บรรจวบ เข้าสู่ระบบ
Score:1
vince.h avatar Crypto

โปรโตคอลการตัดกันชุดส่วนตัวที่ใช้ Diffie-Hellman ไม่สามารถผ่านการพิสูจน์การจำลองได้หรือไม่

ธง vn
vince.h

กำหนดโปรโตคอล Private Set Intersection (PSI) ที่ได้รับความนิยมซึ่งอธิบายไว้ใน [1]:

  • อลิซเลือกแบบสุ่ม $a$และส่ง $\{H(x_i)^{a}\bmod p\}| (i=1,...m)$ ถึงบ๊อบ
  • บ๊อบเลือกแบบสุ่ม $ข$และส่ง $\{H(y_i)^{b}\bmod p\}| (i=1,...n)$ ถึงอลิซ
  • อลิซคำนวณและส่ง $\{H(y_i)^{ba}\bmod p\}| (i=1,...n)$ ถึงบ๊อบ
  • Bob คำนวณและส่ง $\{H(x_i)^{ab}\bmod p\}| (i=1,...m)$ ถึงอลิซ
  • แต่ละฝ่ายคำนวณทางแยกในพื้นที่

คำถามที่ 1: ถ้า(มีโอกาสน้อยมาก)มีอยู่ $x_1$ และ $x_2$ นั่น $H(x_1)=H(x_2)^2\bmod p$แล้วบ็อบก็ค้นพบมันได้เพราะ $H(x_1)^a=(H(x_2)^a)^2\bmod p$. แน่นอนว่า Bob ไม่สามารถจำลองข้อมูลนี้ได้ หมายความว่าโปรโตคอลนี้ละเมิดความปลอดภัยกึ่งซื่อสัตย์หรือไม่?

ฉันได้พูดคุยกับเพื่อน ๆ บางคนกล่าวว่าสิ่งนี้ไม่ละเมิดความปลอดภัยกึ่งซื่อสัตย์เพราะมีโอกาส $H(x_1)=H(x_2)^2\bmod p$ เป็นเรื่องเล็กน้อย แต่ฉันคิดว่ามันเป็นเช่นนั้น เพราะในคำจำกัดความ 4.1ของบทช่วยสอนการพิสูจน์การจำลอง [2] การจำลองควรสำเร็จเสมอ และไม่ควรขึ้นอยู่กับอินพุต $\{x,y\}$.

คำถามที่ 2: ในโปรโตคอล PSI (รูปที่ 3) ของ [3] พวกเขาใช้ $H(H(x_i)+H(x_i)^{a})$ แทน $H(x_i)^{a}$ (โปรดสังเกตว่าโปรโตคอลยังคงถูกต้องหากใช้ $H(x_i)^{a}$) สิ่งนี้ดูเหมือนจะทำให้ประเด็นของฉันแข็งแกร่งขึ้น (โปรโตคอล DH-PSI ที่ไร้เดียงสาไม่สามารถพิสูจน์ได้) เพราะ $H(H(x_i)+H(x_i)^{a})$ จำลองได้ง่ายกว่า $H(x_i)^{a}$ . ความเข้าใจของฉันถูกต้องหรือไม่?

ขอบคุณ.

  1. Huberman BA, Franklin M, Hogg T. การเพิ่มความเป็นส่วนตัวและความไว้วางใจในชุมชนอิเล็กทรอนิกส์[C]// ACM Conference on Electronic Commerce ACM, 2542:78-86
  2. ลินเดลล์ วาย วิธีการจำลอง https://eprint.iacr.org/2016/046.pdf
  3. Heinrich A, Hollick M, Schneider T และคณะ PrivateDrop: การรับรองความถูกต้องที่รักษาความเป็นส่วนตัวในทางปฏิบัติสำหรับ Apple AirDrop, USENIX'SEC 21
108
0 + 0
Score:1
avatar Crypto
ธง us
Mikero

ถ้า(มีโอกาสน้อยมาก)มีอยู่จริง $x_1$ และ $x_2$ นั่น $H(x_1) = H(x_2)^2$จากนั้นบ็อบก็สามารถค้นพบมันได้ ... การจำลองควรจะสำเร็จเสมอ และไม่ควรขึ้นอยู่กับข้อมูลที่ป้อนเข้า $\{x,y\}$.

ฉันเห็นด้วยกับเพื่อนของคุณว่าข้อสังเกตนี้ไม่ได้ละเมิดความปลอดภัยกึ่งซื่อสัตย์

ในรูปแบบกึ่งซื่อตรง อินพุตจะไม่ขึ้นกับออราเคิลแบบสุ่ม กล่าวอีกนัยหนึ่งอินพุตได้รับการแก้ไข แรกแล้ว $H$ มีการสุ่มตัวอย่าง สภาพแวดล้อมไม่สามารถเข้าถึง oracle แบบสุ่มได้ (ในโมเดล oracle สุ่มแบบโลคัล) ดังนั้นการเลือกอินพุตสำหรับบุคคลที่ซื่อสัตย์ไม่ได้ขึ้นอยู่กับ oracle แบบสุ่ม ดังนั้น เหตุการณ์ที่ว่า $H(x_1) = H(x_2)^2$ ไม่ขึ้นอยู่กับ $x_1, x_2$. มีความเป็นไปได้เล็กน้อยสำหรับอินพุตทั้งหมด ดังนั้นตัวจำลองจึงสามารถเพิกเฉยต่อกรณีนี้ได้อย่างปลอดภัย

ในโปรโตคอล PSI (รูปที่ 3) ของ [3],

ฉันไม่แน่ใจว่าคำถามของคุณคืออะไร ใน [3] พวกเขาต้องการโปรโตคอล PSI ที่ปลอดภัยที่เป็นอันตราย และโปรโตคอล DH-PSI แบบคลาสสิกนั้นไม่ต้องการ ดังนั้นพวกเขาจึงใช้โปรโตคอลที่ซับซ้อนกว่าของ Jarecki & Liu

คำถามที่ใหญ่กว่านั้นน่าจะเกี่ยวกับว่า DH-PSI แบบคลาสสิก "ไม่สามารถจำลองได้" หรือไม่ ซึ่งคุณน่าจะหมายถึงต่อต้านศัตรูที่มุ่งร้าย ฉันยอมรับ. ลองนึกถึงกรณีที่ต่างฝ่ายต่างมีอย่างละ 1 ข้อ พิจารณากรณีที่อลิซที่เสียหายค้นหาคำพยากรณ์แบบสุ่มที่ $x_0$ และ $x_1$พลิกเหรียญ $ข$และส่ง $H(x_b)^a$ สำหรับเลขชี้กำลังแบบสุ่ม $a$. เลขชี้กำลังแบบสุ่ม $a$ ทำให้มุมมองของตัวจำลอง (แบบสอบถาม oracle แบบสุ่ม $x_0, x_1$ และข้อความโปรโตคอล $H(x_b)^a$) เป็นอิสระอย่างสมบูรณ์จาก $ข$. แต่เครื่องจำลองต้องเดา $ข$ เพื่อจะได้สกัดได้ถูกต้อง

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา