Получение частной информации - Private information retrieval

В криптография, а поиск частной информации (PIR) протокол - это протокол, который позволяет пользователю получать элемент с сервера, имеющего база данных без указания того, какой элемент получен. PIR - это более слабая версия метода 1-из-п не обращая внимания на передачу, где также требуется, чтобы пользователь не получал информацию о других элементах базы данных.

Один тривиальный, но очень неэффективный способ достижения PIR - это отправка сервером полной копии базы данных пользователю. По сути, это единственно возможный протокол (в классическом или квант параметр^[1]), который дает пользователю теоретическая конфиденциальность информации для их запроса в настройке одного сервера.^[2] Есть два способа решить эту проблему: заставить сервер вычислительно ограниченный или предположим, что существует несколько несовместимых серверов, каждый из которых имеет копию базы данных.

Проблема была представлена ​​в 1995 году Чором, Голдрайхом, Кушилевицем и Суданом.^[2] в теоретико-информационной постановке и в 1997 г. Кушилевицем и Островским в вычислительной постановке.^[3] С тех пор были обнаружены очень эффективные решения. Единая база данных (вычислительно частная) PIR может быть достигнута с помощью постоянной (амортизированной) связи, а k-база данных (теоретическая информация) PIR может быть выполнена с помощью ${ displaystyle n ^ {O left ({ frac { log log k} {k log k}} right)}}$ коммуникация.

Достижения в вычислительном PIR

Первая вычислительная схема PIR с одной базой данных для достижения сложности связи менее ${ displaystyle n}$ был создан в 1997 году Кушилевицем и Островским ^[3] и достигла коммуникационной сложности ${ displaystyle n ^ { epsilon}}$ для любого ${ displaystyle epsilon}$, куда ${ displaystyle n}$ - количество бит в базе данных. Безопасность их схемы была основана на хорошо изученных Проблема квадратичной остаточности. В 1999 году Кристиан Качин, Сильвио Микали и Маркус Стадлер^[4] достигнута полилогарифмическая коммуникационная сложность. Безопасность их системы основана на Предположение о сокрытии фи. В 2004 г. Хельгер Липмаа ^[5] достигнутая логарифмическая сложность связи ${ Displaystyle О ( Ell журнал п + к журнал ^ {2} п)}$, куда ${ displaystyle ell}$ длина струн и ${ displaystyle k}$ - параметр безопасности. Безопасность его системы сводится к семантическая безопасность гибкой по длине аддитивно гомоморфной криптосистемы, такой как Криптосистема Дамгарда – Юрика. В 2005 году Крейг Джентри и Зульфикар Рамзан ^[6] достигнута сложность связи с лог-квадратом, которая извлекает лог-квадрат (последовательные) биты базы данных. Безопасность их схемы также основана на варианте предположения о сокрытии Phi. Скорость связи наконец снизилась до ${ displaystyle 1}$ к Аггелос Киаиас, Никос Леонардос, Хельгер Липмаа, Екатерина Павлик, Цян Тан, в 2015 г. ^[7].

Все предыдущие вычислительные протоколы PIR с сублинейной связью требовали линейной вычислительной сложности ${ Displaystyle Omega (п)}$ операции с открытым ключом. В 2009, Хельгер Липмаа ^[8] разработал вычислительный протокол PIR со сложностью связи ${ Displaystyle О ( Ell журнал п + к журнал ^ {2} п)}$ и вычисление наихудшего случая ${ Displaystyle О (п / журнал п)}$ операции с открытым ключом. Методы амортизации, которые извлекают непоследовательные биты, были рассмотрены Юваль Ишай, Эял Кушилевиц, Рафаил Островский и Амит Сахаи.^[9]

Как показали Островский и Скейт,^[10] схемы Кушилевица и Островского ^[3] и Липмаа ^[5] использовать аналогичные идеи на основе гомоморфное шифрование. Протокол Кушилевица и Островского основан на Криптосистема Голдвассера – Микали в то время как протокол Липмаа основан на Криптосистема Дамгарда – Юрика.

