Незаметный перевод - Oblivious transfer

В криптография, не обращая внимания на передачу (ОТ) протокол - это тип протокола, в котором отправитель передает одну из потенциально многих частей информации получателю, но остается не обращая внимания о том, какой кусок (если есть) был передан.

Первая форма передачи без внимания была введена в 1981 г. Майкл О. Рабин.1 В этой форме отправитель отправляет сообщение получателю с вероятность 1/2, в то время как отправитель не обращает внимания на то, получил ли получатель сообщение. Невидимая схема передачи Рабина основана на ЮАР криптосистема. Более полезная форма незаметной передачи называется 1-2 не обращая внимания на передачу или «1 из 2 неосознанных переводов», был разработан позже Шимон Эвен, Одед Гольдрайх, и Авраам Лемпель,2 чтобы построить протоколы для безопасное многостороннее вычисление. Он обобщается на "1 из п неявная передача ", когда пользователь получает ровно один элемент базы данных без того, чтобы сервер узнал, какой элемент был запрошен, и без того, чтобы пользователь ничего не знал о других элементах, которые не были получены. Последнее понятие неявной передачи является усилением поиск частной информации, в котором база данных не является частной.

Клод Крепо показали, что передача Рабина без внимания равносильна 1–2 передаче без внимания.3

Дальнейшие исследования показали, что незаметный перенос является фундаментальной и важной проблемой в криптографии. Это считается одной из критических проблем в данной области из-за важности приложений, которые могут быть построены на его основе. В частности, это полный за безопасное многостороннее вычисление: то есть при реализации неявного переноса можно безопасно вычислить любую функцию, вычисляемую за полиномиальное время, без каких-либо дополнительных примитивов.4

Невнимательный протокол передачи Рабина

В протоколе невнимательной передачи Рабина отправитель генерирует публичный модуль RSA N=pq куда п и q большие простые числа, а показатель степени е относительно простой к λ (N) = (п − 1)(q - 1). Отправитель шифрует сообщение м в качестве ме мод N.

  1. Отправитель отправляет N, е, и ме модN к получателю.
  2. Получатель выбирает случайный Икс по модулюN и отправляет Икс2 модN отправителю. Обратите внимание, что gcd (Икс,N) = 1 с подавляющей вероятностью, что гарантирует наличие 4 квадратных корней из Икс2 модN.
  3. Отправитель находит квадратный корень у из Икс2 модN и отправляет у к получателю.

Если получатель находит у ни то, ни другое Икс ни -Икс по модулю N, получатель сможет фактор N и поэтому расшифровать ме восстановить м (видеть Шифрование Рабина Больше подробностей). Однако если у является Икс или -Икс модN, у получателя не будет информации о м за пределами его шифрования. Поскольку каждый квадратичный вычет по модулю N имеет четыре квадратных корня, вероятность того, что получатель узнает м составляет 1/2.

1-2 не обращая внимания на передачу

В протоколе передачи 1-2 не обращая внимания, Алиса отправитель имеет два сообщения. м0 и м1, а у Боба-получателя бит б, а получатель желает получить мб, без изучения отправителя б, в то время как отправитель хочет убедиться, что получатель получит только одно из двух сообщений. Протоколы Even, Goldreich и Lempel (которые авторы частично приписывают Сильвио Микали ), является общим, но может быть создан с использованием шифрования RSA следующим образом.

АлисаБоб
ИсчислениеСекретОбщественныеОбщественныеСекретИсчисление
Сообщения для отправки
Сгенерируйте пару ключей RSA и отправьте публичную часть БобуПолучить публичный ключ
Создать два случайных сообщенияПолучать случайные сообщения
выбирать и генерировать случайные
Вычислить шифрование , слепой с и отправить Алисе
Один из них будет равен , но Алиса не знает какой.
Отправьте оба сообщения БобуПолучите оба сообщения
Боб расшифровывает поскольку он знает, какой он выбирал раньше.
  1. У Алисы два сообщения, , и хочет отправить ровно одну из них Бобу. Боб не хочет, чтобы Алиса знала, какой из них он получает.
  2. Алиса генерирует пару ключей RSA, содержащую модуль , общественный экспонент и частный показатель
  3. Также она генерирует два случайных значения, и отправляет их Бобу вместе со своим общедоступным модулем и показателем.
  4. Боб выбирает равным 0 или 1 и выбирает либо первый, либо второй .
  5. Он генерирует случайное значение и жалюзи вычисляя , который он отправляет Алисе.
  6. Алиса не знает (и, надеюсь, не может определить), какой из и Боб выбрал. Она применяет оба своих случайных значения и предлагает два возможных значения для : и . Один из них будет равен и может быть правильно расшифрован Бобом (но не Алисой), в то время как другой выдаст бессмысленное случайное значение, не раскрывающее никакой информации о .
  7. Она объединяет два секретных сообщения с каждым из возможных ключей, и , и отправляет их Бобу.
  8. Боб знает, какое из двух сообщений можно разблокировать с помощью , поэтому он может вычислить ровно одно из сообщений

