Скачиваний:
195
Добавлен:
02.05.2014
Размер:
891.9 Кб
Скачать

Основной результат для злонамеренной модели

Следующая теорема устанавливает основной результат для случая двухстороннего протокола и для злонамеренной модели.

Теорема 3.6.Предположим, что односторонние перестановки с секретом существуют. Тогда любая вычислимая функция дляm-стороннего процесса взаимодействия и злонамеренной модели противника конфиденциально вычислима.

Эта теорема устанавливает возможность компиляции любого протокола для получестной модели в «эквивалентный» протокол для двух злонамеренных моделей, обсуждаемых выше. Существование таких компиляторов показано в работе [Go2]. Построение компилятора для первой модели аналогично построению компилятора для злонамеренной модели при двухстороннем взаимодействии. После получения такого компилятора, строится компилятор [Go2] для преобразования любого протокола для первой злонамеренной модели в безопасный протокол для второй злонамеренной модели.

    1. Асинхронные конфиденциальные вычисления

      1. Вводные замечания

В данном подразделе сначала приводятся необходимые примитивы и схема асинхронного проверяемого разделения секрета АПРС, а затем приводятся схема вычислений на мультипликативном вентиле для разных типов сбоев как схема конфиденциальных вычислений.

      1. Примитив «Соглашение об аккумулируемом множестве» (соам-субпротокол)

Предположим, что каждый процессор инициализирует Br-субпротокол с некоторым входным значением. Процессоры желают договориться об общем аккумулируемом множестве с не менееn-tпроцессорами, которые успешно завершилиBr-субпротокол. Понятно, что каждый процессор может пожелать дождатьсяn-tлокальных завершенийBr-субпротокола и сохранить «этих отправителей сообщений». Однако если более чемn-tзавершенийBr-субпротокола глобально осуществлены, тогда мы не можем быть уверены в том, что все несбоящие процессоры сохранят то же самое множество. Для этого необходимо всем процессорам выполнитьСОАМ-субпротокол, в котором выход несбоящих процессоров этого субпротокола есть общее множество из не менееn-tпроцессоров, которые завершилиBr-субпротокол.

Неформально говоря, выходы процессоров после выполнения СОАМ-субпротокола это множества переменных, которые аккумулируют процессоры во время выполнения субпротокола, то есть элементы множества постоянно добавляются в него по мере выполнения субпротокола. Такой тип входа будет называтьсядинамическим входом и, такое множество будет называтьсяаккумулируемым множеством переменных.

Определение 3.1.ПустьmMN(в данном контекстеm=n-tиM=n) и пустьU1...Un[M] – коллекция аккумулируемых множеств такая, что процессорPiимеетUi. Будем говорить, что коллекция является (m,t)-однородной, если для каждого планировщика и каждой коалиции из не более чемtсбоящих процессоров выполняются следующие условия:

  • каждый несбоящий процессор Piбудет обязательно иметьUim;

  • каждых два несбоящие процессора PiиPjбудут обязательно иметьUi=Uj.

Определение 3.2.ПустьmMNи пустьP- протокол, где вход каждого процессораPiесть аккумулируемое множествоUi. ПротоколРназываетсяt-устойчивым СОАМ-субпротоколомдляnпроцессоров (с параметрамиnM), если для каждого планировщика и каждой коалиции из не более чемtсбоящих процессоров выполняются следующие условия:

Условие завершения.Если коллекцияU1...Un(m,t)-однородна, тогда с вероятностью 1 все несбоящие процессоры обязательно завершат протокол.

Условие корректности.Все несбоящие процессоры завершат протокол с общим выходомC[M] так, чтоCm. Кроме того, каждый несбоящий процессор имеетC, где значениеUiпри завершении протокола.

Схема «Соглашение об аккумулируемом множестве»

Пусть n3t+1. СубпротоколСОАМ состоит из 2-х этапов (с параметрамиmиM). На первом этапе каждый процессор сначала ждет пока его динамический вход станет размеромm. После чего, он выполняет log2nитераций. В каждой итерации процессор посылает текущее содержание его динамического входа всем другим процессорам, после чего собирает множества, посланные другими процессорами в текущей итерации. Как только накопятсяn-tтаких множеств в динамическом входе процессора, он приступает к следующей итерации. Это продолжается до тех пор, пока пересечение динамических входов всех несбоящих процессоров, которые получены во всех log2nитерациях станет размером не менееm.

На втором этапе процессоры последовательно запускают Mраз-субпротокол. Наj-том шаге процессоры решают, принадлежит ли элементj[M] согласованному множествуC. То есть вход каждого процессора наj-том шаге-субпротокола будет 1 тогда и только тогда, когдаjпринадлежит динамическому входу процессора. Элементjпринадлежит множествуCтогда и только тогда, когда общий выходj-того шага-субпротокола является 1. СвойстваBА-субпротокола гарантируют нам, что множествоCсодержит пересечение динамических входов всех процессоров, которые получены при завершении первого этапа, и что каждый элементjCбудет в динамическом входе каждого несбоящего процессора.

Соседние файлы в папке Казарин О.В. Теория и практика защиты программ