Uso de pruebas basadas en juegos en pruebas basadas en simulaciones

La seguridad basada en simulación proporciona una definición de seguridad más natural y poderosa que la seguridad basada en juegos. He visto que los enfoques basados ​​en simulación usan las pruebas basadas en juegos en parte para demostrar la seguridad de algunas partes del protocolo. Por ejemplo, para evaluar la seguridad de un protocolo para la complejidad de la ronda o los mensajes totales intercambiados durante la ejecución del protocolo, se adopta un enfoque basado en el juego, pero la seguridad del protocolo en sí mismo con respecto al marco (en mi estudio, el marco UC) es probado por el paradigma Ideal / Real (es decir, enfoque basado en simulación).

Pregunta : ¿En qué circunstancias podemos usar un enfoque basado en el juego para demostrar la seguridad de una parte del protocolo o de todo el protocolo cuando el diseño del protocolo debe ajustarse a un enfoque de simulación? ¿Podemos utilizar este enfoque en cualquier momento y por cualquier motivo, siempre que no sea relevante para la seguridad de todo el protocolo con respecto al marco basado en la simulación?

Permítanme explicarlo a través de un ejemplo: estoy estudiando un protocolo de intercambio de claves grupales sobre el marco UC (basado en simulación), pero el protocolo utiliza esquemas de cifrado que son CCA-Secure (probado por un juego entre el adversario y algunos oráculos) o CCA2- seguras (probadas también por un enfoque basado en el juego), las firmas deben ser existencialmente imposibles de olvidar (enfoque basado en el juego también) y finalmente se calcula el costo de comunicación del protocolo y el análisis de la seguridad del protocolo se realiza a través de 10 u 11 juegos entre el adversario y simulador. Finalmente, se realizan pruebas para demostrar que el protocolo cumple con las regulaciones de la UC.

Un artículo que trata el problema es Juegos y la imposibilidad de la Funcionalidad Ideal Realizable por Datta et al, pero no parece abordar el problema en general. No conozco ninguna declaración general que garantice la seguridad basada en la simulación de todo el protodol basada en las propiedades de seguridad específicas basadas en el juego de sus sub-protocolos (a menos que, por supuesto, las definiciones basadas en el juego impliquen seguridad basada en la simulación, en cuyo caso el genérico los teoremas de composición de Canetti deberían aplicarse).

Sin embargo, existen instancias específicas en las que se puede obtener seguridad basada en simulación a partir de seguridad basada en juegos. El ejemplo más revelador en mi opinión es un argumento de ronda cero de conocimiento cero (ZK) constante para NP por Feige y Shamir (véase, por ejemplo, el doctorado de Feige ), que se basa en sub-protocolos de indistinguishabille (WI) y ocultación de testigos (WH) . Tanto WI como WH son (posiblemente) definiciones basadas en juegos, y sin embargo, se puede demostrar que todo el protocolo es ZK (que es la madre de todas las definiciones basadas en simulación, al menos para protocolos interactivos).