1-из-п не обращая внимания на передачу и k-снаружи-п не обращая внимания на передачу

1-из-п Протокол неявной передачи может быть определен как естественное обобщение протокола передачи «один из двух». В частности, отправитель п сообщения, а получатель имеет индекс я, а получатель желает получить я-е среди сообщений отправителя, без обучения отправителя я, в то время как отправитель хочет убедиться, что получатель получит только одно из п Сообщения.

1-из-п неосознанная передача несравнима с поиск частной информации (PIR). С одной стороны, 1-из-п Незаметная передача накладывает дополнительное требование конфиденциальности для базы данных: а именно, чтобы получатель узнал не более одной из записей базы данных. С другой стороны, PIR требует связи сублинейный в п, тогда как 1-из-п неявный перевод не требует такого требования.

1-п протоколы незаметной передачи были предложены, например, Мони Наор и Бенни Пинкас,10 Уильям Айелло, Юваль Ишай и Омер Рейнгольд,11 Свен Лаур и Хельгер Липмаа.12. В 2017 г. Колесников и др.,13 предложили эффективный протокол передачи 1-n без внимания, который требует примерно в 4 раза стоимости 1-2 пересылки без внимания в условиях амортизации.

Брассард, Крепо и Роберт далее обобщил это понятие на k-п не обращая внимания на передачу,5 при этом приемник получает набор k сообщения от п сбор сообщений. Набор k сообщения могут быть получены одновременно («неадаптивно») или они могут быть запрошены последовательно, причем каждый запрос основан на предыдущих полученных сообщениях.6

Обобщенный перевод без внимания

k-п Невидимая передача - это частный случай обобщенной неявной передачи, которую представили Ишаи и Кушилевиц.7 В этой настройке отправитель имеет набор U из п сообщения, а ограничения передачи задаются коллекцией А допустимых подмножеств U. Получатель может получить любое подмножество сообщений в U что появляется в коллекции А. Отправитель не должен обращать внимания на выбор, сделанный получателем, в то время как получатель не может узнать значение сообщений за пределами подмножества сообщений, которые он решил получить. Коллекция А монотонно убывает в том смысле, что он замкнут при включении (т. е. если данное подмножество B находится в коллекции А, так что все подмножества BРешение, предложенное Ишаи и Кушилевицем, использует параллельные вызовы 1-2 неявной передачи при использовании специальной модели частных протоколов. Позже были опубликованы другие решения, основанные на совместном использовании секретов - одно от Бхавани Шанкара, Каннана Сринатана и К. Панду Ранган,8 и еще один Тамир Тасса.9

Происхождение

В начале семидесятых Стивен Визнер представил примитив под названием мультиплексирование в его основополагающей статье «Сопряженное кодирование», которая была отправной точкой квантовая криптография.[1] К сожалению, на публикацию ушло более десяти лет. Хотя этот примитив был эквивалентен тому, что позже было названо 1-2 не обращая внимания на передачу, Визнер не видел его применения в криптографии.

Квантовый неявный перенос

Протоколы неявной передачи могут быть реализованы с квантовые системы. В отличие от других задач в квантовая криптография, подобно квантовое распределение ключей, было показано, что квантовая передача без внимания не может быть реализована с безусловной безопасностью, то есть безопасность протоколов квантовой передачи без внимания не может быть гарантирована только на основании законов квантовая физика.[1]

Смотрите также

Рекомендации

  1. ^ Ло, Х.-К. (1997). «Небезопасность квантовых безопасных вычислений». Phys. Ред. А. 56 (2): 1154–1162. arXiv:Quant-ph / 9611031. Bibcode:1997PhRvA..56.1154L. Дои:10.1103 / PhysRevA.56.1154. S2CID  17813922.

внешняя ссылка

  • Коллекция веб-ссылок Хельгера Липмаа по этой теме