Незаметный перевод - Oblivious transfer

В криптография, не обращая внимания на передачу (ОТ) протокол - это тип протокола, в котором отправитель передает одну из потенциально многих частей информации получателю, но остается не обращая внимания о том, какой кусок (если есть) был передан.

Первая форма передачи без внимания была введена в 1981 г. Майкл О. Рабин.¹ В этой форме отправитель отправляет сообщение получателю с вероятность 1/2, в то время как отправитель не обращает внимания на то, получил ли получатель сообщение. Невидимая схема передачи Рабина основана на ЮАР криптосистема. Более полезная форма незаметной передачи называется 1-2 не обращая внимания на передачу или «1 из 2 неосознанных переводов», был разработан позже Шимон Эвен, Одед Гольдрайх, и Авраам Лемпель,² чтобы построить протоколы для безопасное многостороннее вычисление. Он обобщается на "1 из п неявная передача ", когда пользователь получает ровно один элемент базы данных без того, чтобы сервер узнал, какой элемент был запрошен, и без того, чтобы пользователь ничего не знал о других элементах, которые не были получены. Последнее понятие неявной передачи является усилением поиск частной информации, в котором база данных не является частной.

Клод Крепо показали, что передача Рабина без внимания равносильна 1–2 передаче без внимания.³

Дальнейшие исследования показали, что незаметный перенос является фундаментальной и важной проблемой в криптографии. Это считается одной из критических проблем в данной области из-за важности приложений, которые могут быть построены на его основе. В частности, это полный за безопасное многостороннее вычисление: то есть при реализации неявного переноса можно безопасно вычислить любую функцию, вычисляемую за полиномиальное время, без каких-либо дополнительных примитивов.⁴

Невнимательный протокол передачи Рабина

В протоколе невнимательной передачи Рабина отправитель генерирует публичный модуль RSA N=pq куда п и q большие простые числа, а показатель степени е относительно простой к λ (N) = (п − 1)(q - 1). Отправитель шифрует сообщение м в качестве м^е мод N.

Отправитель отправляет N, е, и м^е модN к получателю.
Получатель выбирает случайный Икс по модулюN и отправляет Икс² модN отправителю. Обратите внимание, что gcd (Икс,N) = 1 с подавляющей вероятностью, что гарантирует наличие 4 квадратных корней из Икс² модN.
Отправитель находит квадратный корень у из Икс² модN и отправляет у к получателю.

Если получатель находит у ни то, ни другое Икс ни -Икс по модулю N, получатель сможет фактор N и поэтому расшифровать м^е восстановить м (видеть Шифрование Рабина Больше подробностей). Однако если у является Икс или -Икс модN, у получателя не будет информации о м за пределами его шифрования. Поскольку каждый квадратичный вычет по модулю N имеет четыре квадратных корня, вероятность того, что получатель узнает м составляет 1/2.

1-2 не обращая внимания на передачу

В протоколе передачи 1-2 не обращая внимания, Алиса отправитель имеет два сообщения. м₀ и м₁, а у Боба-получателя бит б, а получатель желает получить м_б, без изучения отправителя б, в то время как отправитель хочет убедиться, что получатель получит только одно из двух сообщений. Протоколы Even, Goldreich и Lempel (которые авторы частично приписывают Сильвио Микали ), является общим, но может быть создан с использованием шифрования RSA следующим образом.

Алиса				Боб
Исчисление	Секрет	Общественные		Общественные	Секрет	Исчисление
Сообщения для отправки	${ displaystyle m_ {0}, m_ {1}}$
Сгенерируйте пару ключей RSA и отправьте публичную часть Бобу	${ displaystyle d}$	${ displaystyle N, e}$	${ displaystyle Rightarrow}$	${ displaystyle N, e}$		Получить публичный ключ
Создать два случайных сообщения		${ displaystyle x_ {0}, x_ {1}}$	${ displaystyle Rightarrow}$	${ displaystyle x_ {0}, x_ {1}}$		Получать случайные сообщения
					${ displaystyle k, b}$	выбирать ${ displaystyle b in {0,1 }}$ и генерировать случайные ${ displaystyle k.}$
		${ displaystyle v}$	${ displaystyle Leftarrow}$	${ displaystyle v = (x_ {b} + k ^ {e}) mod N}$		Вычислить шифрование ${ displaystyle k}$ , слепой с ${ displaystyle x_ {b}}$ и отправить Алисе
Один из них будет равен ${ displaystyle k}$ , но Алиса не знает какой.	${ displaystyle { begin {align} k_ {0} & = (v-x_ {0}) ^ {d} mod N k_ {1} & = (v-x_ {1}) ^ {d} mod N end {выровнено}}}$
Отправьте оба сообщения Бобу		${ displaystyle { begin {align} m '_ {0} = m_ {0} + k_ {0} m' _ {1} = m_ {1} + k_ {1} end {align}}}$	${ displaystyle Rightarrow}$	${ displaystyle m '_ {0}, m' _ {1}}$		Получите оба сообщения
					${ displaystyle m_ {b} = m '_ {b} -k}$	Боб расшифровывает ${ displaystyle m '_ {b}}$ поскольку он знает, какой ${ displaystyle x_ {b}}$ он выбирал раньше.

