Схема обязательств - Commitment scheme
Эта статья нужны дополнительные цитаты для проверка.Октябрь 2014 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
А схема обязательств это криптографический примитив который позволяет одному придерживаться выбранного значения (или выбранного утверждения), сохраняя его скрытым от других, с возможностью раскрыть зафиксированное значение позже.[1] Схемы обязательств разработаны таким образом, что сторона не может изменить значение или заявление после того, как они взяли на себя обязательства: то есть схемы обязательств являются привязка. Схемы обязательств имеют важное применение в ряде криптографические протоколы включая безопасное подбрасывание монет, доказательства с нулевым разглашением, и безопасное вычисление.
Чтобы визуализировать схему обязательств, представьте, что отправитель помещает сообщение в запертый ящик и передает его получателю. Сообщение в ящике скрыто от получателя, который не может открыть замок самостоятельно. Поскольку ящик находится у получателя, сообщение внутри не может быть изменено - оно просто раскрывается, если отправитель решит передать ему ключ позже.
Взаимодействие в схеме обязательств происходит в два этапа:
- в фаза фиксации во время которого значение выбирается и указывается
- в фаза раскрытия во время которого значение раскрывается и проверяется
В простых протоколах фаза фиксации состоит из одного сообщения от отправителя к получателю. Это сообщение называется обязательство. Важно, чтобы конкретное выбранное значение не могло быть известно получателю в то время (это называется прячется свойство). Простая фаза раскрытия будет состоять из одного сообщения, открытие, от отправителя к получателю, после чего следует проверка, выполняемая получателем. Значение, выбранное на этапе фиксации, должно быть единственным, которое отправитель может вычислить и которое проверяется на этапе раскрытия (это называется привязка свойство).
Концепция схем обязательств была, возможно, впервые формализована Жиль Брассар, Дэвид Чаум, и Клод Крепо в 1988 г.,[2] как часть различных протоколов с нулевым разглашением для НП, основанные на различных схемах обязательств (см. также: [3][4]). Но эта концепция использовалась без формального рассмотрения до этого.[5][6] Понятие обязательств впервые появилось в работах Мануэль Блюм,[7] Шимон Эвен,[8] и Шамир и другие.[9] Терминология, по-видимому, принадлежит Блюму:[6] хотя схемы обязательств можно взаимозаменяемо называть схемы битовой фиксации- иногда зарезервировано для особого случая, когда зафиксированным значением является кусочек. Раньше считалось, что обязательство с помощью односторонних хэш-функций, например, как часть, скажем, Подпись Лэмпорта, исходная схема одноразовой однобитовой подписи.
Приложения
Подбрасывание монет
Предполагать Алиса и Боб хочу разрешить спор через подбрасывание монеты. Если они физически находятся в одном и том же месте, типичная процедура может быть следующей:
- Алиса "называет" подбрасывание монеты
- Боб подбрасывает монету
- Если ответ Алисы правильный, она выигрывает, в противном случае выигрывает Боб.
Если Алиса и Боб не в одном месте, возникает проблема. После того, как Алиса «объявила» подбрасывание монеты, Боб может обусловить «результаты» подбрасывания любых, наиболее желаемых для него. Точно так же, если Алиса не объявляет о своем «звонке» Бобу, после того, как Боб подбрасывает монету и объявляет результат, Алиса может сообщить, что она вызвала любой результат, наиболее желаемый для нее. Алиса и Боб могут использовать обязательства в процедуре, которая позволит им доверять результату:
- Алиса «вызывает» подбрасывание монеты, но сообщает Бобу только обязательство на ее зов,
- Боб подбрасывает монету и сообщает результат,
- Алиса раскрывает то, чему она посвящена,
- Боб проверяет, что звонок Алисы соответствует ее обязательствам,
- Если откровение Алисы совпадает с результатом монеты, сообщенным Бобом, Алиса выигрывает.
Чтобы Боб мог исказить результаты в свою пользу, он должен понимать призыв, скрытый в обязательствах Алисы. Если схема обязательств хороша, Боб не может исказить результаты. Точно так же Алиса не может повлиять на результат, если она не может изменить значение, которое она принимает.[5][7]
Реальное применение этой проблемы существует, когда люди (часто в СМИ) принимают решение или дают ответ в «запечатанном конверте», который затем открывается. «Давайте выясним, так ли ответил кандидат», например, на игровом шоу, может служить моделью этой системы.
