¿El compromiso de bits produce una transferencia ajena al modelo de seguridad teórico de la información?

Suponga que tiene dos participantes arbitrariamente poderosos que no confían el uno en el otro. Tienen acceso al compromiso de bits (por ejemplo, sobres sellados que contienen datos que un jugador puede entregar al otro pero que no se pueden abrir hasta que el primer jugador le dé al segundo una clave). ¿Puedes usar esto para construir un protocolo de transferencia ajeno? ¿Es esto cierto incluso si los jugadores aceptan abrir todos los sobres al final para detectar trampas (por ejemplo, después de jugar la mano de póker, todos aceptan revelar sus cartas)?

Supongo que no puede obtener una transferencia inconsciente del compromiso de bits, porque la transferencia inconsciente es criptográficamente universal, y no puedo encontrar ninguna referencia que diga que el compromiso de bits es, pero ¿hay alguna prueba de que no puede hacerlo?

Finalmente, ¿alguien ha analizado el problema si los jugadores son cuánticos?

reference-request cr.crypto-security

— Peter Shor
fuente

En un comentario sobre una pregunta sobre mathoverflow, se afirma que la transferencia oblicua cuántica es equivalente al compromiso de bits cuántico (con referencias): mathoverflow.net/questions/32801/… .

— M. Alaggan

Estos dos documentos muestran que el compromiso de bits cuánticos incondicionalmente seguro es imposible. Si pudiera hacer una transferencia cuántica inconsciente, eso implicaría que podría hacer un compromiso de bits cuánticos, por lo que también muestran que la transferencia inconsciente cuántica es incondicionalmente segura y también es imposible. Lo que me pregunto es si se le da (como una caja negra) un compromiso de bits que funciona para protocolos cuánticos, ¿podría también hacer una transferencia inconsciente para protocolos cuánticos?

— Peter Shor

Quizás sea necesario un poco más de antecedentes. Creo que tengo un esquema bastante simple que, dado un poco de compromiso, lo usa para lograr una transferencia inconsciente en un protocolo cuántico. Quería (1) saber cuáles eran las pruebas clásicas de que la transferencia inconsciente es estrictamente más poderosa, para asegurarme de que no se apliquen al caso cuántico, y (2) saber si alguien ha observado esto antes. La literatura para la transferencia cuántica ajena y el compromiso de bits es difícil de buscar porque varias pruebas de seguridad se desmoronaron cuando Mayers, Lo y Chau demostraron su teorema de no ir.

— Peter Shor

Buscando un poco más en la literatura, hay una prueba de transferencia poco comprometida en el régimen cuántico en un artículo de 1991 de Bennett, Brassard, Crépeau y Skubiszewska ( springerlink.com/content/k6nye3kay7cm7yyx ), así que esto se sabe.

— Peter Shor

@METRO. Alaggan: Permíteme disculparme por rechazar tu comentario anterior tan abruptamente El autor del comentario MathOverflow al que hizo referencia probablemente sabía que eran equivalentes, y de hecho ese comentario me puso en el camino bibliográfico que condujo a la prueba de referencia que encontré en mi comentario anterior. Muchas gracias.

— Peter Shor

Respuestas:

No, el compromiso tiene una complejidad estrictamente menor que OT. Creo que una forma fácil de ver esto es el enfoque adoptado en la Complejidad de los problemas de cómputo multiparte: el caso de la evaluación simétrica de la función segura de dos partes por Maji, Prabhakaran, Rosulek en TCC 2009 (descargo de responsabilidad: ¡promoción propia!). En ese documento tenemos un resultado que caracteriza lo que puede hacer si tiene acceso al compromiso ideal en el modelo UC con seguridad estadística.

Supongamos que hay un protocolo estadísticamente seguro (contra adversarios maliciosos) de OT utilizando el acceso a los ideales de compromiso poco de recuadro negro. Entonces debe ser seguro contra adversarios honestos pero curiosos también (no es tan trivial como parece, pero tampoco es muy difícil de mostrar). Pero podría componer con el protocolo trivial honesto pero curioso para el compromiso, y tener un protocolo OT honesto pero curioso que sea estadísticamente seguro sin configuraciones. Pero se sabe que esto es imposible. $\pi$ $\pi$ $\pi$

Otra forma de verlo es a través de Impagliazzo-Rudich . Si tiene partes computacionalmente ilimitadas y un oráculo aleatorio, puede hacer un compromiso (ya que todo lo que necesita son funciones unidireccionales) pero no puede hacer cosas como un acuerdo clave y, por lo tanto, no OT.

— mikero
fuente

@Mikero: esa es una prueba realmente agradable y simple.

— Peter Shor

Para OT de bits clásicos (es decir, mundo ideal clásico) el argumento pasará por protocolos cuánticos / adversarios. Si el OT manipula qbits, entonces puede haber complicaciones. El paso que "no es tan trivial como parece pero no es difícil" implica decir que WLOG el simulador siempre usa la entrada suministrada por el entorno. Esta es una propiedad de OT que debe mostrarse (si el simulador no envió lo que se dio, las salidas serían incorrectas con una probabilidad notable, por lo tanto, la simulación no es correcta), y tendrían que volver a argumentar si el entorno puede dar / recibir qbits de OT.

— mikero

@ Mikero: No entiendo tu comentario anterior. ¿Qué significa para el OT no manipular qubits? ¿Quiere decir que las dos partes solo se comunican con bits clásicos, pero pueden tener procesadores cuánticos? Esto se derivaría del hecho de que no existe un protocolo seguro teórico de información para OT, incluso con poco compromiso.

— Peter Shor

Estoy considerando si un "protocolo OT cuántico" significa OT clásico (la funcionalidad OT solo conoce bits) con un protocolo posiblemente cuántico, o un OT en el que el entorno sabe acerca de qubits y el OT envía / recibe qubits. En el primer caso, creo que el mismo argumento pasa sin modificaciones. Presumiblemente te refieres al último caso. Entonces, si realmente hay un contraejemplo en el mundo cuántico, significaría que OT de qubits no tiene la propiedad de que WLOG la simulación asigna adversarios honestos pero curiosos del mundo real a adversarios ideales honestos pero curiosos. ¡Interesante!

— mikero

Si entiendo su pregunta correctamente, tanto Bennett et al. paper y mi prueba son para OT clásico, con mensajes cuánticos entre los participantes para implementar el OT.

— Peter Shor

En el caso cuántico, Bennett, Brassard, Crépeau y Skubiszewska (http://www.springerlink.com/content) propusieron en 1991 el primer protocolo para construir una transferencia ajena (clásica) basada en el compromiso de bits (clásico) utilizando un protocolo cuántico. / k6nye3kay7cm7yyx /), pero Damgaard, Fehr, Lunemann, Salvail y Schaffner proporcionaron una prueba completa de seguridad recientemente en http://arxiv.org/abs/0902.3918

Para obtener una extensión del cómputo multipartito y una prueba en el marco de compatibilidad universal, consulte el trabajo de Unruh: http://arxiv.org/abs/0910.2912

— Christian Schaffner
fuente