- •Конфиденциальные вычисления
- •Водные замечания по проблематике конфиденциальных вычислений
- •Описание используемых примитивов, схем и протоколов
- •Общие определения
- •Проверяемая схема разделения секрета
- •Широковещательный примитив (Br-протокол)
- •Протокол bb
- •Протокол византийского соглашения (ba-протокол)
- •Обобщенные модели для сети синхронно и асинхронно взаимодействующих процессоров
- •Вводные замечания
- •Обобщенные модели сбоев и противника
- •Получестные модели
- •Злонамеренные модели Действия процессоров в злонамеренной модели
- •Вычисления в идеальной модели
- •Вычисления в идеальной модели
- •Вычисления в реальной модели
- •Модель взаимодействия
- •Синхронная модель вычислений Общее описание модели
- •Идеальный и реальный сценарии
- •Асинхронная модель вычислений Общее описание модели
- •Асинхронные идеальный и реальный сценарии
- •Безопасность асинхронных вычислений
- •Конфиденциальное вычисление функции
- •Проверяемые схемы разделения секрета как конфиденциальное вычисление функции
- •Описание проверяемой схемы разделения секрета
- •Протокол РзПр
- •Протокол ВсПр
- •Доказательство безопасности схемы проверяемого разделения секрета
- •Описание работы моделирующего устройства m
- •Синхронные конфиденциальные вычисления
- •Примитив «Забывающий обмен»
- •Протокол отпчм
- •Двухсторонние вычисления Безопасные протоколы для получестной модели
- •Редукция к от41
- •Протокол вычислений на арифметической схеме над gf(2)
- •Редукция к мв
- •Основной результат для злонамеренной модели
- •Многосторонние протоколы Общая идея
- •Получестная модель
- •Конфиденциальное вычисление
- •Многосторонний протокол схемного вычисления
- •Редукция к кВm
- •Основной результат для злонамеренной модели
- •Асинхронные конфиденциальные вычисления
- •Вводные замечания
- •Примитив «Соглашение об аккумулируемом множестве» (соам-субпротокол)
- •Протокол соам
- •Алгоритм звз
- •Процедура скоп
- •Асинхронная схема проверяемого разделения секрета Общие определения
- •Протокол аРзПр
- •Протокол аВсПр
- •Доказательство безопасности схемы апрс
- •Асинхронная схема глобального проверяемого разделения секрета
- •Протокол агРз
- •Протокол агВс
- •Субпротокол агпрс
- •Вычисления на мультипликативном вентиле Вычисления при fs-сбоях
- •Вычисления на линейном вентиле
- •Вычисления на мультипликативном вентиле
- •Протокол мат (XI,a)
- •Субпротокол mul(ai,bi)
- •Основной протокол
- •Протокол авф
- •Вычисления при By-сбоях
- •Процедура соим
- •Протокол соим(Zi)
- •Протокол ByMul
Процедура скоп
Выполняется в tциклах поr.
Пусть Irопределяет содержимое аккумулируемого множестваI, гдеIсодержитd+t+r+1 элементов.
Ожидать пока Id+t+r+1. Тогда, запустить процедуруПКО со входом (d,r,Ir), и пустьp() – выходной полином.
Если p() - (d,r)- интерполируемый полиномIr(а именно, если дляd+t+1 элементов (i,a)Ir, мы имеемp(i)=a), выдатьp(). В противном случае, перейти к следующей итерации.
Предложение 3.5.ПустьI– событийно (d,t)-интерполируемое аккумулируемое множество. Тогда процедураСКОПостанавливается и выдает (d,t)-интерполируемый полином множестваI.
Доказательство.Пустьr, являющийся наименьшим изr, такой, чтоIrявляется (d,Ir)-интерполируемым. Так какI– является событийно (d,t)-интерполируемым, тоrt. Все итерации вплоть доrбудут неудачно завершены. Тогда (d,t)-интерполируемый полиномIбудет найден на итерацииr.
Асинхронная схема проверяемого разделения секрета Общие определения
Следующее определение формализует требования к схеме проверяемого разделения секрета, но в асинхронной установке [BCG].
Определение 3.2.Пусть (АРзПр,АВсПр) - пара многосторонних протоколов таких, что каждый несбоящий процессор, который завершает протоколАРзПрвпоследствии вызывает протоколАВсПрс локальным выходом протоколаАРзПркак локальным входом. Схема (АРзПр,АВсПр) называетсяt-устойчивой схемой асинхронного разделения секрета –АПРСдляnпроцессоров, если для каждой коалиции из не более, чемtпроцессоров и каждого планировщика выполняются следующие условия.
Условие завершения.1. Если дилер честен, тогда каждый несбоящий процессор, в конечном счете, завершит протоколАРзПр. 2. Если некоторый несбоящий процессор завершил протоколАРзПр, то все несбоящие процессоры, в конечном счете, завершат протоколАРзПр. 3. Если несбоящий процессор завершил протоколАРзПр, то он завершит и протоколАВсПр.
Условие корректности.Как только несбоящий процессор завершил протоколАРзПр, тогда существует уникальное значениеrтакое, что: 1. все несбоящие процессоры выдаютr(а, именно,r- восстанавливаемый секрет); 2. если дилер честен и делит секретs, тогдаr=s.
Условие конфиденциальности.Если дилер честен и до тех пор пока никакой из несбоящих процессоров не вызвал протоколАВсПр, тогда сбоящий процессор не получает никакой информации о разделенном секрете.
Необходимо подчеркнуть, что для несбоящего процессора не требуется, чтобы он завершал протокол АРзПрв случае, если дилер нечестен. Мы не различаем случай, где несбоящий процессор не завершает протоколАРзПри случай, где несбоящий процессор завершает протоколАРзПрнеудачно.
Схема АПРС
Первый из двух протоколов асинхронного разделения секрета АРзПрсостоит из трех стадий. Сначала, каждый процессор ждет получения своей доли секрета от дилера. Затем, стороны совместно пытаются проверить, что их доли определяют единственным образом секрет. Как только процессор убеждается, что секрет уникален, он локально вычисляет и выдает свою «скорректированную долю» секрета (с использованием информации, накапливаемой на стадии верификации).
В протоколе АВсПркаждый процессор посылает свою долю процессорам, принадлежащим некоторому предопределенному множествуE. Затем каждый процессор ждет получения достаточного количества долей для определения единственным образом секрета и, в конечном счете, для реконструкции секрета.
Схема АПРС
Схема АПРСимеет следующее свойство. Существует полиномp() степениtтакой, что каждый выход несбоящего процессораPi, протоколаАРзПр–p(i) иp(0) является разделенным секретом. Это свойство лежит в основе построения схемыАРзПрв условияхBy-сбоев.