Bảo mật tính toán nhiều số của số lần 1 lần số 0 trong chuỗi được chia sẻ

Giả sử có bên , mỗi bên có một bit . Tôi muốn tính phép nhân số lần nhân của số không, nghĩa là, . $N>2$ $p_j$ $b_j\in{\{0,1\}}$ $R=(\sum{b_j})\times(N-\sum{b_j})$

Việc tính toán nên được an toàn theo nghĩa là không có đảng có thể tìm hiểu thêm so với kết quả cuối cùng . Ví dụ: không ổn khi thực hiện tổng an toàn, vì sau đó sẽ được biết đến và tổng là nhạy cảm trong vấn đề của tôi. Vì vậy, có bất kỳ giao thức tính toán an toàn hiện có phù hợp với nhu cầu? $R$ $\sum{b_j}$

Chỉnh sửa: Số trong bài toán lớn, ít nhất là hơn . Vì vậy, tính toán nhiều bên an toàn hiệu quả là cần thiết. Một giao thức tổng an toàn có thể hiệu quả nhưng SMC chung như các mạch boolean có thể quá chuyên sâu tính toán. Vì vậy, tôi cần một giao thức hiệu quả. $N$ $1000$

cr.crypto-security security

— Richard
nguồn

Bạn có biết kết quả khả thi chung cho tính toán an toàn của nhiều bên cũng như công việc gần đây về mã hóa đồng cấu hoàn toàn không? bởi vì cả hai đều giải quyết vấn đề của bạn

— Sasho Nikolov

Có lẽ nó nên là một câu trả lời, @SashoNikolov

— Suresh Venkat

@Suresh tôi nghĩ rằng tôi sẽ cho anh ta cơ hội để làm rõ các hạn chế bổ sung, bởi vì nếu anh ta biết về số tiền an toàn có thể cho rằng anh ta nên biết về kết quả khả thi.

— Sasho Nikolov

Là vấn đề tương đương với tính toán an toàn tối thiểu {∑b_j, N-∑b_j}? Nếu vậy, sự tập trung vào nhân giống như chỉ là một sự xao lãng đối với tôi.

— Tsuyoshi Ito

@TsuyoshiTôi tương đương

— Sasho Nikolov

Câu trả lời:

Câu trả lời này là về các giải pháp khả thi dựa trên mã hóa đồng cấu KHÔNG đồng nhất hoàn toàn, vì cái sau có thể cực kỳ kém hiệu quả (nếu có các hệ thống mật mã đồng hình hoàn toàn hiệu quả có thể so sánh với các hệ thống được cung cấp dưới đây về hiệu quả, tôi rất vui mừng nghe về họ).

Vì bạn chỉ cần một phép nhân nên có các giải pháp có khả năng ít tốn kém hơn so với mã hóa đồng hình hoàn toàn: [1] và [2]. Cái sau hoạt động trên các phân tách bit được mã hóa của đầu vào, vì vậy nó sẽ cần một giao thức phân rã bit như [3] và [6], nhưng cái trước hoạt động trên toàn bộ các giá trị. Chỉ để hoàn thiện, cái trước đã được mở rộng thành phép nhân -operand trong [4], mặc dù OP có thể không cần điều này. Các giải pháp này không tương tác và sẽ hoạt động trong trường hợp hai bên. $d$

Nếu bạn có nhiều hơn hai bên và có thể đủ khả năng tương tác thì [5] cung cấp "cổng nhân an toàn" có khả năng hiệu quả hơn và cho phép số lượng nhân không giới hạn. Về cơ bản, nó hoạt động bằng cách chuyển đổi các giá trị được mã hóa đồng cấu thành một số loại chia sẻ bí mật, nhân kết quả (tương tác), sau đó chuyển đổi lại thành mã hóa đồng cấu.

[1] Đánh giá các công thức 2-DNF trên bản mã

[2] Tiền điện tử không tương tác cho NC1

[3] Tính toán liên tục các vòng liên tục an toàn vô điều kiện cho sự bình đẳng, so sánh, bit và lũy thừa

[4] Mã hóa đồng cấu cộng gộp với phép nhân d-Toán tử

[5] Tính toán đa nhóm từ mã hóa đồng cấu ngưỡng

[6] Chuyển đổi nhị phân hiệu quả cho các giá trị được mã hóa của Paillier

— Mohammad Alaggan
nguồn

Thành thật mà nói, tôi không thấy mối liên hệ của câu trả lời này với câu hỏi.

