Score:1

ความปลอดภัยที่พิสูจน์ได้: การลดลงที่เป็นไปไม่ได้เมื่อข้อความถูกเข้ารหัส/การรักษาความปลอดภัยเชิงความหมายพร้อมฟังก์ชันที่ขึ้นอยู่กับผลลัพธ์ของฝ่ายตรงข้าม

ธง us

ฉันมีปัญหากับโปรโตคอลที่ฉันสามารถพิสูจน์ความปลอดภัยได้หากข้อความที่ส่งโดยฝ่ายตรงข้ามนั้นชัดเจน แต่ฉันไม่สามารถพิสูจน์ความปลอดภัยได้อีกต่อไปหากข้อความที่ส่งโดยฝ่ายตรงข้ามนั้นถูกเข้ารหัส... และสิ่งนี้ ค่อนข้างแปลกเพราะฉันคาดว่าโปรโตคอลจะปลอดภัยในกรณีที่สองนั้นด้วย

แม่นยำยิ่งขึ้น ฉันกำลังพิจารณาโปรโตคอลที่ Bob เซิร์ฟเวอร์ได้รับข้อความ $k$ จากอลิซ (สามารถมองได้ว่าเป็นการเข้ารหัสของสตริงบิต $d_0$ ภายใต้รหัสลับสาธารณะ $t_k$) และส่งข้อความกลับ $y$ (ซึ่งสามารถมองได้ว่าเป็นการเข้ารหัสของบางข้อความ $x$ ภายใต้ รหัสสาธารณะเดียวกัน $k$ ของอลิซ: ไม่ใช่ว่าเนื่องจากรูปร่างของโปรโตคอลฉันจำเป็นต้องใช้คีย์เดียวกันนี้จริงๆ) ในหลักฐานการรักษาความปลอดภัย ฉันต้องการแสดงว่าไม่มี Bob ที่เป็นอันตรายคนใดสามารถค้นหาค่าลับได้ $\theta_\pi=f(x,d_0)$ ที่ควรดูสุ่มเป็นอย่างอื่น

ข่าวดีก็คือถ้าฉันรู้ $x$ฉันสามารถกลับด้านได้ $f$ และค้นหา $d_0$. ดังนั้นหาก Bob ที่เป็นอันตรายรู้ $x$ฉันสามารถทำการลดลงเพื่อพิสูจน์ว่าถ้า Bob สามารถหาได้ $\theta_\pi$ พวกเขาบ็อบก็รู้เช่นกัน $d_0 = f^{-1}(x,\theta_\pi)$: นี่เป็นข้อขัดแย้งเนื่องจากการเข้ารหัสนั้นปลอดภัย IND-CPA

น่าเสียดายที่การลดลงนี้ใช้ไม่ได้เพราะ Bob ที่เป็นอันตรายอาจ "ไม่รู้" $x$: พวกเขาส่งเฉพาะเวอร์ชันที่เข้ารหัสเท่านั้น $y$ ของมัน: และในระหว่างการลดขนาด ฉันไม่สามารถถอดรหัสสิ่งนี้ได้ $y$ เนื่องจากอลิซเท่านั้นที่รู้จักกุญแจนี้ (กรณีของฉันหลีกเลี่ยงไม่ได้)...

มีวิธีการบางอย่างที่ยังคงพิสูจน์ความปลอดภัยในกรณีนั้นหรือไม่? ฉันคิดว่า ฉันต้องการบางอย่าง เช่น ความปลอดภัยเชิงความหมาย แต่ในกรณีที่ฟังก์ชันที่คำนวณไม่สามารถคำนวณได้อย่างมีประสิทธิภาพ (เป็นกรณีนี้แล้วในคำจำกัดความปัจจุบัน) และ ขึ้นอยู่กับผลงานบางอย่างของฝ่ายตรงข้าม.

แก้ไข

เพื่อตอบ Mikero ฉันคิดว่าในข้อโต้แย้งของคุณ เราต้องพูดทำนองนี้:

ป้อนคำอธิบายรูปภาพที่นี่

หากเราจัดการได้ช่องที่ถูกต้อง ฉันยอมรับว่าการพิสูจน์จะตามมาอย่างง่ายดาย แต่ฉันไม่แน่ใจว่าจะพิสูจน์ความเท่าเทียมกันระหว่างสองสถานการณ์นี้ได้อย่างไร ฉันไม่คิดว่านี่เป็นการลดการรักษาความปลอดภัย IND-CPA โดยตรง เนื่องจากตัวแยกสัญญาณยังสามารถเข้าถึงได้ $\theta_\pi$ ซึ่งเชื่อมโยงกับข้อมูลบางอย่างเกี่ยวกับการถอดรหัสของ $y$. ฉันเดาว่าจะเป็นการดีที่จะแสดงว่าไดอะแกรมแรกเทียบเท่ากับ

