Чи дає прихильність біт беззаперечного перенесення в інформаційно-теоретичній моделі безпеки?

Припустимо, у вас є два довільно потужні учасники, які не довіряють один одному. Вони мають доступ до біт-зобов'язань (наприклад, герметичні конверти, що містять дані, які один гравець може передати іншому, але їх неможливо відкрити, поки перший гравець не надасть другому ключ). Чи можете ви скористатися цим для побудови забутого протоколу передачі. Це правда, навіть якщо гравці погоджуються відкрити всі конверти наприкінці, щоб виявити обман (наприклад, після гри в покер всі згодні розкрити свої картки)?

Я припускаю, що ви не можете отримати обіцяну передачу з бітової прихильності, тому що забута передача є криптографічно універсальною, і я не можу знайти жодних посилань, які б сказали, що бітове зобов'язання є, але чи є десь підтвердження того, що ви не можете цього зробити?

Нарешті, хтось дивився на проблему, якщо гравці є квантовими?

reference-request cr.crypto-security

— Петро Шор
джерело

У коментарі до питання про mathoverflow зазначається, що квантовий Oblivious Transfer еквівалентний квантовому бітовому зобов'язанню (з посиланнями): mathoverflow.net/questions/32801/… .

— М. Алаган

Ці два документи показують, що беззастережно забезпечити прихильність квантовим бітам неможливо. Якщо ви могли б зробити квантово-забутий перенос, це означатиме, що ви можете виконати квантове бітове зобов’язання, тому вони також показують безумовно безпечний квантовий беззаперечний перенос також неможливий. Мене цікавить, якщо ви отримаєте (як чорну скриньку) бітову прихильність, яка працює для квантових протоколів, чи могли б ви також зробити обіцяну передачу для квантових протоколів.

— Петро Шор

Можливо, потрібно трохи більше фону. Я думаю, що у мене є досить проста схема, яка, зважаючи на бітове зобов'язання, використовує її для досягнення необачної передачі в квантовому протоколі. Я хотів (1) знати, якими класичними доказами є те, що забута передача є суворо потужнішою, щоб переконатися, що вони не стосуються квантового випадку, і (2) знати, чи хтось спостерігав цього раніше. У літературі про квантово-безслідний переказ та прихильність біт важко знайти, тому що кілька доказів безпеки розпалися, коли Майєрс та Ло та Чау довели свою теорему непрохідності.

— Петро Шор

Шукаючи літературу трохи більше, є деяка прихильність ==> очевидний доказ передачі в квантовому режимі в статті Беннетта, Брассара, Крепо і Скубішевської 1991 року ( springerlink.com/content/k6nye3kay7cm7yyx ), тому це відомо.

— Петро Шор

@M. Алаган: Дозвольте просити вибачення за те, що ви так швидко відхилили ваш коментар. Автор коментаря MathOverflow, про який ви згадували, ймовірно, знав, що вони є рівнозначними, і насправді цей коментар поставив мене на бібліографічний слід, який призвів до довідкового доказу, який я знайшов у своєму вище коментарі. Отже, велике спасибі.

— Пітер Шор

Відповіді:

Ні, зобов'язання мають суворо нижчу складність, ніж ОТ. Я думаю, що простий спосіб це зрозуміти - це підхід, застосований у Складності проблем багаторазових обчислень: Випадок двопартійної симетричної оцінки безпечної функції Maji, Prabhakaran, Rosulek у TCC 2009 (відмова: самореклама!). У цьому документі ми маємо результат, який характеризує, що ви можете зробити, надаючи доступ до ідеальної прихильності в моделі UC зі статистичною захищеністю.

Припустимо, існував статистично захищений протокол (проти шкідливих супротивників) для OT, що використовує доступ до ідеальної прихильності бітової скриньки. Тоді повинен бути захищений і від чесних, але допитливих супротивників (не настільки тривіально, як це, мабуть, звучить, але не дуже складно показати). Але ви можете скласти за допомогою тривіального чесного, але цікавого протоколу для виконання зобов'язань і мати чесний, але цікавий протокол OT, який статистично захищений без налаштувань. Але це, як відомо, неможливо. $\pi$ $\pi$ $\pi$

Ще один спосіб побачити це через Імпальяццо-Рудич . Якщо у вас є обчислювані без обмежень сторони і випадковий оракул, ви можете взяти на себе зобов’язання (оскільки все, що вам потрібно, це односторонні функції), але ви не можете робити такі речі, як ключова угода, і, отже, не старість.

— мікеро
джерело

@Mikero: це дійсно приємне та просте доказ.

— Петро Шор

Для ОТ класичних бітів (тобто класичного ідеального світу) аргумент буде проходити для квантових протоколів / супротивників. Якщо OT маніпулює qbits, то можуть виникнути ускладнення. Крок, який "не такий тривіальний, як це звучить, але не складний", передбачає, що WLOG симулятор завжди використовує вхід, що подається навколишнім середовищем. Це властивість OT, яка повинна бути показана (якби симулятор не надіслав те, що було дано, виводи були б невірними із помітною ймовірністю, таким чином, імітація невідома), і доведеться переосмислювати, якщо середовище може дати / приймати qbits від OT.

— mikero

@Mikero: Я не розумію вашого попереднього коментаря. Що означає для ОТ не маніпулювати кубітами? Ви маєте на увазі, що дві сторони просто спілкуються з класичними бітами, але можуть мати квантові процесори? Це випливає з того факту, що не існує жодного інформаційно-теоретичного захищеного протоколу для ОТ, навіть з бітовою прихильністю.

— Петро Шор

Я розглядаю, чи означає "квантовий протокол OT" класичний ОТ (функціонал OT знає лише про біти) з можливим квантовим протоколом, або ОТ, в якому середовище знає про кубіти, а ОТ відсилає / приймає кубіти. У першому випадку я думаю, що той самий аргумент проходить через немодифікований. Імовірно, ви маєте на увазі останній випадок. Тоді, якщо в квантовому світі дійсно є контрприклад, це означатиме, що OT кубітів не має властивості, що WLOG моделювання відображає чесних, але допитливих супротивників реального світу з чесними, але цікавими ідеальними противниками. Цікаво!

— mikero

Якщо я правильно розумію ваше запитання, і Bennett et al. папір і мій доказ - для класичного ОТ, з квантовими повідомленнями між учасниками для впровадження ОТ.

— Пітер Шор

У квантовому випадку перший протокол побудови (класичного) беззаперечного перенесення на основі (класичного) бітового зобов’язання за допомогою квантового протоколу був запропонований у 1991 році Беннеттом, Брассаром, Крепо та Скубішевською (http://www.springerlink.com/content / k6nye3kay7cm7yyx /), але повний доказ безпеки дали нещодавно Damgaard, Fehr, Lunemann, Salvail і Schaffner в http://arxiv.org/abs/0902.3918

Про розширення до багатопартійних обчислень та доказ у універсальній системі сумісності дивіться у роботі Unruh: http://arxiv.org/abs/0910.2912

— Крістіан Шаффнер
джерело