Искаженная схема - Garbled circuit - Wikipedia
Эта статья может быть слишком техническим для большинства читателей, чтобы понять.Январь 2017 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Искаженная схема это криптографический протокол что позволяет двусторонним безопасное вычисление в котором две недоверчивые стороны могут совместно оценить функция через их личные входы без присутствия доверенной третьей стороны. В протоколе искаженной схемы функция должна быть описана как Логическая схема.
История искаженных схем сложна. Изобретение искаженной схемы было приписано Эндрю Яо, поскольку Яо представил эту идею в устной презентации своей статьи[1] в FOCS'86. Это было задокументировано Одед Гольдрайх в 2003 г.[2] Первый письменный документ об этой технике был написан Голдрайхом, Микали, иWigderson в STOC'87.[3] Искаженная схема была впервые названа Бивером, Микали и Rogaway в STOC'90.[4] Протокол Яо решает Проблема миллионеров Яо был начальным примером безопасных вычислений, но он не имеет прямого отношения к искаженным схемам.
Фон
Незаметный перевод
В протоколе искаженной схемы мы используем не обращая внимания на передачу. В неосознанной передаче нить передается между отправителем и получателем следующим образом: отправитель имеет две строки и . Получатель выбирает и отправитель отправляет с протоколом передачи не обращая внимания, так что
- получатель не получает никакой информации о ,
- значение не передается отправителю.
Обратите внимание, что пока получатель не знает значения, на практике получатель знает некоторую информацию о том, что кодирует так, чтобы получатель не выбирал вслепую . То есть, если кодирует ложное значение, кодирует истинное значение, и получатель хочет получить закодированное истинное значение, получатель выбирает .
В не обращая внимания на передачу может быть построен с использованием асимметричная криптография словно Криптосистема RSA.
Определения и обозначения
Оператор строка конкатенация. Оператор побитово XOR. k это параметр безопасности и длина ключей. Оно должно быть больше 80 и обычно устанавливается на 128.
Протокол искаженной схемы
Протокол состоит из 6 шагов:
- Базовая функция (например, в проблеме миллионеров, функция сравнения) описывается как логическая схема с двумя входами. Схема известна обеим сторонам. Этот шаг может быть выполнен сторонним лицом.
- Алиса искажения (шифрует) схему. Мы называем Алису мусорщик.
- Алиса отправляет искаженная схема Бобу вместе с ее зашифрованным вводом.
- Чтобы рассчитать схему, Бобу также нужно искажать свой собственный ввод. Для этого ему нужна помощь Алисы, потому что только мусорщик знает, как зашифровать. Наконец, Боб может зашифровать свой ввод, не обращая внимания на передачу. В терминах определения, приведенного выше, Боб является получателем, а Алиса - отправителем в этой не обращающей внимания передаче.
- Боб оценивает (расшифровывает) схему и получает зашифрованные выходные данные. Мы называем Боба оценщик.
- Алиса и Боб общаются, чтобы узнать результат.
Схема генерации
В Логическая схема для небольших функций можно сгенерировать вручную. Принято делать схему из 2-х входных XOR и И ворота. Важно, чтобы сгенерированная схема имела минимальное количество логических элементов И (см. Бесплатная оптимизация XOR ). Существуют методы, которые генерируют оптимизированную схему с точки зрения количества логических элементов И, используя логический синтез техника.[5] Схема для проблемы миллионеров - это цифровой компаратор цепь (которая представляет собой цепочку полные сумматоры работая как вычитатель и вывод нести флаг ). Полная схема сумматора может быть реализована с использованием только одного И ворота и некоторые XOR ворота. Это означает, что общее количество логических элементов И для схемы задачи миллионеров равно разрядности входных данных.
