模型

Ideal Model

計算函數$f:\{0,1{\}}^{?}\times \{0,1{\}}^{?}\to \{0,1{\}}^{?}\times \{0,1{\}}^{?}$的兩方協議$\pi$，參與方是$P_1,P_2$。存在敵手$A$完全控制損壞的一方$P_i,i\in \{0,1\}$，誠實的另一方記做$P_j,j=1?i$，另外存在一個可信第三方（trusted party）$T$，一共$4$個實體。

輸入：$P_1$的輸入是$x$，$P_2$的輸入是$y$，$A$的輔助輸入是$z$，安全參數$1^n$作為$4$者的公共輸入。

將輸入發送給可信第三方：誠實方$P_j$發送$x$給$T$，敵手$A$控制損壞方$P_i$給$T$發送如下三者之一，$abor{t}_i$終止信息、輸入$y$、相同長度的其他任意信息，這取決于敵手$A$對$z,x$的觀察。將$P_1,P_2$給$T$發送的消息統一記做$(x^{\prime },y^{\prime })$

提前終止：如果接收到$abor{t}_i$，那么$T$給$P_j$發送終止符

可信第三方發送輸出：

$T$計算$f(x^{\prime },y^{\prime })=(f_1(x^{\prime },y^{\prime }),f_2(x^{\prime },y^{\prime }))$，將$f_i(x^{\prime },y^{\prime })$發送給$A$控制的$P_i$

敵手$A$決定發送$continue$還是$abor{t}_i$給$T$

如果$T$接收到的是$continue$，那么將$f_j(x^{\prime },y^{\prime })$發送給誠實方$P_j$；否則，發送$abor{t}_i$給$P_j$

輸出：誠實方$P_j$輸出$f_j(x^{\prime },y^{\prime })$，損壞方$P_i$不輸出，敵手$A$輸出任意的關于$inpu{t}_i\in \{x,y\},z,f_i(x^{\prime },y^{\prime })$的PPT可計算函數值。

上述過程的輸出叫做在$(x,y),z,n$下的函數$f$的ideal execution，記做$IDEA{L}_{f,A(z),i}(x,y,n)$，包含$P_j$和$A$的輸出。

Real Model

計算函數$f:\{0,1{\}}^{?}\times \{0,1{\}}^{?}\to \{0,1{\}}^{?}\times \{0,1{\}}^{?}$的兩方協議$\pi$，參與方是$P_1,P_2$。存在敵手$A$完全控制損壞的一方$P_i,i\in \{0,1\}$，誠實的另一方記做$P_j,j=1?i$，不存在可信第三方，一共$3$個實體。

輸入：$P_1$的輸入是$x$，$P_2$的輸入是$y$，$A$的輔助輸入是$z$，安全參數$1^n$作為$3$者的公共輸入。

交互：誠實方$P_j$嚴格按照$\pi$的規則執行，敵手$A$控制損壞方$P_j$按照任意的多項式時間策略發送$P_j$的消息空間中的任意消息。

輸出：誠實方$P_j$輸出$f_j(x^{\prime },y^{\prime })$，損壞方$P_i$不輸出，敵手$A$輸出任意的關于$inpu{t}_i\in \{x,y\},z,f_i(x^{\prime },y^{\prime })$的PPT可計算函數值。

上述過程的輸出叫做在$(x,y),z,n$下的函數$f$的real execution，記做$REA{L}_{\pi ,A(z),i}(x,y,n)$，包含$P_j$和$A$的輸出。

惡意敵手下的安全性定義

令$f$是兩方協議$\pi$要計算的函數，我們說$\pi$在惡意敵手下帶終止的安全地計算$f$（securely compute $f$ with abort in the presence of static malicious adversaries），如果對于任意非均勻PPT的真實模型下的敵手$A$，都存在一個非均勻PPT的理想模型下的敵手$S$，對于任意的$i\in \{0,1\}$，都有
$$\{IDEA{L}_{f,S(z),i}(x,y,n){\}}_{x,y,z,n}\stackrel{c}{\equiv }\{REA{L}_{\pi ,A(z),i}(x,y,n){\}}_{x,y,z,n}$$
其中$x,y\in \{0,1{\}}^{?}$，$|x|=|y|$，以及$z\in \{0,1{\}}^{?}$，$n\in N$

在討論安全計算時，我們總是考慮“abort”的。另外，真實世界的概率性敵手$A$往往被當做黑盒，于是模擬器$S$可以定義$A^{\prime }(?):=A(x,z,r;?)$，其中$r$是隨機帶，那么$A^{\prime }$就是確定性敵手。在證明中只需考慮確定性敵手即可。

Modular Sequential Composition

順序組合定理（Sequential composition theorems）：如果一個協議在獨立模型下（in the stand-alone model）是$X$定義下安全的（secure under definition $X$），那么它在順序組合（每一個進程在下一個進程開始前結束）下是$X$定義下安全的。