Доказательства с нулевым разглашением
Одним из конкретных мотивирующих примеров является использование схем обязательств в доказательства с нулевым разглашением. Обязательства используются в доказательствах с нулевым разглашением для двух основных целей: во-первых, чтобы позволить доказывающему участвовать в доказательствах «вырезать и выбрать», где проверяющему будет предложено выбрать, что изучать, а доказывающий покажет только то, что соответствует на выбор верификатора. Схемы обязательств позволяют доказывающему указать всю информацию заранее и раскрыть только то, что должно быть раскрыто позже в доказательстве.[10] Обязательства также используются в доказательствах с нулевым разглашением верификатором, который часто уточняет свой выбор заранее в обязательстве. Это позволяет составлять доказательства с нулевым разглашением параллельно, не раскрывая доказывающему дополнительную информацию.[11]
Схемы подписи
В Схема подписи Лэмпорта это цифровой подписи система, которая полагается на поддержку двух наборов секретных пакетов данных, публикацию проверяемые хэши пакетов данных, а затем выборочно раскрывает частичные пакеты секретных данных способом, который конкретно соответствует подписываемым данным. Таким образом, предшествующая публичная приверженность секретным ценностям становится критически важной частью функционирования системы.
Поскольку Подпись Лэмпорта систему нельзя использовать более одного раза (см. соответствующая статья для подробностей) была разработана система, объединяющая множество наборов ключей Лампорта в одно публичное значение, которое может быть привязано к человеку и проверено другими. Эта система использует деревья хеши для сжатия многих опубликованных наборов ключей-обязательств в одно хеш-значение, которое может быть связано с предполагаемым автором более поздних проверенных данных.
Проверяемый секретный обмен
Еще одно важное применение обязательств заключается в поддающийся проверке секретный обмен, важный строительный блок безопасное многостороннее вычисление. В секретный обмен В этой схеме каждая из нескольких сторон получает «доли», стоимость которых должна быть скрыта от всех. Если соберется достаточное количество сторон, их доли можно будет использовать для восстановления секрета, но даже злонамеренный клика недостаточного размера ничему не научиться. Обмен секретами лежит в основе многих протоколов для безопасное вычисление: чтобы безопасно вычислить функцию некоторого общего ввода, вместо этого манипулируют секретными долями. Однако, если общие ресурсы будут созданы злоумышленниками, может быть важно, чтобы эти общие ресурсы можно было проверить на правильность. В поддающейся проверке схеме совместного использования секрета распространение секрета сопровождается обязательствами по отношению к отдельным долям. Обязательства не раскрывают ничего, что могло бы помочь нечестной клике, но акции позволяют каждой отдельной стороне проверить, верны ли их доли.[12]
Определение безопасности
Формальные определения схем обязательств сильно различаются по обозначениям и по содержанию. Первый такой вариант заключается в том, обеспечивает ли схема фиксации идеальную или вычислительную безопасность в отношении свойств сокрытия или привязки. Другой такой вариант заключается в том, является ли обязательство интерактивным, т. Е. Можно ли рассматривать как фазу фиксации, так и фазу раскрытия как выполняемые объектом криптографический протокол или являются ли они неинтерактивными, состоящими из двух алгоритмов Совершить и Проверить. В последнем случае Проверить часто можно рассматривать как дерандомизированную версию Совершить, со случайностью, используемой Совершить составляющие вводную информацию.
Если обязательство C к значению Икс вычисляется как C: = Зафиксировать (x, открыть) с открыто случайность, используемая для вычисления обязательства, тогда CheckReveal (C, x, открыть) просто состоит в проверке уравнения C = Зафиксировать (x, открыть).
Используя это обозначение и некоторые знания о математические функции и теория вероятности формализуем разные варианты связывающих и скрывающих свойств обязательств. Две наиболее важные комбинации этих свойств - это полностью связывающие и вычислительно скрывающие схемы фиксации и вычислительно связывающие и полностью скрывающие схемы фиксации. Обратите внимание, что никакая схема обязательств не может быть одновременно и полностью связывающей, и полностью скрытой - вычислительно неограниченный противник может просто генерировать Зафиксировать (x, открыть) для каждого значения Икс и открыто пока не найдешь пару, которая выводит C, и в совершенно связывающей схеме это однозначно идентифицирует Икс.