ป้อนคำอธิบายรูปภาพที่นี่

แต่ไม่แน่ใจว่าจะพิสูจน์ได้อย่างไร (แน่นอน $Ideal Func_1$ แตกต่างจาก $Ideal Func_3$คำถามคือเมื่อเราเพิ่มตัวจำลองไว้ด้านบน)

us flag
ดูเหมือนว่าอลิซจะซื่อสัตย์ในสถานการณ์นี้ ดังนั้นตัวจำลองควรสร้างรหัสสาธารณะของอลิซ จากนั้นตัวจำลองจะสามารถถอดรหัสข้อความเข้ารหัสที่เข้ารหัสภายใต้รหัสสาธารณะนั้นและทำการย่อส่วนตามปกติของคุณ BTW จะเกิดอะไรขึ้นถ้า Bob สะท้อนกลับการเข้ารหัสเดิม $d_0$
cn flag
อีกทางหนึ่ง วิธีมาตรฐานเพื่อให้แน่ใจว่าฝ่ายตรงข้ามรู้ข้อความธรรมดาคือเพิ่มหลักฐานความรู้ให้กับข้อความเข้ารหัส
Léo Colisson avatar
us flag
@Maeher ขอบคุณสำหรับคำตอบของคุณน่าเสียดายที่สิ่งนี้ใช้ไม่ได้ในกรณีของฉัน เพราะฉันอยู่ในการตั้งค่าควอนตัม: โดยพื้นฐานแล้ว เพื่อให้ฝ่ายตรงข้ามเรียนรู้ $x$ จำเป็นต้องทำลายสถานะของมัน (จากนั้น โปรโตคอลก็ไม่มีประโยชน์อีกต่อไป) แน่นอนฉันสามารถทำวิธีการ "ตัดและเลือก" โดยขอให้ทำลายรัฐเป็นครั้งคราวและเป็นครั้งคราวเพื่อดำเนินการต่อ แต่ฉันได้รับความปลอดภัยพหุนามเท่านั้น :-( ฉันไม่คิดว่าวิธีการที่เสนอ โดย Mikero ทำงาน ฉันจะพยายามอธิบายในข้อความอื่น
Léo Colisson avatar
us flag
@Mikero ขอบคุณสำหรับคำตอบของคุณ แต่ฉันไม่แน่ใจว่ามันใช้งานได้ (อย่างน้อยก็ในกรณีของฉัน) หากเครื่องจำลองเลือกรหัสสาธารณะของ Alice เราต้องการข้อโต้แย้งเพื่อบอกว่าเครื่องจำลองสามารถเข้ารหัส $d_0'$ แบบสุ่มแทน $d_0$ (เนื่องจาก $d_0$ ไม่ควรรั่วไหลไปยังเครื่องจำลอง) โดยไม่ถูกตรวจพบ อย่างไรก็ตาม ฉันไม่คิดว่าสิ่งนี้มีความหมายโดยตรงจาก IND-CPA (ดูการแก้ไขของฉัน) ฉันพลาดอะไรไปรึเปล่า?
Léo Colisson avatar
us flag
@Mikero ถ้า Bob สะท้อนกลับ $y$ โดยทั่วไปแล้วมันจะตั้งค่า $x = 00$ (ซึ่งดีมาก)
cn flag
ฉันไม่แน่ใจว่าฉันเข้าใจว่าการตั้งค่าควอนตัมเป็นปัญหาอย่างไร คุณกำลังบอกว่า y แท้จริงแล้ว *ไม่ใช่* ข้อความไซเฟอร์ แต่เป็นการซ้อนทับโดยพลการของข้อความไซเฟอร์ ประการแรก เหตุใดท่านจึงยอมให้ปฏิปักษ์ทำเช่นนั้น และประการที่สอง เท่าที่ฉันเห็น คุณสามารถคำนวณการพิสูจน์ความรู้เกี่ยวกับการซ้อนทับนั้นได้เช่นกัน
Léo Colisson avatar
us flag
@Maeher เป็นเพราะเป้าหมายของโปรโตคอลคือการสร้างสถานะควอนตัมที่ Bob ไม่รู้จัก โดยทั่วไปเพื่อให้ได้ $y$ บ๊อบควรจะสร้างการซ้อนทับ $\sum_x | x \รังเกิล | g(x) \range$. ฟังก์ชัน $g$ คือ 2 ต่อ 1: ดังนั้นหลังจากวัดรีจิสเตอร์ที่สองแล้ว เราจะได้ $| x \rangle+|x' \rangle$ บนรีจิสเตอร์แรกสำหรับ 2 ภาพก่อนหน้าของ $g$ จากสถานะนี้ เราสามารถรับสถานะควอนตัมใหม่ที่จะใช้ในโปรโตคอลอื่น (ฝ่ายตรงข้ามไม่สามารถอธิบายสถานะนี้ได้อย่างสมบูรณ์ เนื่องจากไม่สามารถแปลง $g$ ได้) ถ้าบ๊อบต้องการเรียนรู้หนึ่ง $x$ เขาสามารถวัดมันได้... แต่มันจะทำลายมัน
Léo Colisson avatar
us flag
ดังนั้น $y$ จึงเป็นข้อความเข้ารหัสแบบดั้งเดิม แต่ถูกกำหนดโดยใช้การซ้อนทับที่ยังคงมีประโยชน์หลังจากสิ้นสุดโปรโตคอล

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา