- •Конфиденциальные вычисления
- •Водные замечания по проблематике конфиденциальных вычислений
- •Описание используемых примитивов, схем и протоколов
- •Общие определения
- •Проверяемая схема разделения секрета
- •Широковещательный примитив (Br-протокол)
- •Протокол bb
- •Протокол византийского соглашения (ba-протокол)
- •Обобщенные модели для сети синхронно и асинхронно взаимодействующих процессоров
- •Вводные замечания
- •Обобщенные модели сбоев и противника
- •Получестные модели
- •Злонамеренные модели Действия процессоров в злонамеренной модели
- •Вычисления в идеальной модели
- •Вычисления в идеальной модели
- •Вычисления в реальной модели
- •Модель взаимодействия
- •Синхронная модель вычислений Общее описание модели
- •Идеальный и реальный сценарии
- •Асинхронная модель вычислений Общее описание модели
- •Асинхронные идеальный и реальный сценарии
- •Безопасность асинхронных вычислений
- •Конфиденциальное вычисление функции
- •Проверяемые схемы разделения секрета как конфиденциальное вычисление функции
- •Описание проверяемой схемы разделения секрета
- •Протокол РзПр
- •Протокол ВсПр
- •Доказательство безопасности схемы проверяемого разделения секрета
- •Описание работы моделирующего устройства m
- •Синхронные конфиденциальные вычисления
- •Примитив «Забывающий обмен»
- •Протокол отпчм
- •Двухсторонние вычисления Безопасные протоколы для получестной модели
- •Редукция к от41
- •Протокол вычислений на арифметической схеме над gf(2)
- •Редукция к мв
- •Основной результат для злонамеренной модели
- •Многосторонние протоколы Общая идея
- •Получестная модель
- •Конфиденциальное вычисление
- •Многосторонний протокол схемного вычисления
- •Редукция к кВm
- •Основной результат для злонамеренной модели
- •Асинхронные конфиденциальные вычисления
- •Вводные замечания
- •Примитив «Соглашение об аккумулируемом множестве» (соам-субпротокол)
- •Протокол соам
- •Алгоритм звз
- •Процедура скоп
- •Асинхронная схема проверяемого разделения секрета Общие определения
- •Протокол аРзПр
- •Протокол аВсПр
- •Доказательство безопасности схемы апрс
- •Асинхронная схема глобального проверяемого разделения секрета
- •Протокол агРз
- •Протокол агВс
- •Субпротокол агпрс
- •Вычисления на мультипликативном вентиле Вычисления при fs-сбоях
- •Вычисления на линейном вентиле
- •Вычисления на мультипликативном вентиле
- •Протокол мат (XI,a)
- •Субпротокол mul(ai,bi)
- •Основной протокол
- •Протокол авф
- •Вычисления при By-сбоях
- •Процедура соим
- •Протокол соим(Zi)
- •Протокол ByMul
Протокол мат (XI,a)
Процессор Pi на входе xi и матрице A работает следующим образом.
1. Устанавливает (t,xi)АГПРС=(G,{si,jG}).
2. Нумерует G=g1,...,gGи пусть в этом случае =.
3. ВычисляетAG.
4. Для 1knустанавливает ([AG]k,t,{k})Авс=yk.
Подает на выход yi.
Далее будем говорить, что входной вектор есть –d-сгенерирован, если существует полиномP() степениd, удовлетворяющийxi=P(i) для каждогоi; множество возможных входов на шаге редукции степени – это множество 2t-сгенерированных векторов.
Для дальнейших рассуждений нам необходима матрица особого вида. Эта матрица, назовем ее M, описана в работе [BGW] и строится какМ=V-1TV, гдеV– матрица Вандермонда размерностьюnn(см, например, [Кн, стр.474]), определенная какVi,j=ij, аTпостроена установкой всех элементов, кроме элементов первыхt+1 столбцов, единичной матрицы в нули. (Пусть ,- вектора, определенные выше). Для того чтобы увидеть, что М=необходимо заметить, что V -1– это вектор коэффициентов полиномаD() и, таким образом, V -1T– вектор коэффициентов полиномаC() и V-1TV=).
Пусть G[n] сGn-tи пусть G=g1,...,gG. МатрицаMGстроится следующим образом. Пусть матрицаVGразмерностьюGG- это матрицаV, спроектированная на индексы из матрицыG; а именно =(gi)j.Далее строиться матрица размерностьюGn, присоединениемn-Gнулевых столбцов к (VG)-1. В итоге установитьMG=TV, гдеT– определена выше.
Так как n3t+1 мы имеемG2t+1. Можно проверить, что в этом случае - тоже вектор коэффициентов полиномаD(), а именно =V-1. Таким образом, TV=V-1TV=M.
Объединяя шаги рандомизации и редукции степени, мы получаем протокол для вычислений на мультипликативном вентиле. Этот протокол, обозначенный MUL, представлен ниже.
Субпротокол mul(ai,bi)
Код для процессора Pi по входу ai,bi.
1. Установить (t)АГПРС=(C,{hi,jjC}).
2. Пустьdi=aibi+.
3. Пусть Mnn– матрица, определенная выше какM.
4. Установить (di,M)MAT=ci.
Подать на выход ci.
Основной протокол
Пусть f:FnF– арифметическая схемаA. Нижеприведенный протокол безопасноt-вычисляет функциюf.
Протокол авф
Код для процессора Pi по локальному входу xi и данной схеме A.
1. Установить (t,xi)АГПРС=(C,{si,jjC}). Для линииlв схеме пустьl(i)определяет долю процессораPi, находящуюся на этой линии. Еслиl–j-тая входная линия схемы, тогда установитьl(i)=si,j, еслиjGиl(i)=0 в противном случае.
2. Для каждого вентиля gв схеме, процессорPiожидает, покаi-тые доли всех входных линий вентиляgбудут вычислены. Тогда он делает следующее.
2.1. Если g– аддитивный вентиль с выходной линиейlи входными линиямиl1иl2, тогда вычисляетl(i)=l1(i)+l2(i).
2.2. Если g– аддитивный вентильl=l1l2, тогда вычисляетl(i)=MUL(l1(i),l2(i)).
3. Пусть lout– выходная линия схемы. Как только значениеl(i)out– вычислено, послать сообщение «Готово» всем другим процессорам.
4. Дождаться получения n-tсообщений «Готово» от других процессоров. Установить (t,n,l(i)out)Авс=y.
Подать на выход (C,y).
Теорема 3.8.Пусть f:FnF для некоторого поляFсF>nи пустьA– схема, вычисляющая функциюf. Тогда протоколАВФасинхронно (n/3-1)-безопасно вычисляетfв модели с ограничено защищенными каналами в условиях проявленияFS-сбоев.
Доказательство.Приведено в работе [Ca2].