Достижения в области теории информации PIR

Достижение теоретической информационной безопасности требует предположения, что существует несколько не взаимодействующих серверов, каждый из которых имеет копию базы данных. Без этого предположения любой теоретически безопасный протокол PIR требует объема обмена данными, который не меньше размера базы данных. п. Многосерверные протоколы PIR, устойчивые к неотвечающим или злонамеренным / вступающим в сговор серверам, называются крепкий или же Византийский крепкий соответственно. Эти вопросы впервые были рассмотрены Беймелем и Шталом (2002). ℓ-серверная система, которая может работать только там, где k серверов отвечают, ν серверов отвечают некорректно, и которые могут выдержать до т сговор серверов без раскрытия запроса клиента называется "т-частный ν-византийский робастный k-out-of-PIR »[DGH 2012]. В 2012 г. К. Девет, И. Голдберг и Н. Хенингер (DGH 2012) предложили оптимально устойчивую схему, которая является византийской устойчивой к ${ Displaystyle ню <к-т-1}$ что является теоретическим максимальным значением. Он основан на более раннем протоколе Голдберга, который использует Обмен секретами Шамира чтобы скрыть запрос. Голдберг выпустил C ++ реализация на Sourceforge.^[11]

Отношение к другим криптографическим примитивам

Односторонние функции необходимы, но не известны, чтобы быть достаточными, для нетривиального (то есть с сублинейной связью) поиска частной информации с вычислительной точки зрения одной базы данных. Фактически, такой протокол был доказан Джованни Ди Крещенцо, Тал Малкин и Рафаил Островский означать передачу без внимания (см. ниже).^[12]

Незаметный перевод, также называемый симметричным PIR, представляет собой PIR с дополнительным ограничением, что пользователь не может изучать какой-либо элемент, кроме того, который он запросил. Это называется симметричным, потому что и у пользователя, и у базы данных есть требования к конфиденциальности.

Устойчивый к столкновениям криптографические хеш-функции подразумеваются любой одноэтапной вычислительной схемой PIR, как показано Ишаем, Кушилевицем и Островским.^[13]

Варианты PIR

Основная мотивация для поиска частной информации - это семейство двусторонних протоколов, в которых одна из сторон ( отправитель) владеет базой данных, а другая часть ( приемник) хочет запросить его с определенными ограничениями и гарантиями конфиденциальности. Итак, в результате протокола, если приемник хочет i-й значение в базе данных, он должен изучить i-й запись, но отправитель не должен ничего узнавать о я. В общем протоколе PIR вычислительно неограниченная отправитель ничего не могу узнать о я так что конфиденциальность теоретически сохраняется. С момента постановки проблемы PIR были предложены различные подходы к ее решению и предложены некоторые варианты.

Протокол CPIR (Computationally Private Information Retrieval) аналогичен протоколу PIR: приемник извлекает выбранный им элемент из базы данных отправителя, так что отправитель не получает информации о том, какой элемент был передан.^[8] Единственное отличие состоит в том, что конфиденциальность защищена от полиномиально ограниченного отправителя.^[14]

Протокол CSPIR (вычислительно симметричный поиск частной информации) используется в аналогичном сценарии, в котором используется протокол CPIR. Если отправитель владеет базой данных, а приемник хочет получить i-й значение в этой базе данных, в конце выполнения протокола SPIR, приемник не должен был ничего узнать о значениях в базе данных, кроме i-й один.^[14]

Реализации PIR

В литературе были реализованы многочисленные вычислительные схемы PIR и теоретико-информационные PIR. Вот неполный список:

• Перси ++^[11] включает реализации [AG 2007, DGH 2012, CGKS 1998, Goldberg 2007, HOG 2011, LG 2015].
• Попкорн^[15] представляет собой реализацию PIR, адаптированную для носителей [GCMSAW 2016].
• RAID-PIR^[16] является реализацией схемы ITPIR [DHS 2014].
• SealPIR^[17] это быстрая реализация CPIR [ACLS 2018].
• upPIR^[18] является реализацией ITPIR [Cappos 2013].
• XPIR^[19] это быстрая реализация CPIR [ABFK 2014].

Примечания

Смотрите также

• k-анонимность
• Локально декодируемый код

Рекомендации

внешняя ссылка

• Веб-ссылки Хельгера Липмаа о передаче без внимания и PIR
• Веб-сайт Уильяма Гасарха на PIR, включая обзорные статьи
• Сайт Рафаила Островского, на котором размещены статьи и обзоры ПИРа.