Вычислительная привязка
Позволять открыто быть выбранным из набора размеров , т.е. его можно представить как k битовая строка, и пусть - соответствующая схема обязательств. Поскольку размер k определяет безопасность схемы фиксации, он называется параметром безопасности.
Тогда для всех неоднородный вероятностные алгоритмы полиномиального времени, которые выводят и увеличивающейся длины k, вероятность того, что и это незначительная функция в k.
Это форма асимптотический анализ. То же требование можно также сформулировать, используя конкретная безопасность: Схема обязательств Совершить является безопасно, если для всех алгоритмов, которые выполняются во времени т и вывод вероятность того, что и самое большее .
Идеальное, статистическое и вычислительное сокрытие
Позволять - равномерное распределение по открывающие значения для параметра безопасности k. Схема обязательств - это, соответственно, совершенное, статистическое или вычислительное сокрытие, если для всех в вероятностные ансамбли и равны, статистически близко, или же вычислительно неразличимый.
Невозможность универсально составных схем обязательств
Невозможно реализовать схемы обязательств в универсальная компоновка (UC) фреймворк. Причина в том, что приверженность UC должна быть извлекаемый, как показано Канетти и Фишлином[13] и объяснено ниже.
Идеальная функциональность обязательств, обозначенная здесь F, работает примерно следующим образом. Коммиттер C отправляет значение м к F, который сохраняет его и отправляет "квитанцию" получателю р. Потом, C отправляет "открыть"F, который отправляет м к р.
Теперь предположим, что у нас есть протокол π который реализует эту функциональность. Предположим, что коммиттер C поврежден. В рамках UC это означает, что C теперь контролируется средой, которая пытается отличить выполнение протокола от идеального процесса. Рассмотрим среду, которая выбирает сообщение м а затем рассказывает C действовать в соответствии с предписаниями π, как если бы он взял на себя м. Обратите внимание, что для реализации F, получатель должен после получения обязательства вывести сообщение «получение». После того, как среда увидит это сообщение, оно сообщает C открыть обязательство.
Протокол является безопасным только в том случае, если этот сценарий неотличим от идеального случая, когда функциональность взаимодействует с симулятором. S. Здесь, S имеет контроль над C. В частности, когда р выводит "квитанцию", F должен поступать так же. Единственный способ сделать это - S сказать C отправить значение F. Однако обратите внимание, что к этому моменту м не известно S. Следовательно, когда фиксация открывается во время выполнения протокола, маловероятно, что F откроется для м, пока не S может извлечь м из сообщений, полученных из среды до р выводит квитанцию.
Однако протокол, который можно извлечь в этом смысле, не может быть статистически скрыт. Предположим такой тренажер S существуют. Теперь рассмотрим среду, которая вместо разрушения C, развращает р вместо. Кроме того, он запускает копию S. Сообщения, полученные от C подаются в S, и ответы от S пересылаются C.
Окружающая среда изначально говорит C передать сообщение м. В какой-то момент взаимодействия S будет придерживаться ценности м; это сообщение передано р, кто выводит м. Отметим, что по предположению мы имеем m '= m с большой вероятностью. Теперь в идеальном процессе симулятор должен придумать м. Но это невозможно, потому что на данный момент обязательство еще не открыто, поэтому единственное сообщение р может быть получено в идеальном процессе - это "квитанционное" сообщение. Таким образом, мы получили противоречие.
Строительство
Схема обязательств может быть либо полностью обязывающей (Алиса не может изменить свое обязательство после того, как она его сделала, даже если у нее неограниченные вычислительные ресурсы), либо полностью скрывающей (Боб не может узнать об обязательстве, пока Алиса его не раскроет. , даже если у него неограниченные вычислительные ресурсы), но не то и другое вместе.
Бит-обязательство в случайной модели оракула
Схемы фиксации битов тривиально построить в случайный оракул модель. Учитывая хэш-функция H с 3k битовый вывод, чтобы зафиксировать k-битовое сообщение м, Алиса генерирует случайный k битовая строка р и отправляет Бобу H (р||м). Вероятность того, что любой р', м' существуют где м' ≠ м такое, что H (р'||м') = H (р||м) составляет ≈ 2−k, но чтобы проверить любое предположение о сообщении м Бобу нужно будет сделать 2k (при неправильном предположении) или 2k-1 (в среднем, для правильного предположения) запросы к случайному оракулу.[14] Отметим, что более ранние схемы, основанные на хэш-функциях, по сути, можно рассматривать как схемы, основанные на идеализации этих хеш-функций как случайного оракула.
