Описание работы моделирующего устройства m

1.В раунде 1,Mмоделирует процессорP_i, выбирая случайный полиномh'_iстепениt+1 и посылаетh'_i(j) кP_j. В этом месте моделирующему устройству позволено получить из оракула выход функции, так чтоMбудет изучать истинный секретs. Если такой процессор является «подкупленным» противникомПротв конце этого раунда (или в следующих раундах), то иM, иПротузнают истинную долюs_lиMдолжен изменить полиномh'_lв соответствии с тем, чтоh'_l(0)=s_l, но без изменения значения в точках, уже известных противнику. Моделирующее устройствоMможет всегдаcделать это, потому что противник имеет не болееtточек полинома степениt+1.

2-8. В течение раундов 2-8 моделирующее устройство полностью следует явно командам процессоров. Так как все что делают процессоры в этих раундах полностью случайно и нет влияния на их входы,Mбудет всегда способно создать неразличимые распределения.

10. Моделирующее устройство Mвыбирает полиномgстепениt+1 такой, чтоg(0)=sи затем для каждого процессораP_i, устройствоMраспространяетg(i)+p_i(i)+...+p_n(i), гдеp_j- полином, распределенный процессоромP_jв течение раундов 2-8 моделирования. Интерполяция Рида-Соломона этих значений даст как результат секрет s. Если процессорP_lявляется сбоящим в конце этого раунда, тогда иM, иПротузнают из оракула истинную долю входаs_l. Еслиs_lg(l), тогдаMтолько изменит значениеp_lв точкеlтак, чтобы сделать полную сумму соответствующей такой широковещательной передаче.

Моделирование неотличимо от реального выполнения с точки зрения противника. Фактически, в раундах 2-8 все сообщения случайны и не связаны с входом, так что моделирующее устройство может легко играть роль несбоящих процессоров. В раунде 1 противник просматривает не более tдолей реального входа несбоящих процессоров. В соответствии со свойствами схемы разделения секрета Шамира, эти доли полностью случайны и, таким образом, могут моделироваться даже без знания реального входа (как и в случае с моделирующим устройством). В раунде  9 реальная доля распространена «скрытым образом» как случайный «мусор», а это позволит моделирующему устройству распространять сообщение несбоящих процессоров с необходимым распределением даже без знания реального входа. ▄

С доказательством лемм 3.1 – 3.4 доказательство теоремы 3.1 следует считать законченным. ▄

Здесь уместно сделать следующее замечание. Схемы (протоколы) конфиденциальных вычислений являются чрезвычайно сложным объектом исследований. Как видно из сказанного выше, даже описание и доказательство безопасности одного из базовых примитивов в протоколах конфиденциального вычисления функции, - схемы проверяемого разделения секрета являются чрезвычайно громоздкими и сложными.

6. Синхронные конфиденциальные вычисления

   1. Примитив «Забывающий обмен»

Пусть k- фиксированное целое и пустьb₁,b₂,...,b_k{0,1} иi{1,...,k}.

Тогда забывающий обмен OT^k₁определяется как функциональная зависимость:

OT^k₁((b₁,b₂,...,b_k),i)=(,b_i).

Эта вычислимая функция является в явном виде асимметричной и реализуется посредством протокола взаимодействия двух участников (процессоров). Обычно первый процессор, который содержит вход (b₁,b₂,...,b_k), называетсяотправителем (илиS), а второй процессор, который содержит входi{1,...,k}, называетсяполучателем (илиR).

Интуитивно, цель забывающего обмена состоит в том, чтобы для отправителя обменяться i-тым битом с получателем так, чтобы не позволить последнему получить какую-либо информацию относительно значения любого другого своего бита и так, чтобы не позволить отправителю получить какую-либо информацию о бите, который был затребован получателем.

С использованием любой перестановки с секретом{f_i}_iI(см. Приложение), ниже описывается протокол для конфиденциально вычисленияOT^k₁. Так как мы имеем дело с конечными вычислимыми функциями, безопасность будет рассматриваться в терминах некоторого дополнительного параметраn, именуемого далеепараметром безопасности.