Предположим, у вас есть два произвольно влиятельных участника, которые не доверяют друг другу. У них есть доступ к обязательству по битам (например, запечатанные конверты, содержащие данные, которые один игрок может передать другому, но которые нельзя открыть, пока первый игрок не даст второму ключ). Можете ли вы использовать это для создания забывающего протокола передачи. Верно ли это, даже если игроки соглашаются открыть все конверты в конце, чтобы обнаружить мошенничество (например, после того, как покерная комбинация сыграна, все соглашаются открыть свои карты)?
Я предполагаю, что вы не можете получить неосознанный перевод из битового обязательства, потому что забывчивый перевод криптографически универсален, и я не могу найти никаких ссылок, которые говорят, что битовое обязательство есть, но есть ли где-нибудь доказательство того, что вы не можете это сделать?
Наконец, кто-нибудь смотрел на проблему, если игроки являются квантовыми?
источник
Ответы:
Нет, обязательство имеет строго меньшую сложность, чем ОТ. Я думаю, что простой способ убедиться в этом - подход, использованный в Сложности проблем многопартийных вычислений: случай 2- сторонней оценки симметричной защищенной функции, выполненный Maji, Prabhakaran, Rosulek в TCC 2009 (отказ от ответственности: самореклама!). В этой статье у нас есть результат, характеризующий то, что вы можете сделать, предоставив доступ к идеальной приверженности в модели UC со статистической безопасностью.
Предположим, что существует статистически безопасный протокол (против злоумышленников) для OT, использующий доступ к идеальному биту «черного ящика». Тогда π также должен быть защищен от честных, но любопытных противников (не так тривиально, как это может показаться, но и не очень трудно показать). Но вы можете составить π с тривиальным честным, но любопытным протоколом для принятия обязательств и иметь честный, но любопытный протокол OT, который является статистически безопасным без каких-либо настроек. Но это, как известно, невозможно.π π π
Еще один способ увидеть это через Импальяццо-Рудич . Если у вас есть неограниченные в вычислительном отношении стороны и случайный оракул, вы можете выполнить обязательство (поскольку все, что вам нужно, это односторонние функции), но вы не можете выполнять такие вещи, как согласование ключей и, следовательно, не OT.
источник
В квантовом случае первый протокол для построения (классической) забывчивой передачи на основе (классической) битовой привязки с использованием квантового протокола был предложен в 1991 году Беннеттом, Брассардом, Крепо и Скубишевской (http://www.springerlink.com/content). / k6nye3kay7cm7yyx /), но полное доказательство безопасности было дано только недавно Дамгаардом, Фером, Люнеманом, Сальвайлом и Шаффнером в http://arxiv.org/abs/0902.3918.
Расширение многопартийных вычислений и доказательство в универсальной структуре совместимости см. В работе Unruh: http://arxiv.org/abs/0910.2912.
источник