Załóżmy, że masz dwóch arbitralnie silnych uczestników, którzy sobie nie ufają. Mają dostęp do bitowego zaangażowania (np. Zapieczętowane koperty zawierające dane, które jeden gracz może przekazać drugiemu, ale których nie można otworzyć, dopóki pierwszy gracz nie da drugiemu klucza). Czy możesz to wykorzystać do zbudowania nieświadomego protokołu przesyłania. Czy to prawda, nawet jeśli gracze zgodzą się otworzyć wszystkie koperty na końcu, aby wykryć oszustwo (np. Po rozegraniu ręki pokera wszyscy zgadzają się ujawnić swoje karty)?
Zakładam, że nie można uzyskać nieświadomego przeniesienia z bitowego zaangażowania, ponieważ nieświadomy transfer jest kryptograficznie uniwersalny i nie mogę znaleźć żadnych odniesień, które mówią, że bitowe zobowiązanie jest, ale czy jest jakiś dowód, że nie możesz tego zrobić?
Wreszcie, czy ktoś spojrzał na problem, jeśli gracze są kwantowi?
źródło
Odpowiedzi:
Nie, zaangażowanie ma znacznie niższą złożoność niż OT. Myślę, że łatwym sposobem na dostrzeżenie tego jest podejście zastosowane w złożoności problemów obliczeń wielopartyjnych: przypadek 2- stronnej symetrycznej bezpiecznej oceny funkcji przez Maji, Prabhakaran, Rosulek w TCC 2009 (zastrzeżenie: autopromocja!). W tym artykule mamy wynik charakteryzujący to, co możesz zrobić, mając dostęp do idealnego zaangażowania w modelu UC z bezpieczeństwem statystycznym.
Załóżmy, że istniał statystycznie bezpieczny protokół (przeciwko złośliwym przeciwnikom) dla OT korzystający z dostępu do idealnego zaangażowania w bity z czarnej skrzynki. Zatem π musi być również zabezpieczony przed uczciwymi, ale ciekawymi przeciwnikami (nie tak trywialne, jak się wydaje, ale też niezbyt trudne do pokazania). Ale możesz skomponować π z trywialnym uczciwym, ale ciekawym protokołem zaangażowania i mieć uczciwy, ale ciekawy protokół OT, który jest statystycznie bezpieczny bez konfiguracji. Ale wiadomo, że jest to niemożliwe.π π π
Innym sposobem, aby to zobaczyć, jest Impagliazzo-Rudich . Jeśli masz obliczeniowo niepowiązane strony i losową wyrocznię, możesz wykonać zobowiązanie (ponieważ wszystko, czego potrzebujesz, to funkcje jednokierunkowe), ale nie możesz robić takich rzeczy, jak kluczowa zgoda, a zatem nie OT.
źródło
W przypadku kwantowym pierwszy protokół do zbudowania (klasycznego) nieświadomego transferu opartego na (klasycznym) zaangażowaniu bitów przy użyciu protokołu kwantowego został zaproponowany w 1991 roku przez Bennetta, Brassarda, Crépeau i Skubiszewską (http://www.springerlink.com/content / k6nye3kay7cm7yyx /), ale kompletny dowód bezpieczeństwa został podany dopiero niedawno przez Damgaard, Fehr, Lunemann, Salvail i Schaffner w http://arxiv.org/abs/0902.3918
Aby zapoznać się z rozszerzeniem obliczeń wielostronnych i dowodem na uniwersalne ramy kompasowalności, zobacz pracę Unruh: http://arxiv.org/abs/0910.2912
źródło