Искажение
Алиса (мусорщик) шифрует Логическая схема на этом этапе, чтобы получить искаженная схема. Алиса назначает две случайно сгенерированные строки, называемые этикетки к каждому проводу в цепи: один для Булево семантический 0 и один для 1. (Метка имеет длину k бит, где k - параметр безопасности и обычно устанавливается на 128.) Затем она переходит ко всем воротам в схеме и заменяет 0 и 1 в таблицы истинности с соответствующими метками. В таблице ниже показана таблица истинности для И ворота с двумя входами и вывод :
а | б | c |
---|---|---|
0 | 0 | 0 |
0 | 1 | 0 |
1 | 0 | 0 |
1 | 1 | 1 |
Алиса заменила 0 и 1 соответствующими метками:
а | б | c |
---|---|---|
Затем она шифрует выходную запись таблица истинности с соответствующими двумя метками входа. Зашифрованная таблица называется искаженной таблицей. Это сделано для того, чтобы расшифровать искаженную таблицу, только если у него есть две правильные метки ввода. В таблице ниже это двойной ключ симметричное шифрование в котором k - секретный ключ, а X - значение, которое нужно зашифровать (см. Блокирующий шифр с фиксированным ключом ).
Искаженная таблица |
---|
После этого Алиса случайным образом переставляет таблицу так, что выходное значение не может быть определено из строки. Название протокола, искаженный, получается из этой случайной перестановки.
Передача данных
Алиса отправляет Бобу вычисленные искаженные таблицы для всех вентилей в схеме. Бобу нужны метки ввода, чтобы открывать искаженные таблицы. Таким образом, Алиса выбирает метки, соответствующие ее вводу. и отправляет их Бобу. Например, если ввод Алисы , затем она отправляет , , , , и Бобу. Боб ничего не узнает о вводе Алисы, , поскольку метки генерируются Алисой случайным образом и для Боба они выглядят как случайные строки.
Бобу также нужны метки, соответствующие его вводу. Он получает свои лейблы через не обращая внимания на переводы за каждый бит его ввода. Например, если ввод Боба , Боб сначала спрашивает между лейблами Алисы и . Через 1-из-2 не обращая внимания на передачу, он получает и так далее. После не обращая внимания на переводы, Алиса ничего не узнает о вводе Боба, а Боб ничего не узнает о других метках.
Оценка
После передачи данных у Боба есть искаженные таблицы и метки ввода. Он проходит через все ворота один за другим и пытается расшифровать строки в их искаженных таблицах. Он может открыть одну строку для каждой таблицы и получить соответствующую метку вывода: , куда . Он продолжает оценку, пока не дойдет до меток вывода.
Выявление результатов
После оценки Боб получает метку вывода, , и Алиса знает его отображение на логическое значение, поскольку у нее есть обе метки: и . Либо Алиса может поделиться своей информацией с Бобом, либо Боб может показать результат Алисе, так что один или оба из них узнают результат.
Оптимизация
Точка и перестановка
В этой оптимизации Алиса генерирует случайный бит, , называемый бит выбора для каждого провода . Затем она устанавливает первый бит метки 0, к и первый бит метки 1, , к (НЕТ из ). Затем она вместо случайной перестановки сортирует искаженную таблицу в соответствии с битом выбора входов. Таким образом, Бобу не нужно проверять все четыре строки таблицы, чтобы найти правильную, поскольку у него есть входные метки, и он может найти правильную строку и расшифровать ее с одной попытки. Это снижает нагрузку на оценку в 4 раза. Он также ничего не сообщает о выходном значении, потому что биты выбора генерируются случайным образом.[6]
Уменьшение ряда
Эта оптимизация уменьшает размер искаженных таблиц с 4 до 3 строк. Здесь вместо случайной генерации метки для выходного провода логического элемента Алиса генерирует ее, используя функцию входных меток. Она генерирует метки вывода так, что первая запись искаженной таблицы становится равной 0 и ее больше не нужно отправлять:[7]
Бесплатный XOR
В этой оптимизации Алиса генерирует глобальное случайное (k-1) -битное значение который держится в секрете. Во время гардинга входных ворот и , она только генерирует ярлыки и вычисляет другие метки как и . Используя эти значения, метка выходного провода логического элемента XOR с входными проводами , установлен на . Доказательство безопасности этой оптимизации приведено в статье Free-XOR.[8]
Последствия
Бесплатная оптимизация XOR подразумевает важный момент, заключающийся в том, что объем передаваемых данных (обмена данными) и количество операций шифрования и дешифрования (вычислений) протокола искаженной схемы зависит только от количества И ворота в Логическая схема не Ворота XOR. Таким образом, между двумя логическими схемами, представляющими одну и ту же функцию, предпочтительна схема с меньшим количеством логических элементов И.
