Xổ số mà bạn có thể tin rằng nó là công bằng

(Xin lỗi nếu điều này được nhiều người biết đến.) Tôi muốn đưa một số mặt hàng cho một trong các đại lý , để đại lý sẽ nhận được mặt hàng với xác suất . Có một công cụ mã hóa (hoặc khác) để mọi tác nhân (và thậm chí mọi người quan sát) sẽ có thể bị thuyết phục rằng bản vẽ ngẫu nhiên thực sự công bằng?j p $k$$j$$p_i$

Nếu tôi hiểu vấn đề một cách chính xác, có vẻ như nó sẽ lên tới mức công khai lật một đồng xu . Dường như có rất nhiều cách để làm điều này nếu bạn giả sử cam kết một chút. Một ví dụ sẽ có mỗi bên tạo một số nguyên ngẫu nhiên trong khoảng từ 0 đến , sử dụng cam kết bit để cam kết công khai với chuỗi bit đó. Sau đó, khi mỗi đại lý đã cam kết, tất cả họ đều công khai số nguyên bí mật của mình. Tác nhân chiến thắng sau đó là tác nhân được lập chỉ mục bằng tổng các số nguyên modulo . Nếu thậm chí một tác nhân là trung thực, thì việc lật phải ngẫu nhiên.k - 1 $k$$k-1$$k$

Tất nhiên một vấn đề với điều này là nó đòi hỏi một chút cam kết. Các sơ đồ lý thuyết thông tin cho cam kết bit là không thể đối với cả điện toán cổ điển và lượng tử (mặc dù gần đây, Adrian Kent đã đề xuất một sơ đồ khai thác tính tương đối). Tuy nhiên, cam kết bit an toàn có thể đạt được với các giả định tính toán.

Như những người dùng khác đã gợi ý, đây là một vấn đề được nghiên cứu kỹ về mật mã. Nó được gọi là "lật đồng xu" và là một trường hợp đặc biệt của tính toán nhiều bên.

Giao thức nào công việc thực sự phụ thuộc vào bối cảnh khá nhiều.

• Trong cài đặt "độc lập", giao thức sẽ được chạy riêng rẽ mà không cần người chơi tham gia vào các giao thức khác (hoặc thực tế, bất kỳ tương tác nào với thế giới bên ngoài) cùng một lúc. Có một cách xử lý tuyệt vời về điều này trong sách giáo khoa "Những nền tảng của mật mã học" của Oded Goldreich (Tập 2, tôi nghĩ vậy).

Chỉ cần đưa ra ý tưởng về mức độ tinh tế của nó, giao thức "mọi người cam kết với các giá trị ngẫu nhiên" được đề xuất bởi một người trả lời khác là không an toàn nếu sơ đồ cam kết bạn sử dụng có thể uốn được. Các lược đồ cam kết không thể nhầm lẫn sẽ cung cấp cho bạn một giao thức an toàn, nhưng chúng hơi phức tạp để thiết kế.

• Trong cài đặt nơi người tham gia tham gia vào các giao thức đồng thời khác, bạn muốn có một giao thức có thể kết hợp được . Có nhiều khái niệm khác nhau về khả năng kết hợp, nhưng khái niệm mạnh nhất, được gọi là khả năng tổng hợp phổ quát , đòi hỏi một số giả định thiết lập bổ sung (ví dụ, PKI hoặc chuỗi ngẫu nhiên chung có thể nhìn thấy cho tất cả các bên nhưng không ai có thể kiểm soát được). Thật không may, tôi không biết về một phương pháp điều trị dễ tiếp cận của chủ đề này. Nhưng nhìn vào một bài báo gần đây về khả năng tổng hợp phổ quát hoặc cam kết không thể thay đổi sẽ là một nơi tốt để bắt đầu.

Lưu ý: vui lòng đọc các bình luận bên dưới. Giao thức này dường như có vấn đề.

$p_j$

$\{0,1\}^b$$b$

Bất kỳ tác nhân nào cũng có thể chắc chắn số ngẫu nhiên được chọn xuất hiện một cách ngẫu nhiên bằng cách chọn ngẫu nhiên véc tơ của mình một cách ngẫu nhiên. Đối với bất kỳ người quan sát nào bị thuyết phục, họ phải tin tưởng rằng ít nhất một tác nhân tuân theo giao thức, nhưng nếu không có ai, tôi đoán không ai thực sự muốn xổ số công bằng để bắt đầu.

Các nhà quan sát thụ động không thể xác minh rằng bản vẽ không được dàn dựng. Đầu vào vào quá trình giả ngẫu nhiên có thể được chọn để cho kết quả mong muốn.

Tuy nhiên, nếu người quan sát có thể cung cấp một số ngẫu nhiên mà anh ta biết là ngẫu nhiên VÀ đảm bảo rằng các tác nhân khác sẽ không thay đổi đầu vào của họ sau đó (vì họ có thể bù hiệu ứng của anh ta với đầu vào của họ), thì anh ta có thể chắc chắn rằng kết quả đó thực sự là ngẫu nhiên .

Điều này đòi hỏi sơ đồ cam kết mà chúng ta không biết bất kỳ điều gì được chứng minh về mặt toán học là an toàn nhưng trong thực tế có thể được thực hiện bằng cách sử dụng hàm băm an toàn (chẳng hạn như SHA3).

Xem xét ví dụ này:

Tôi đã thực hiện một ví dụ thực hiện. Bạn có thể thấy nó trực tiếp tại đây: https://mrogalski.eu/cl/ hoặc kiểm tra nguồn trên GitHub .