Приводит ли битовое обязательство к переносной передаче в теоретико-информационной модели безопасности?

16

Предположим, у вас есть два произвольно влиятельных участника, которые не доверяют друг другу. У них есть доступ к обязательству по битам (например, запечатанные конверты, содержащие данные, которые один игрок может передать другому, но которые нельзя открыть, пока первый игрок не даст второму ключ). Можете ли вы использовать это для создания забывающего протокола передачи. Верно ли это, даже если игроки соглашаются открыть все конверты в конце, чтобы обнаружить мошенничество (например, после того, как покерная комбинация сыграна, все соглашаются открыть свои карты)?

Я предполагаю, что вы не можете получить неосознанный перевод из битового обязательства, потому что забывчивый перевод криптографически универсален, и я не могу найти никаких ссылок, которые говорят, что битовое обязательство есть, но есть ли где-нибудь доказательство того, что вы не можете это сделать?

Наконец, кто-нибудь смотрел на проблему, если игроки являются квантовыми?

Питер Шор
источник
2
В комментарии к вопросу о mathoverflow указывается, что квантовый Oblivious Transfer эквивалентен квантовому битовому обязательству (со ссылками): mathoverflow.net/questions/32801/… .
М. Алагган
4
Эти две статьи показывают, что безоговорочно безопасное квантовое обязательство невозможно. Если бы вы могли выполнять квантовую забывчивую передачу, это означало бы, что вы могли бы выполнить квантовую передачу битов, поэтому они также показывают, что безоговорочно безопасная квантовая забывающая передача также невозможна. Что меня интересует, так это то, что если вам дадут (в виде черного ящика) обязательство по битам, которое работает для квантовых протоколов, не могли бы вы также сделать не обращающую внимания передачу для квантовых протоколов.
Питер Шор
3
Может быть, немного больше фона необходимо. Я думаю, что у меня есть довольно простая схема, которая, учитывая битовое обязательство, использует ее для достижения забывчивой передачи в квантовом протоколе. Я хотел (1) узнать, каковы классические доказательства того, что забывчивый перенос является строго более мощным, чтобы убедиться, что они не применимы к квантовому случаю, и (2) узнать, наблюдал ли кто-нибудь это раньше. Трудно найти литературу по квантовому забвению о передаче и долгу, потому что несколько доказательств безопасности развалились, когда Майерс, Ло и Чау доказали свою теорему о запрете.
Питер Шор
4
Если поискать в литературе немного больше, есть небольшое обязательство ==> неопровержимое доказательство переноса в квантовом режиме в газете 1991 года Беннетта, Брассара, Крепо и Скубишевской ( springerlink.com/content/k6nye3kay7cm7yyx ), так что это известно.
Питер Шор
2
@M. Алагган: Позвольте мне извиниться за столь резкое отклонение вашего комментария выше. Автор комментария MathOverflow, на который вы ссылались, вероятно, знал, что они были эквивалентны, и фактически этот комментарий поставил меня на библиографический след, который привел к справочному доказательству, которое я нашел в моем вышеупомянутом комментарии. Итак, большое спасибо.
Питер Шор

Ответы:

14

Нет, обязательство имеет строго меньшую сложность, чем ОТ. Я думаю, что простой способ убедиться в этом - подход, использованный в Сложности проблем многопартийных вычислений: случай 2- сторонней оценки симметричной защищенной функции, выполненный Maji, Prabhakaran, Rosulek в TCC 2009 (отказ от ответственности: самореклама!). В этой статье у нас есть результат, характеризующий то, что вы можете сделать, предоставив доступ к идеальной приверженности в модели UC со статистической безопасностью.

Предположим, что существует статистически безопасный протокол (против злоумышленников) для OT, использующий доступ к идеальному биту «черного ящика». Тогда π также должен быть защищен от честных, но любопытных противников (не так тривиально, как это может показаться, но и не очень трудно показать). Но вы можете составить π с тривиальным честным, но любопытным протоколом для принятия обязательств и иметь честный, но любопытный протокол OT, который является статистически безопасным без каких-либо настроек. Но это, как известно, невозможно.πππ

Еще один способ увидеть это через Импальяццо-Рудич . Если у вас есть неограниченные в вычислительном отношении стороны и случайный оракул, вы можете выполнить обязательство (поскольку все, что вам нужно, это односторонние функции), но вы не можете выполнять такие вещи, как согласование ключей и, следовательно, не OT.

mikero
источник
1
@Mikero: это действительно хорошее и простое доказательство.
Питер Шор
Для ОТ классических битов (т.е. классического идеального мира) аргумент будет проходить для квантовых протоколов / противников. Если ОТ манипулирует кубитами, тогда могут возникнуть осложнения. Шаг, который «не так тривиален, как кажется, но не сложен», подразумевает, что WLOG симулятор всегда использует входные данные, предоставленные средой. Это свойство OT, которое должно быть показано (если симулятор не отправил то, что было дано, результаты были бы неправильными с заметной вероятностью, следовательно, симуляция несостоятельной), и его пришлось бы пересмотреть, если среда может дать / получить кубиты от ОТ.
mikero
1
@Mikero: я не понимаю ваш предыдущий комментарий. Что значит для OT не манипулировать кубитами? Вы имеете в виду, что обе стороны просто общаются с классическими битами, но могут иметь квантовые процессоры? Это следовало бы из того факта, что не существует теоретико-информационного безопасного протокола для OT, даже с обязательной передачей.
Питер Шор
Я рассматриваю, означает ли «квантовый протокол OT» классический OT (функциональность OT знает только о битах) с возможным квантовым протоколом, или OT, в котором среда знает о кубитах, а OT отправляет / получает кубиты. В первом случае, я думаю, тот же аргумент проходит без изменений. Предположительно вы имеете в виду последний случай. Тогда, если в квантовом мире действительно есть контрпример, это будет означать, что ОТ кубитов не обладает тем свойством, что WLOG симуляция отображает честных, но любопытных противников реального мира честным, но любопытным идеальным противникам. Интересный!
mikero
1
Если я правильно понимаю ваш вопрос, то и Беннетт, и другие. статья и мое доказательство предназначены для классической ОТ, с квантовыми сообщениями между участниками для реализации ОТ.
Питер Шор
7

В квантовом случае первый протокол для построения (классической) забывчивой передачи на основе (классической) битовой привязки с использованием квантового протокола был предложен в 1991 году Беннеттом, Брассардом, Крепо и Скубишевской (http://www.springerlink.com/content). / k6nye3kay7cm7yyx /), но полное доказательство безопасности было дано только недавно Дамгаардом, Фером, Люнеманом, Сальвайлом и Шаффнером в http://arxiv.org/abs/0902.3918.

Расширение многопартийных вычислений и доказательство в универсальной структуре совместимости см. В работе Unruh: http://arxiv.org/abs/0910.2912.

Кристиан Шаффнер
источник