Битовая фиксация от любой односторонней перестановки
Можно создать схему битовой фиксации из любого односторонняя функция это инъективно. Схема основана на том, что каждая односторонняя функция может быть изменена (через Теорема Гольдрайха-Левина ) обладать вычислительно жесткий предикат (при сохранении инъективности). Позволять ж быть инъективной односторонней функцией, с час жесткий предикат. Затем совершить немного б Алиса выбирает случайный ввод Икс и отправляет тройку
Бобу, где обозначает XOR, т.е., поразрядное сложение по модулю 2. Чтобы разложить, Алиса просто отправляет Икс Бобу. Боб проверяет, вычисляя ж(Икс) и сравнивая с зафиксированным значением. Эта схема скрывает, потому что для восстановления Боба б он должен выздороветь час(Икс). С час вычислительно жесткий предикат, восстанавливающий час(Икс) из ж(Икс) с вероятностью больше половины так же сложно, как инвертировать ж. Идеальное связывание следует из того, что ж инъективен и, следовательно, ж(Икс) имеет ровно один прообраз.
Битовая фиксация от псевдослучайного генератора
Обратите внимание, что, поскольку мы не знаем, как построить одностороннюю перестановку из какой-либо односторонней функции, этот раздел снижает надежность криптографического допущения, необходимого для построения протокола с фиксацией битов.
В 1991 году Мони Наор показала, как создать схему битовых обязательств из криптографически безопасный генератор псевдослучайных чисел.[15] Конструкция следующая. Если грамм псевдослучайный генератор такой, что грамм берет п бит до 3п битов, то, если Алиса захочет зафиксировать немного б:
- Боб выбирает случайные 3п-битовый вектор р и отправляет р Алисе.
- Алиса выбирает случайный п-битовый вектор Y и вычисляет 3п-битовый вектор грамм(Y).
- Если б= 1 Алиса отправляет грамм(Y) Бобу, иначе она отправит побитовое Эксклюзивный или из грамм(Y) и р Бобу.
Чтобы вывести из строя Алиса, отправляет Y Бобу, который затем сможет проверить, получил ли он изначально грамм(Y) или же грамм(Y) р.
Эта схема является статистически обязательной, что означает, что даже если Алиса вычислительно неограничена, она не может обмануть с вероятностью более 2.−п. Чтобы Алиса обманывала, ей нужно было найти Y ', так что грамм(Y ') = грамм(Y) р. Если бы она могла найти такую ценность, она могла бы отказаться, отправив правду и Y, или отправьте противоположный ответ и Y '. Тем не мение, грамм(Y) и грамм(Y ') могут произвести только 2п возможные значения каждое (это 22п) пока р выбирается из 23п значения. Она не выбирает р, так что есть 22п/23п = 2−п вероятность того, что Y ' удовлетворяющее уравнению, необходимому для обмана, будет существовать.
Свойство маскировки следует из стандартной редукции: если Боб может сказать, зафиксировала ли Алиса ноль или единицу, он также может различить выходные данные генератора псевдослучайных грамм от истинно-случайного, что противоречит криптографической безопасности грамм.
Идеально связанная схема, основанная на проблеме дискретного журнала и не только
Алиса выбирает звенеть высшего порядка п, с мультипликативным генератором грамм.
Алиса случайным образом выбирает секретное значение Икс из 0 к п - 1 для фиксации и вычисляет c = граммИкс и издает c. В задача дискретного логарифмирования диктует это из c, невозможно вычислить Икс, поэтому в этом предположении Боб не может вычислить Икс. С другой стороны, Алиса не может вычислить Икс' <> Икс, так что граммИкс' = c, так что схема обязательна.
