสามารถทำให้ความน่าจะเป็นที่แท้จริงเป็น $1/q'$ โดยที่ $q'$ คือจำนวนของค่าเวลาที่แตกต่างกันที่สอบถามไปยังออราเคิลการลงนาม ดังนั้น $q'=q$ ก็ต่อเมื่อฝ่ายตรงข้ามไม่เคยใช้ค่าเวลาซ้ำในแบบสอบถามการเซ็นชื่อ และมิฉะนั้น $q'\le q$ หากข้อความค้นหาการลงนามไม่ใช่ *ครั้งแรก* ที่จะใช้ค่าเวลาที่เจาะจง ก็จะไม่สามารถเป็นป้ายกำกับของการปลอมแปลงได้ ตั้งแต่ $q'\le q$ จากนั้น $1/q' \ge 1/q$ บางทีนี่อาจเป็นสิ่งที่พวกเขาคิดไว้โดยพูดว่า "ความน่าจะเป็นอย่างน้อย $1/q$" ?
phi.nm avatar
vn flag
ตกลง ใช่ - นั่นคือสิ่งที่ฉันพยายามจะพูดด้วย "กลุ่มป้ายกำกับ" - คำอธิบาย :-) และ $P(\text{ผู้ท้าชิงเดาป้ายกำกับที่ถูกต้อง}) = P(\text{ไม่ยกเลิกและเดาป้ายกำกับที่ถูกต้อง}) $ เนื่องจากการทำแท้งจะเกิดขึ้นเมื่อเดาฉลากไม่ถูกต้องเท่านั้น ดังนั้นเหตุการณ์ทั้งสองจึงเหมือนกัน ใช่ไหม

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา