- •Конфиденциальные вычисления
- •Водные замечания по проблематике конфиденциальных вычислений
- •Описание используемых примитивов, схем и протоколов
- •Общие определения
- •Проверяемая схема разделения секрета
- •Широковещательный примитив (Br-протокол)
- •Протокол bb
- •Протокол византийского соглашения (ba-протокол)
- •Обобщенные модели для сети синхронно и асинхронно взаимодействующих процессоров
- •Вводные замечания
- •Обобщенные модели сбоев и противника
- •Получестные модели
- •Злонамеренные модели Действия процессоров в злонамеренной модели
- •Вычисления в идеальной модели
- •Вычисления в идеальной модели
- •Вычисления в реальной модели
- •Модель взаимодействия
- •Синхронная модель вычислений Общее описание модели
- •Идеальный и реальный сценарии
- •Асинхронная модель вычислений Общее описание модели
- •Асинхронные идеальный и реальный сценарии
- •Безопасность асинхронных вычислений
- •Конфиденциальное вычисление функции
- •Проверяемые схемы разделения секрета как конфиденциальное вычисление функции
- •Описание проверяемой схемы разделения секрета
- •Протокол РзПр
- •Протокол ВсПр
- •Доказательство безопасности схемы проверяемого разделения секрета
- •Описание работы моделирующего устройства m
- •Синхронные конфиденциальные вычисления
- •Примитив «Забывающий обмен»
- •Протокол отпчм
- •Двухсторонние вычисления Безопасные протоколы для получестной модели
- •Редукция к от41
- •Протокол вычислений на арифметической схеме над gf(2)
- •Редукция к мв
- •Основной результат для злонамеренной модели
- •Многосторонние протоколы Общая идея
- •Получестная модель
- •Конфиденциальное вычисление
- •Многосторонний протокол схемного вычисления
- •Редукция к кВm
- •Основной результат для злонамеренной модели
- •Асинхронные конфиденциальные вычисления
- •Вводные замечания
- •Примитив «Соглашение об аккумулируемом множестве» (соам-субпротокол)
- •Протокол соам
- •Алгоритм звз
- •Процедура скоп
- •Асинхронная схема проверяемого разделения секрета Общие определения
- •Протокол аРзПр
- •Протокол аВсПр
- •Доказательство безопасности схемы апрс
- •Асинхронная схема глобального проверяемого разделения секрета
- •Протокол агРз
- •Протокол агВс
- •Субпротокол агпрс
- •Вычисления на мультипликативном вентиле Вычисления при fs-сбоях
- •Вычисления на линейном вентиле
- •Вычисления на мультипликативном вентиле
- •Протокол мат (XI,a)
- •Субпротокол mul(ai,bi)
- •Основной протокол
- •Протокол авф
- •Вычисления при By-сбоях
- •Процедура соим
- •Протокол соим(Zi)
- •Протокол ByMul
Проверяемые схемы разделения секрета как конфиденциальное вычисление функции
Описание проверяемой схемы разделения секрета
Для вышеприведенных определений проверяемой схемы разделения секрета ПРСи обобщенных моделей противника, сбоев, взаимодействия и вычислений синтезируем схему разделения секрета, которая являлась бы работоспособной в протоколах конфиденциальных вычислений.
Рассматривается полностью синхронная сеть взаимодействующих процессоров в условиях проявления By-сбоев.Противник представляется как активный динамическийt-противник. Взаимодействие процессоров осуществляется посредством конфиденциальных каналов связи. Кроме того, существует широковещательный канал связи.
Схема проверяемого разделения секрета, рассматриваемая как схема конфиденциального вычисления функции, значение которой является распределенный среди процессоров проверенный на корректность и затем восстановленный и проверенный секрет, обозначается как ПРСК.
Пусть сеть Nсостоит изnпроцессоровP1,P2,...,Pn-1,Pn, гдеPn– дилерДсетиN. Множество секретов обозначается черезS, размерность этого множестваS=l. Множество случайных параметров, используемых всеми процессорами сети, обозначается черезR, размерностьR=. ЧерезWобозначается рабочее пространство параметров сети.
Требуется вычислить посредством выполнения протокола P=(РзПр,ВсПр) функциюf(x),гдеf– представляется в виде композиции двух функцийgh. Пусть функцияg:(SnRnW)W, а функцияh:WS.
Проверяемая схема разделения секрета ПРСК называется t-устойчивой, если протокол разделения секрета и проверки правильности разделенияРзПри протокол восстановления секретаВсПрявляютсяt-устойчивыми. Функцияfявляется конфиденциально вычислимой, если конфиденциально вычислимы функцииgиh.
t-Устойчивая верифицируемая схемаразделения секретаПРСК– есть пара протоколовРзПриВсПр, при реализации которых выполняются следующие условия.
Условие полноты.Пусть событиеA1заключается в выполнении тождества
f(w1,...,wn-1,s)=
=g((w1,...,wn-1,sr),(,...,))=((s1,...,sn-1,wn),(,...,)).
h((s1,...,sn-1),(,...,))=((s,s,...,s,wn),(,...,)).
Тогда для любой константы c>0 и для достаточно большихn вероятностьProb(A1)>1-n-c.
Условие корректности.Пусть событиеA2заключается в выполнении тождества
f(w1,...,wn-1,s)=
=g((w1,...,wn-1,sr),(,...,))=((s1,...,sn-1,wn),(,...,)).
h((s1,...,sn-1),(,...,))=((u1,...,uj,...,un-1,wn),(,...,)),
где uj=s дляjGиG– разрешенная коалиция процессоров.
Тогда для любой константы c>0, достаточно большихn, для границыt*<tи любого алгоритмаПрот вероятностьProb(A2)<n-c.
Условие конфиденциальности.
Функция g((w1,...,wn-1,sr),(,...,))=((s1,...,sn-1,wn),(,...,)) – конфиденциально вычислима.
Функция h((s1,...,sn-1),(,...,))=((u1,...,uj,...,un-1,s),(,...,)) – конфиденциально вычислима.
Свойство полноты означает, что если все процессоры РзПриВсПрследуют предопределенным вычислениям, тогда любая коалиция несбоящих процессоров может восстановить секретs. Свойство корректности означает, что при действияхt-противникаПрот, любая разрешенная коалиция изnпроцессоров сети может корректно разделить, восстановить и проверить секрет. Свойство конфиденциальности вытекает из свойства конфиденциальности функцииgиh.
Схема ПРСК
Предлагаемая схема ПРСК [GM], является (n/3-1)-устойчивой и использует схему разделения секрета Шамира.
Пусть n=3t+4 и все вычисления выполняются по модулю большого простого числаp>n. Из теории кодов с исправлением ошибок известно, что если мы вычисляем полиномfстепениt+1 вn-1различных точкахi, гдеi=1,...,n-1, тогда по данной последовательностиsi=f(i), можно восстановить коэффициенты полинома за время, ограниченное некоторым полиномом, даже еслиtэлементов в последовательности произвольно изменены. Это вариант кода Рида-Соломона, известный как код Берлекампа-Велча (см., например, [КС]). Пусть далееK– параметр безопасности иK/nозначаетK/n.