Эта схема не является полностью скрытой, поскольку кто-то может найти приверженность, если ему удастся решить задача дискретного логарифмирования. Фактически, эта схема совсем не скрывается по сравнению со стандартной игрой в сокрытие, в которой злоумышленник должен быть не в состоянии угадать, какое из двух выбранных им сообщений было отправлено - аналогично IND-CPA игра. Одним из следствий этого является то, что если пространство возможных значений Икс мала, то злоумышленник может просто попробовать их все, и обязательства не будут скрыты.
Лучшим примером схемы полностью связывающих обязательств является схема, в которой обязательством является шифрование Икс под семантически безопасный, схема шифрования с открытым ключом с идеальной полнотой, а декомпозиция представляет собой строку случайных битов, используемых для шифрования Икс. Примером схемы обязательств, теоретически скрывающей информацию, является схема обязательств Педерсена, которая является обязательной при допущении дискретного логарифма. В дополнение к схеме выше, он использует другой генератор час простой группы и случайного числа р. Обязательство установлено .[16]
Эти конструкции тесно связаны с алгебраическими свойствами основных групп и основаны на них, и изначально казалось, что это понятие очень сильно связано с алгеброй. Однако было показано, что базирование статистически связывающих схем фиксации на общем неструктурированном предположении возможно через понятие интерактивного хеширования для обязательств из общих допущений сложности (в частности и изначально, основанных на любой односторонней перестановке), как в.[17]
Квантовые биты
Это интересный вопрос в квантовая криптография если безусловно безопасный Протоколы фиксации битов существуют на квантовом уровне, то есть протоколы, которые (по крайней мере, асимптотически) связывают и скрывают, даже если нет ограничений на вычислительные ресурсы. Можно было надеяться, что есть способ использовать внутренние свойства квантовой механики, как в протоколах для безусловно безопасное распространение ключей.
Однако это невозможно, как показал Доминик Майерс в 1996 г. (см. [18] для оригинального доказательства). Любой такой протокол можно свести к протоколу, в котором система находится в одном из двух чистых состояний после фазы фиксации, в зависимости от бита, который Алиса хочет зафиксировать. Если протокол является безусловно скрывающим, то Алиса может унитарно преобразовывать эти состояния друг в друга, используя свойства Разложение Шмидта, эффективно побеждая свойство привязки.
Одним из тонких предположений доказательства является то, что фаза фиксации должна быть завершена в какой-то момент времени. Это оставляет место для протоколов, которые требуют продолжения информационного потока, пока бит не будет раскрыт или протокол не будет отменен, и в этом случае он больше не является обязательным.[19] В более общем плане доказательство Майерса применимо только к протоколам, использующим квантовая физика но нет специальная теория относительности. Кент показал, что существуют безусловно безопасные протоколы для фиксации битов, которые используют принцип специальная теория относительности заявляя, что информация не может перемещаться быстрее света.[20]
Обязательства, основанные на физических неклонируемых функциях
Физические неклонируемые функции (PUF) полагаются на использование физического ключа с внутренней случайностью, который трудно клонировать или эмулировать. Электронные, оптические и другие типы ППУ[21] широко обсуждались в литературе в связи с их потенциальными криптографическими приложениями, включая схемы фиксации.[22][23]
Смотрите также
Рекомендации
- ^ Одед Гольдрайх (2001). Основы криптографии: Том 1, Основные инструменты, (черновик доступен с сайта автора). Издательство Кембриджского университета. ISBN 0-521-79172-3. (смотрите также http://www.wisdom.weizmann.ac.il/~oded/foc-book.html ) :224
- ^ Жиль Брассар, Давид Чаум и Клод Крепо, Минимальные доказательства раскрытия информации, Журнал компьютерных и системных наук, вып. 37, стр. 156–189, 1988.
- ^ Гольдрайх, Одед; Микали, Сильвио; Вигдерсон, Ави (1991). «Доказательства, которые не дают ничего, кроме их достоверности». Журнал ACM. 38 (3): 690–728. CiteSeerX 10.1.1.420.1478. Дои:10.1145/116825.116852. S2CID 2389804.
- ^ Рассел Импаглиаццо, Моти Юнг: прямые вычисления с минимальными знаниями. КРИПТО 1987: 40-51
- ^ а б Мони Наор, Битовая фиксация с использованием псевдослучайности, Journal of Cryptology 4: 2 pp. 151–158, 1991.
- ^ а б Клод Крепо, Обязательство, MCgill.ca, по состоянию на 11 апреля 2008 г.
