Основной результат для злонамеренной модели

Следующая теорема устанавливает основной результат для случая двухстороннего протокола и для злонамеренной модели.

Теорема 3.6.Предположим, что односторонние перестановки с секретом существуют. Тогда любая вычислимая функция дляm-стороннего процесса взаимодействия и злонамеренной модели противника конфиденциально вычислима.

Эта теорема устанавливает возможность компиляции любого протокола для получестной модели в «эквивалентный» протокол для двух злонамеренных моделей, обсуждаемых выше. Существование таких компиляторов показано в работе [Go2]. Построение компилятора для первой модели аналогично построению компилятора для злонамеренной модели при двухстороннем взаимодействии. После получения такого компилятора, строится компилятор [Go2] для преобразования любого протокола для первой злонамеренной модели в безопасный протокол для второй злонамеренной модели.

7. Асинхронные конфиденциальные вычисления

   1. Вводные замечания

В данном подразделе сначала приводятся необходимые примитивы и схема асинхронного проверяемого разделения секрета АПРС, а затем приводятся схема вычислений на мультипликативном вентиле для разных типов сбоев как схема конфиденциальных вычислений.

2. Примитив «Соглашение об аккумулируемом множестве» (соам-субпротокол)

Предположим, что каждый процессор инициализирует Br-субпротокол с некоторым входным значением. Процессоры желают договориться об общем аккумулируемом множестве с не менееn-tпроцессорами, которые успешно завершилиBr-субпротокол. Понятно, что каждый процессор может пожелать дождатьсяn-tлокальных завершенийBr-субпротокола и сохранить «этих отправителей сообщений». Однако если более чемn-tзавершенийBr-субпротокола глобально осуществлены, тогда мы не можем быть уверены в том, что все несбоящие процессоры сохранят то же самое множество. Для этого необходимо всем процессорам выполнитьСОАМ-субпротокол, в котором выход несбоящих процессоров этого субпротокола есть общее множество из не менееn-tпроцессоров, которые завершилиBr-субпротокол.

Неформально говоря, выходы процессоров после выполнения СОАМ-субпротокола это множества переменных, которые аккумулируют процессоры во время выполнения субпротокола, то есть элементы множества постоянно добавляются в него по мере выполнения субпротокола. Такой тип входа будет называтьсядинамическим входом и, такое множество будет называтьсяаккумулируемым множеством переменных.

Определение 3.1.Пустьm, MN(в данном контекстеm=n-tиM=n) и пустьU₁...U_n[M] – коллекция аккумулируемых множеств такая, что процессорP_iимеетU_i. Будем говорить, что коллекция является (m,t)-однородной, если для каждого планировщика и каждой коалиции из не более чемtсбоящих процессоров выполняются следующие условия:

• каждый несбоящий процессор P_iбудет обязательно иметьU_im;

• каждых два несбоящие процессора P_iиP_jбудут обязательно иметьU_i=U_j.

Определение 3.2.Пустьm, MNи пустьP- протокол, где вход каждого процессораP_iесть аккумулируемое множествоU_i. ПротоколРназываетсяt-устойчивым СОАМ-субпротоколомдляnпроцессоров (с параметрамиn, M), если для каждого планировщика и каждой коалиции из не более чемtсбоящих процессоров выполняются следующие условия:

Условие завершения.Если коллекцияU₁...U_n(m,t)-однородна, тогда с вероятностью 1 все несбоящие процессоры обязательно завершат протокол.

Условие корректности.Все несбоящие процессоры завершат протокол с общим выходомC[M] так, чтоCm. Кроме того, каждый несбоящий процессор имеетC, где значениеU_iпри завершении протокола.

Схема «Соглашение об аккумулируемом множестве»

Пусть n3t+1. СубпротоколСОАМ состоит из 2-х этапов (с параметрамиmиM). На первом этапе каждый процессор сначала ждет пока его динамический вход станет размеромm. После чего, он выполняет log₂nитераций. В каждой итерации процессор посылает текущее содержание его динамического входа всем другим процессорам, после чего собирает множества, посланные другими процессорами в текущей итерации. Как только накопятсяn-tтаких множеств в динамическом входе процессора, он приступает к следующей итерации. Это продолжается до тех пор, пока пересечение динамических входов всех несбоящих процессоров, которые получены во всех log₂nитерациях станет размером не менееm.

На втором этапе процессоры последовательно запускают MразBА-субпротокол. Наj-том шаге процессоры решают, принадлежит ли элементj[M] согласованному множествуC. То есть вход каждого процессора наj-том шагеBА-субпротокола будет 1 тогда и только тогда, когдаjпринадлежит динамическому входу процессора. Элементjпринадлежит множествуCтогда и только тогда, когда общий выходj-того шагаBА-субпротокола является 1. СвойстваBА-субпротокола гарантируют нам, что множествоCсодержит пересечение динамических входов всех процессоров, которые получены при завершении первого этапа, и что каждый элементjCбудет в динамическом входе каждого несбоящего процессора.