在設計協議時，我們可以令這個協議包含一個理想模型下的子例程。首先證明子例程是安全的，然后用可信第三方計算這個子例程，在理想模型下證明協議的安全性。

Hybrid Model：協議參與方之間進行交互（as in the real model），同時也使用可信第三方（as in the ideal model）。即，協議$\pi$包含一系列理想調用（ideal calls）來計算$f_1,?,f_{p(n)}$，且$f_i$在$f_{i+1}$之前被調用。調用期間參與方之間不交互。每次理想調用是獨立的，可信第三方不保存調用狀態。參與方的交互信息記做standard message，與可信第三方的交互信息記做ideal message。

Blum擲硬幣協議

擲硬幣（Coin Tossing）：一個兩方協議計算函數$f_{ct}(\lambda ,\lambda )=(U_1,U_1)$，其中$U_1\in \{0,1\}$是單個隨機比特。

如何擲硬幣？很簡單：$P_1$和$P_2$各自選擇一個隨機比特$b_1,b_2$，然后發送給對方，計算兩者的異或值$b=b_1\oplus b_2$。但是，如果在$P_i$發送$b_i$之前就收到了$b_{1?i}$，那么他就可以選擇$b_i\leftarrow b\oplus b_{i?1}$使得擲硬幣結果偏向于$b$。解決方案是：“同時”發送，但同步信道難以實現。

Blum協議：使用承諾方案來解決同步問題。

輸入：安全參數$1^n$作為$P_1,P_2$的公共輸入

執行：

$P_1$隨機選擇$b_1\in \{0,1\}$以及隨機數$r\in \{0,1{\}}^{?}$，計算承諾值$c\leftarrow Com(b_1;r)$發送給$P_2$

$P_2$接收到$c$之后，隨機選擇$b_2\in \{0,1\}$，發送明文給$P_1$

$P_1$接收到$b_2$后，發送解承諾$(b_1,r)$給$P_2$

$P_2$驗證$c=Com(b_1;r)$是否滿足

輸出：$P_1$和$P_2$各自輸出相同的擲硬幣結果，$b=b_1\oplus b_2$

解釋：$P_2$接收到$c$之后，$P_1$便無法再更改$b_1$（承諾協議的綁定性），同時$P_2$也無法獲得關于$b_1$的信息來使得結果偏向$b$（承諾協議的隱藏性）。

證明安全性：模擬器$S$的挑戰目標是，讓它模擬的擲硬幣結果等于理想模型下可信第三方返回的結果。

$S$發送$\lambda$給計算$f_{ct}$的可信第三方，得到返回值$b$

$S$迭代$n$次，$i=1,?,n$，

首先隨機選擇$b_1$和$r$，計算$c=Com(b_1;r)$發送給$P_2$，同時發送給確定性敵手$A$

如果$A$返回的結果滿足$b_2=b\oplus b_1$，那么$S$發送解承諾$(b_1,r)$給$A$，并將$A$的相應作為輸出。

如果$A$返回的結果滿足$b_2=b\oplus b_1$，那么$i++$。

如果$i=n$，$S$輸出$fail$；否則繼續迭代。

由于擲單個硬幣，因此期望上只需要回滾$2$次即可令結果相同。$S$輸出$fail$的概率是$\mu (n)$；當輸出的不是$fail$時，它在$IDEAL$下和$REAL$下的輸出分布不可區分。

詳細證明過程很長，雖然協議看起來是如此簡單。結論是：假設$Com$是完美綁定的，那么Blum協議可以安全擲硬幣。

常數輪擲多個硬幣協議

應用順序組合定理，我們$l(n)$次擲單個硬幣，依然是安全的。然而，我們更希望獲得常數輪的擲多個硬幣。如果只是簡單地將Blum協議中的單個隨機比特$b_i\in \{0,1{\}}^{?}$替換成${\rho }_i\in \{0,1{\}}^{l(n)}$，這就沒法用模擬技術來證明安全性了，因為期望上這需要$2^{l(n)}$次回滾。

解決方案是，做承諾$c$之后，$P_1$不發送解承諾$({\rho }_1,r)$，而僅發送${\rho }_1$，并用零知識證明$c$就是${\rho }_1$對應的承諾。

令$f_{zk}^R((x,w),x)$是關于語言$R\in NP$的常數輪零知識證明協議，

$$f_{zk}^R((x,w),x):=\{\begin{array}{rlr}(\lambda ,R(x,w))& & x=x^{\prime }\\ (\lambda ,0)& & otherwise\end{array}$$

協議為：

利用混雜模型，可以證明：如果$Com$是完美綁定的，且$l(n)$是多項式的，那么上述協議 securely computes the functionality $f_{ct}^l(\lambda ,\lambda )=(U_{l(n)},U_{l(n)})$ in the $(f_{zk}^{R_1},f_{zk}^{R_2})?$hybrid model.

總結

以上是生活随笔為你收集整理的掷硬币协议的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。