- ^ а б Мануэль Блюм, Подбрасывание монет по телефону, Труды КРИПТО 1981, стр. 11–15, 1981, перепечатано в SIGACT News vol. 15. С. 23–27, 1983.
- ^ Шимон Эвен. Протокол для заключения договоров. В Аллен Гершо, изд., Достижения в криптографии (протоколы CRYPTO '82), стр. 148–153, Санта-Барбара, Калифорния, США, 1982.
- ^ А. Шамир, Р. Л. Ривест, и Л. Адлеман, Ментальный покер. В Дэвид А. Кларнер, изд., Математический ГарднерС. 37–43. Уодсворт, Белмонт, Калифорния, 1981.
- ^ Одед Гольдрайх, Сильвио Микали, и Ави Вигдерсон, Доказательства, которые не дают ничего, кроме их достоверности, или все языки в NP имеют системы доказательств с нулевым разглашением., Журнал ACM, 38: 3, стр. 690–728, 1991
- ^ Одед Гольдрайх и Уго Кравчик, О составе систем доказательства с нулевым разглашением, SIAM Журнал по вычислениям, 25: 1, с. 169–192, 1996
- ^ Дженнаро; Росарио; Рабин, Майкл O .; Рабин, Таль. «Упрощенный VSS и ускоренные многосторонние вычисления с приложениями для пороговой криптографии». Материалы семнадцатого ежегодного симпозиума ACM по принципам распределенных вычислений. 1998, июнь.
- ^ Р. Канетти и М. Фишлин. Универсально составные обязательства.
- ^ Вагнер, Дэвид (2006), Среднесрочное решение, п. 2, получено 26 октября 2015
- ^ «Цитаты: битовые обязательства с использованием псевдослучайных генераторов - Наор (ResearchIndex)». Citeseer.ist.psu.edu. Получено 2014-06-07.
- ^ Тан, Чуньмин; Пей, Динъи; Лю, Чжоцзюнь; Он, Йонг (16 августа 2004 г.). «Педерсен: неинтерактивный и теоретически информационный безопасный проверяемый секретный обмен» (PDF). Архив криптологии ePrint. Достижения в криптологии CRYPTO 1991 Springer. Архивировано из оригинал (PDF) 11 августа 2017 г.. Получено 2 февраля 2019.
- ^ Мони Наор, Рафаил Островский, Рамаратнам Венкатесан, Моти Юнг: идеальные аргументы с нулевым разглашением для NP, использующего любую одностороннюю перестановку. J. Cryptology 11 (2): 87-108 (1998).[1]
- ^ Брассар, Крепо, Майерс, Сальвей: Краткий обзор невозможности приверженности квантовому биту
- ^ А. Кент: Обеспечьте классическую фиксацию битов с помощью каналов связи фиксированной емкости
- ^ Кент, А. (1999). «Безоговорочно безопасное обязательство по битам». Phys. Rev. Lett. 83 (7): 1447–1450. arXiv:Quant-ph / 9810068. Bibcode:1999ПхРвЛ..83.1447К. Дои:10.1103 / PhysRevLett.83.1447. S2CID 8823466.
- ^ Макграт, Томас; Багчи, Ибрагим Э .; Wang, Zhiming M .; Рёдиг, Утц; Янг, Роберт Дж. (12 февраля 2019 г.). «Таксономия PUF». Обзоры прикладной физики. 6 (1): 011303. Bibcode:2019АпПРв ... 6а1303М. Дои:10.1063/1.5079407.
- ^ Рюрмаир, Ульрих; ван Дейк, Мартен (1 апреля 2013 г.). «О практическом использовании физических неклонируемых функций в протоколах неявной передачи и передачи битов». Журнал криптографической инженерии. 3 (1): 17–28. Дои:10.1007 / s13389-013-0052-8. HDL:1721.1/103985. ISSN 2190-8516. S2CID 15713318.
- ^ Николопулос, Георгиос М .; Николопулос, Георгиос М. (30.09.2019). «Оптическая схема для криптографических обязательств с физическими неклонируемыми ключами». Оптика Экспресс. 27 (20): 29367–29379. arXiv:1909.13094. Bibcode:2019OExpr..2729367N. Дои:10.1364 / OE.27.029367. ISSN 1094-4087. PMID 31684673. S2CID 203593129.