У Алисы два сообщения, ${ displaystyle m_ {0}, m_ {1}}$ , и хочет отправить ровно одну из них Бобу. Боб не хочет, чтобы Алиса знала, какой из них он получает.
Алиса генерирует пару ключей RSA, содержащую модуль ${ displaystyle N}$ , общественный экспонент ${ displaystyle e}$ и частный показатель ${ displaystyle d}$
Также она генерирует два случайных значения, ${ displaystyle x_ {0}, x_ {1}}$ и отправляет их Бобу вместе со своим общедоступным модулем и показателем.
Боб выбирает ${ displaystyle b}$ равным 0 или 1 и выбирает либо первый, либо второй ${ displaystyle x_ {b}}$ .
Он генерирует случайное значение ${ displaystyle k}$ и жалюзи ${ displaystyle x_ {b}}$ вычисляя ${ displaystyle v = (x_ {b} + k ^ {e}) mod N}$ , который он отправляет Алисе.
Алиса не знает (и, надеюсь, не может определить), какой из ${ displaystyle x_ {0}}$ и ${ displaystyle x_ {1}}$ Боб выбрал. Она применяет оба своих случайных значения и предлагает два возможных значения для ${ displaystyle k}$ : ${ displaystyle k_ {0} = (v-x_ {0}) ^ {d} mod N}$ и ${ displaystyle k_ {1} = (v-x_ {1}) ^ {d} mod N}$ . Один из них будет равен ${ displaystyle k}$ и может быть правильно расшифрован Бобом (но не Алисой), в то время как другой выдаст бессмысленное случайное значение, не раскрывающее никакой информации о ${ displaystyle k}$ .
Она объединяет два секретных сообщения с каждым из возможных ключей, ${ displaystyle m '_ {0} = m_ {0} + k_ {0}}$ и ${ displaystyle m '_ {1} = m_ {1} + k_ {1}}$ , и отправляет их Бобу.
Боб знает, какое из двух сообщений можно разблокировать с помощью ${ displaystyle k}$ , поэтому он может вычислить ровно одно из сообщений ${ displaystyle m_ {b} = m '_ {b} -k}$

1-из-п не обращая внимания на передачу и k-снаружи-п не обращая внимания на передачу

1-из-п Протокол неявной передачи может быть определен как естественное обобщение протокола передачи «один из двух». В частности, отправитель п сообщения, а получатель имеет индекс я, а получатель желает получить я-е среди сообщений отправителя, без обучения отправителя я, в то время как отправитель хочет убедиться, что получатель получит только одно из п Сообщения.

1-из-п неосознанная передача несравнима с поиск частной информации (PIR). С одной стороны, 1-из-п Незаметная передача накладывает дополнительное требование конфиденциальности для базы данных: а именно, чтобы получатель узнал не более одной из записей базы данных. С другой стороны, PIR требует связи сублинейный в п, тогда как 1-из-п неявный перевод не требует такого требования.

1-п протоколы незаметной передачи были предложены, например, Мони Наор и Бенни Пинкас,¹⁰ Уильям Айелло, Юваль Ишай и Омер Рейнгольд,¹¹ Свен Лаур и Хельгер Липмаа.¹². В 2017 г. Колесников и др.,¹³ предложили эффективный протокол передачи 1-n без внимания, который требует примерно в 4 раза стоимости 1-2 пересылки без внимания в условиях амортизации.

Брассард, Крепо и Роберт далее обобщил это понятие на k-п не обращая внимания на передачу,⁵ при этом приемник получает набор k сообщения от п сбор сообщений. Набор k сообщения могут быть получены одновременно («неадаптивно») или они могут быть запрошены последовательно, причем каждый запрос основан на предыдущих полученных сообщениях.⁶

Обобщенный перевод без внимания

k-п Невидимая передача - это частный случай обобщенной неявной передачи, которую представили Ишаи и Кушилевиц.⁷ В этой настройке отправитель имеет набор U из п сообщения, а ограничения передачи задаются коллекцией А допустимых подмножеств U. Получатель может получить любое подмножество сообщений в U что появляется в коллекции А. Отправитель не должен обращать внимания на выбор, сделанный получателем, в то время как получатель не может узнать значение сообщений за пределами подмножества сообщений, которые он решил получить. Коллекция А монотонно убывает в том смысле, что он замкнут при включении (т. е. если данное подмножество B находится в коллекции А, так что все подмножества BРешение, предложенное Ишаи и Кушилевицем, использует параллельные вызовы 1-2 неявной передачи при использовании специальной модели частных протоколов. Позже были опубликованы другие решения, основанные на совместном использовании секретов - одно от Бхавани Шанкара, Каннана Сринатана и К. Панду Ранган,⁸ и еще один Тамир Тасса.⁹

Происхождение

В начале семидесятых Стивен Визнер представил примитив под названием мультиплексирование в его основополагающей статье «Сопряженное кодирование», которая была отправной точкой квантовая криптография.^[1] К сожалению, на публикацию ушло более десяти лет. Хотя этот примитив был эквивалентен тому, что позже было названо 1-2 не обращая внимания на передачу, Визнер не видел его применения в криптографии.

Квантовый неявный перенос

Протоколы неявной передачи могут быть реализованы с квантовые системы. В отличие от других задач в квантовая криптография, подобно квантовое распределение ключей, было показано, что квантовая передача без внимания не может быть реализована с безусловной безопасностью, то есть безопасность протоколов квантовой передачи без внимания не может быть гарантирована только на основании законов квантовая физика.^[1]

Смотрите также

внешняя ссылка

Коллекция веб-ссылок Хельгера Липмаа по этой теме

[1] Ло, Х.-К. (1997). «Небезопасность квантовых безопасных вычислений». Phys. Ред. А. 56 (2): 1154–1162. arXiv:Quant-ph / 9611031. Bibcode:1997PhRvA..56.1154L. Дои:10.1103 / PhysRevA.56.1154. S2CID 17813922.

1

2

3

4

10

11

12

13

5

6

7

8

9

[1]

[1]