- •Конфиденциальные вычисления
- •Водные замечания по проблематике конфиденциальных вычислений
- •Описание используемых примитивов, схем и протоколов
- •Общие определения
- •Проверяемая схема разделения секрета
- •Широковещательный примитив (Br-протокол)
- •Протокол bb
- •Протокол византийского соглашения (ba-протокол)
- •Обобщенные модели для сети синхронно и асинхронно взаимодействующих процессоров
- •Вводные замечания
- •Обобщенные модели сбоев и противника
- •Получестные модели
- •Злонамеренные модели Действия процессоров в злонамеренной модели
- •Вычисления в идеальной модели
- •Вычисления в идеальной модели
- •Вычисления в реальной модели
- •Модель взаимодействия
- •Синхронная модель вычислений Общее описание модели
- •Идеальный и реальный сценарии
- •Асинхронная модель вычислений Общее описание модели
- •Асинхронные идеальный и реальный сценарии
- •Безопасность асинхронных вычислений
- •Конфиденциальное вычисление функции
- •Проверяемые схемы разделения секрета как конфиденциальное вычисление функции
- •Описание проверяемой схемы разделения секрета
- •Протокол РзПр
- •Протокол ВсПр
- •Доказательство безопасности схемы проверяемого разделения секрета
- •Описание работы моделирующего устройства m
- •Синхронные конфиденциальные вычисления
- •Примитив «Забывающий обмен»
- •Протокол отпчм
- •Двухсторонние вычисления Безопасные протоколы для получестной модели
- •Редукция к от41
- •Протокол вычислений на арифметической схеме над gf(2)
- •Редукция к мв
- •Основной результат для злонамеренной модели
- •Многосторонние протоколы Общая идея
- •Получестная модель
- •Конфиденциальное вычисление
- •Многосторонний протокол схемного вычисления
- •Редукция к кВm
- •Основной результат для злонамеренной модели
- •Асинхронные конфиденциальные вычисления
- •Вводные замечания
- •Примитив «Соглашение об аккумулируемом множестве» (соам-субпротокол)
- •Протокол соам
- •Алгоритм звз
- •Процедура скоп
- •Асинхронная схема проверяемого разделения секрета Общие определения
- •Протокол аРзПр
- •Протокол аВсПр
- •Доказательство безопасности схемы апрс
- •Асинхронная схема глобального проверяемого разделения секрета
- •Протокол агРз
- •Протокол агВс
- •Субпротокол агпрс
- •Вычисления на мультипликативном вентиле Вычисления при fs-сбоях
- •Вычисления на линейном вентиле
- •Вычисления на мультипликативном вентиле
- •Протокол мат (XI,a)
- •Субпротокол mul(ai,bi)
- •Основной протокол
- •Протокол авф
- •Вычисления при By-сбоях
- •Процедура соим
- •Протокол соим(Zi)
- •Протокол ByMul
Широковещательный примитив (Br-протокол)
Введем следующее определение. Протокол называется t-устойчивым широковещательным протоколом, если он инициализирован специальным участником (дилеромД), имеющим входm(сообщение, предназначенное для распространения) и для каждого входа и коалиции нечестных участников (числом не болееt) выполняются условия.
Условие завершения.Если дилерД- честный, то все честные участники обязательно завершат протокол. Кроме того, если любой честный участник завершит протокол, то все честные участники обязательно завершат протокол.
Условие корректности. Если честные участники завершат протокол, то они сделают это с общим выходомm*. Кроме того, если дилер честный, тогдаm*=m.
Необходимо подчеркнуть, что свойство завершения является более слабым, чем свойство завершения в византийских соглашений (см. далее). Для Br-протокола не требуется, чтобы честные участники завершали протокол, в том случае, если дилер нечестен.
Br-протокол
Код для дилера (по входу m):
1. Послать сообщение (сбщ,m) всем участникам и завершить протокол с выходомm.
Код для участников:
2. После получения первых сообщений (сбщ,m) или (эхо,m), послать (эхо,m) ко всем участникам и завершить протокол с выходом m.
Предложение 3.1.Br-протокол являетсяn-усточивым широковещательным протоколом для противников, которые могут приостанавливать отправку сообщений.
Доказательство.Если дилер честен, то все честные участники получают сообщение (сбщ,m) и, таким образом, завершают протокол с выходомm. Если честный участник завершил протокол с выходомm, то он посылает сообщение (эхо,m) ко всем другим участникам и, таким образом, каждый честный участник завершит протокол с выходомm.
Ниже описывается (n-1)/3-устойчивый широковещательный протокол, который именуетсяBB, гдеt(n-1/3)- количество участников, которые могут быть нечестными. В протоколе принимается, что идентификатор дилера содержится в параметреm.
Протокол bb
Код для дилера (по входу m):
1. Послать сообщение (сбщ,m) ко всем участникам.
Код для участника Pi:
2. После получения сообщения (сбщ,m), послать сообщение (эхо,m) ко всем участникам.
3. После получения n-1 сообщений (сбщ,m), которые согласованы со значениемm, послать сообщение (гот,m) ко всем участникам.
4. После получения t+1 сообщений (гот,m), которые согласованы со значениемm, послать (гот,m) ко всем участникам.
5. После получения n-1 сообщений (сбщ,m), которые согласованы со значениемm, послать сообщение (OK,m) ко всем участникам и принятьmкак распространяемое сообщение.
Протокол византийского соглашения (ba-протокол)
При византийских соглашенияхили при реализациипротокола византийских соглашенийдля любого начального входаxi,i[1,...,n] участникаiи некоторого параметраd(соглашения) должны быть выполнены следующие условия.
Условие завершения. Все честные участники вычислений в конце протокола принимают значениеd.
Условие корректности. Если существует значениеxтакое, что для честных участниковxi=x, тогдаd=x.
Обобщенные модели для сети синхронно и асинхронно взаимодействующих процессоров
Вводные замечания
Протоколы конфиденциального вычисления функции относятся к протоколам, которые предназначены, прежде всего, для защиты процесса вычислений от действия «разумного» противника (злоумышленника), то есть от противника, который всегда выбирает наихудшую для нас стратегию.
В моделях конфиденциальных вычислений вводится дополнительный параметр t, t<n, - максимальное число участников, которые могут отклоняться от предписанных протоколом действий, то есть максимальное число злоумышленников,n– общее число участников протокола. Поскольку злоумышленники могут действовать заодно, обычно предполагается, что против протокола действует один злоумышленник, который может захватить и контролировать любыеtизn участников по своему выбору.