- •Конфиденциальные вычисления
- •Водные замечания по проблематике конфиденциальных вычислений
- •Описание используемых примитивов, схем и протоколов
- •Общие определения
- •Проверяемая схема разделения секрета
- •Широковещательный примитив (Br-протокол)
- •Протокол bb
- •Протокол византийского соглашения (ba-протокол)
- •Обобщенные модели для сети синхронно и асинхронно взаимодействующих процессоров
- •Вводные замечания
- •Обобщенные модели сбоев и противника
- •Получестные модели
- •Злонамеренные модели Действия процессоров в злонамеренной модели
- •Вычисления в идеальной модели
- •Вычисления в идеальной модели
- •Вычисления в реальной модели
- •Модель взаимодействия
- •Синхронная модель вычислений Общее описание модели
- •Идеальный и реальный сценарии
- •Асинхронная модель вычислений Общее описание модели
- •Асинхронные идеальный и реальный сценарии
- •Безопасность асинхронных вычислений
- •Конфиденциальное вычисление функции
- •Проверяемые схемы разделения секрета как конфиденциальное вычисление функции
- •Описание проверяемой схемы разделения секрета
- •Протокол РзПр
- •Протокол ВсПр
- •Доказательство безопасности схемы проверяемого разделения секрета
- •Описание работы моделирующего устройства m
- •Синхронные конфиденциальные вычисления
- •Примитив «Забывающий обмен»
- •Протокол отпчм
- •Двухсторонние вычисления Безопасные протоколы для получестной модели
- •Редукция к от41
- •Протокол вычислений на арифметической схеме над gf(2)
- •Редукция к мв
- •Основной результат для злонамеренной модели
- •Многосторонние протоколы Общая идея
- •Получестная модель
- •Конфиденциальное вычисление
- •Многосторонний протокол схемного вычисления
- •Редукция к кВm
- •Основной результат для злонамеренной модели
- •Асинхронные конфиденциальные вычисления
- •Вводные замечания
- •Примитив «Соглашение об аккумулируемом множестве» (соам-субпротокол)
- •Протокол соам
- •Алгоритм звз
- •Процедура скоп
- •Асинхронная схема проверяемого разделения секрета Общие определения
- •Протокол аРзПр
- •Протокол аВсПр
- •Доказательство безопасности схемы апрс
- •Асинхронная схема глобального проверяемого разделения секрета
- •Протокол агРз
- •Протокол агВс
- •Субпротокол агпрс
- •Вычисления на мультипликативном вентиле Вычисления при fs-сбоях
- •Вычисления на линейном вентиле
- •Вычисления на мультипликативном вентиле
- •Протокол мат (XI,a)
- •Субпротокол mul(ai,bi)
- •Основной протокол
- •Протокол авф
- •Вычисления при By-сбоях
- •Процедура соим
- •Протокол соим(Zi)
- •Протокол ByMul
Вычисления в реальной модели
Рассматривается реальная модель, в которой выполняется реальный протокол (и в ней не существует никаких доверенных третьих лиц). В этом случае, сбоящий процессор может следовать любой возможной стратегии, то есть любой стратегии, реализуемой схемой полиномиальной длины. В частности сбоящий процессор может прервать в какое-либо время свою работу в любой точке протокола.
Мы также будем предполагать, что противник в реальной модели - детерминирован. Интуитивно, (неоднородный) детерминированный противник рассматривается как мощный (с вычислительной точки зрения) и рандомизированный противник. При определении безопасности требуется эффективное преобразование противника для реальной модели в противника для идеальной модели.Если такое преобразование применяется к детерминированному противнику, оно обязательно применяется к рандомизированному противнику.
Модель взаимодействия
Взаимодействие процессоров может осуществляться посредством конфиденциальных и/или открытых каналов связи. Каждые два процессора могут быть иметь симплексное, полудуплексное или дуплексное соединение. При этом каждое из соединений, в зависимости от решаемой задачи, в некоторый промежуток времени, может быть либо конфиденциальным, либо открытым.
Кроме того, может существовать широковещательный канал связи, то есть канал, посредством которого один из процессоров может одновременно распространить свое сообщение всем другим процессорам вычислительной системы. Такой канал еще называетсяканалом с общей шиной.
Взаимодействие в сети характеризуется трафиком T, который может представлять собой совокупность сообщений, полученных процессорами вr-том раунде в установленной модели взаимодействия.
Синхронная модель вычислений Общее описание модели
Ниже рассматривается модель вычислений, которая будет использоваться в дальнейших рассуждениях при исследовании синхронных конфиденциальных вычислений. Таким образом, рассматривается сеть процессоров, функционирование которой синхронизируется общими часами (синхронизатором). Каждое локальное (внутреннее) вычисление соответствует одному моменту времени (одному такту часов). В данной модели отрезок времени между iиi+1 тактами называетсяраундом при синхронных вычислениях.За один раунд протокола каждый процессор может получать сообщения от любого другого процессора, выполнять локальные (внутренние) вычисления и посылать сообщения всем другим процессорам сети. Имеется входная лента «только-для-чтения», которая первоначально содержит строку(k) (например вида 1k), при этомkявляетсяпараметром безопасностисистемы. Каждый процессор имеет ленту случайных значений, конфиденциальную рабочую ленту «только-для-чтения» (первоначально содержащую строку), конфиденциальную входную ленту «только-для-чтения» (первоначально содержащую строкуxi), конфиденциальную выходную ленту «только-для-записи» (первоначально содержащую строку) и несколько коммуникационных лент. Между каждой парой процессоровiиjсуществует конфиденциальный канал связи, посредством которогоiпосылает безопасным способом сообщение процессоруj. Данный канал (коммуникационная лента) исключает запись дляiи исключает чтение дляj. Каждый процессорiимеет также широковещательный канал, представляющий собой ленту, исключающую запись дляiи являющийся каналом «только-для-чтения» для всех остальных процессоров сети.
Предполагается, что в раунде rдля каждого процессораiсуществует однозначно определенное сообщение (возможно пустое), которое распространяет процессорiв этом раунде и для каждой пары процессоровiиjсуществует единственное сообщение, котороеiможет безопасным образом послатьjв данном раунде. Все каналы являются помеченными так, что каждый получатель сообщения может идентифицировать его отправителя.
Процессор iзапускает программуi, совокупность которых, реализует распределенный алгоритм.Протоколомработы сети называетсяn-элементный кортежP=(1,2,..,n). Протокол называетсяt-устойчивым, еслиtпроцессоров являются сбоящими во время выполнения протокола.Историейпроцессораiявляются: содержание его конфиденциального и общего входов, все распространяемые им сообщения, все сообщения, полученныеiпо конфиденциальным каналам связи, и все случайные параметры, сгенерированные процессоромiво время работы сети.