Блочный шифр с фиксированным ключом
Этот метод позволяет эффективно искажать и оценивать логические элементы И с использованием фиксированного ключа. AES вместо дорогостоящих криптографическая хеш-функция подобно SHA-2. В этой схеме искажения, которая совместима с Бесплатный XOR и Уменьшение строк методы, выходной ключ зашифрован входным токеном и используя функцию шифрования , куда , представляет собой блочный шифр с фиксированным ключом (например, созданный с помощью AES ), и уникальный номер для каждого шлюза (например, идентификатор шлюза), вызываемый поправить.[9]
Половина и
Эта оптимизация уменьшает размер искаженной таблицы для логических элементов И из 3 строк в Уменьшение строк до 2 рядов. Показано, что это теоретический минимум количества строк в искаженной таблице для определенного класса методов искажения.[10]
Смотрите также
Рекомендации
- ^ Яо, Эндрю Чи-Чи (1986). Как создавать и обмениваться секретами. Основы компьютерных наук, 1986., 27-й ежегодный симпозиум по. С. 162–167. Дои:10.1109 / SFCS.1986.25. ISBN 978-0-8186-0740-0.
- ^ Гольдрайх, Одед (2003). «Криптография и криптографические протоколы». Распределенные вычисления - доклады по случаю 20-летия PODC. 16 (2–3): 177–199. CiteSeerX 10.1.1.117.3618. Дои:10.1007 / s00446-002-0077-1.
- ^ Гольдрайх, Одед; Микали, Сильвио; Вигдерсон, Ави (1987). Как играть в ЛЮБУЮ мысленную игру. Proceeding STOC '87 Proceedings девятнадцатого ежегодного симпозиума ACM по теории вычислений. С. 218–229. Дои:10.1145/28395.28420. ISBN 978-0897912211.
- ^ Бивер, Дональд; Микали, Сильвио; Rogaway, Филипп (1990). Круглая сложность защищенных протоколов. Proceeding STOC '90 Труды двадцать второго ежегодного симпозиума ACM по теории вычислений. С. 503–513. CiteSeerX 10.1.1.697.1624. Дои:10.1145/100216.100287. ISBN 978-0897913614.
- ^ Сонгори, Эбрахим М.; Хуссейн, Сиамский университет; Садеги, Ахмад-Реза; Шнайдер, Томас; Кушанфар, Фариназ (2015). TinyGarble: сильно сжатые и масштабируемые последовательные искаженные схемы. Безопасность и конфиденциальность (SP), Симпозиум IEEE 2015 г.. С. 411–428. Дои:10.1109 / SP.2015.32. ISBN 978-1-4673-6949-7.
- ^ Бивер, Дональд; Микали, Сильвио; Rogaway, Филипп (1990). Круглая сложность безопасных протоколов. Материалы двадцать второго ежегодного симпозиума ACM по теории вычислений. С. 503–513. CiteSeerX 10.1.1.697.1624. Дои:10.1145/100216.100287. ISBN 978-0897913614.
- ^ Наор, Мони; Пинкас, Бенни; Самнер, Ройбан (1999). Аукционы с сохранением конфиденциальности и конструкция механизма. Труды 1-й конференции ACM по электронной коммерции. С. 129–139. CiteSeerX 10.1.1.17.7459. Дои:10.1145/336992.337028. ISBN 978-1581131765.
- ^ Колесников Владимир; Шнайдер, Томас (2008). Улучшенная искаженная схема: бесплатные шлюзы и приложения XOR. Международный коллоквиум по автоматам, языкам и программированию. Конспект лекций по информатике. 5126. С. 486–498. CiteSeerX 10.1.1.160.5268. Дои:10.1007/978-3-540-70583-3_40. ISBN 978-3-540-70582-6.
- ^ Белларе, Михир; Хоанг, Вьет Тунг; Келведи, Шрирам; Rogaway, Филипп (2013). Эффективное искажение блочного шифра с фиксированным ключом. Безопасность и конфиденциальность (SP), Симпозиум IEEE 2013 г.. С. 478–492. CiteSeerX 10.1.1.299.2755. Дои:10.1109 / SP.2013.39. ISBN 978-0-7695-4977-4.
- ^ Захур, Сами; Розулек, Майк; Эванс, Дэвид (2015). Две половинки составляют единое целое (PDF).
дальнейшее чтение
- "Искаженная схема Яо" (PDF). CS598. illinois.edu. Получено 18 октября 2016.