— Tsuyoshi Ito

@TsuyoshiIto: Câu trả lời này liệt kê một vài tài liệu tham khảo có thể được sử dụng để cung cấp "tính toán an toàn cho phép nhân" và được thiết kế đặc biệt cho công thức mà OP cung cấp chỉ bao gồm một phép nhân. Nó cũng liệt kê các phương thức tương đối "hiệu quả" theo yêu cầu của OP. Tôi thực sự không thấy sự phản đối của bạn cả.

— Mohammad Alaggan

Như tôi đã viết trong một bình luận cho câu hỏi, phép nhân là không cần thiết trong câu hỏi. Tiêu đề của câu hỏi đơn giản là sai.

— Tsuyoshi Ito

Vì vậy, tiêu đề nên được sửa đổi. Nếu không, có lẽ ai đó sẽ đến sau câu hỏi này để mong tìm thấy một cái gì đó tương tự như câu trả lời của tôi.

— Mohammad Alaggan

Câu trả lời mới (24/24): Tôi nghĩ rằng bài viết sau đây cung cấp một giải pháp thanh lịch và hiệu quả cho vấn đề của bạn:

Đánh giá các công thức 2-DNF trên các bản mã , Dan Boneh, Eu-Jin Goh, Kobbi Nissim, TCC 2005.

$E(\cdot)$

$E(x)$ $E(y)$ $E(x+y)$
$E(x)$ $E(y)$ $E(x \cdot y)$

$\Psi(x_1,\dots,x_n)$ $E(x_1),\dots,E(x_n)$ $\Psi(x_1,\dots,x_n)$

Ψ (b_{1}, b_{2}, \dots, b_{N}) = \sum_{i \neq j} [b_{i} (1 - b_{j})] .

$\Psi(b_1,b_2,\dots,b_N) = \sum_{i \ne j} [b_i (1-b_j)].$

E (b_{i})

$E(b_i)$

E (Ψ (b_{1}, \dots, b_{N}))

$E(\Psi(b_1,\dots,b_N))$

R = Ψ (b_{1}, \dots, b_{N})

$R=\Psi(b_1,\dots,b_N)$

Điều này cho thấy một giao thức tự nhiên cho vấn đề của bạn, sử dụng phiên bản ngưỡng của sơ đồ mã hóa trong bài viết được tham chiếu ở trên:

$N$ $N$
$i$ $E(b_i)$ $E(b_i)$
$E(R) = E(\Psi(b_1,\dots,b_N))$ $E(b_1),\dots,E(b_N)$
$N$ $R$ $E(R)$
Mọi người chứng minh bằng cách nào đó (có thể thông qua bằng chứng ZK) rằng họ đã thực hiện đúng từng bước.

Bạn sẽ phải điền một số chi tiết, nhưng tôi cá là bạn có thể mở rộng bản phác thảo / phác thảo này để có được một giao thức giải quyết vấn đề của bạn một cách hiệu quả và an toàn.

Câu trả lời cũ của tôi:

$S = \sum_j b_j$

$S<N/2$

$S$ $R$ $S$ $R$ $Q$ $S \in \{Q,N-Q\}$

$i,j$ $E(c_{i,j})$ $c_{i,j} = b_i \oplus b_j$ $\oplus$ $E$ $\sum_{i<j} c_{i,j}=R$ từ đây. Có một số chi tiết cần giải quyết và mô hình mối đe dọa có thể không phải là điều bạn đang hy vọng, nhưng có thể bạn có thể tạo ra thứ gì đó giống như công việc này.

— DW
nguồn

đó là một ý tưởng rất thú vị mặc dù nó không tạo ra sản xuất chính xác, sử dụng xor thực sự che giấu thông tin cho dù đó là 0 hay 1. Tuy nhiên, một vấn đề là xor có được tính toán trong bản rõ trong sơ đồ không? bất kỳ tính toán an toàn cho xor?

— Richard

i

$i$

b_{i}

$b_i$

j

$j$

b_{j}

$b_j$

E (c_{i, j})

$E(c_{i,j})$

c_{i, j} = b_{i} \oplus b_{j} .

$c_{i,j}=b_i\oplus b_j.$

i

$i$

j

$j$

i

$i$

b_{i}

$b_i$