Liệu cam kết bit có mang lại sự chuyển giao lãng quên trong mô hình bảo mật lý thuyết thông tin không?

Giả sử bạn có hai người tham gia mạnh mẽ tùy tiện, những người không tin tưởng lẫn nhau. Họ có quyền truy cập vào cam kết bit (ví dụ: phong bì dán kín có chứa dữ liệu mà một người chơi có thể trao cho người khác nhưng không thể mở được cho đến khi người chơi thứ nhất đưa khóa thứ hai). Bạn có thể sử dụng điều này để xây dựng một giao thức chuyển giao lãng quên. Điều này có đúng ngay cả khi người chơi đồng ý mở tất cả các phong bì ở cuối để phát hiện gian lận (ví dụ: sau khi chơi bài xì phé, mọi người đồng ý tiết lộ thẻ của họ)?

Tôi giả sử rằng bạn không thể chuyển giao một cách không biết gì về cam kết bit, bởi vì chuyển giao lãng quên là phổ biến về mặt mật mã và tôi không thể tìm thấy bất kỳ tài liệu tham khảo nào nói rằng cam kết bit là gì, nhưng có bằng chứng nào ở đâu đó mà bạn không thể làm được không?

Cuối cùng, có ai đã xem xét vấn đề nếu các cầu thủ là lượng tử?

reference-request cr.crypto-security

— Peter Shor
nguồn

Trong một nhận xét về một câu hỏi về mathoverflow, có tuyên bố rằng Chuyển giao lượng tử tương đương với Cam kết bit lượng tử (có tài liệu tham khảo): mathoverflow.net/questions/32801/ .

— M. Alaggan

Hai bài báo cho thấy cam kết bit lượng tử an toàn vô điều kiện là không thể. Nếu bạn có thể thực hiện chuyển giao lãng quên lượng tử, điều đó có nghĩa là bạn có thể thực hiện cam kết bit lượng tử, do đó họ cũng cho thấy chuyển giao lượng tử không bảo mật vô điều kiện cũng là điều không thể. Điều tôi băn khoăn là nếu bạn được đưa ra (như một hộp đen) cam kết bit hoạt động cho các giao thức lượng tử, bạn cũng có thể thực hiện chuyển giao một cách lãng quên cho các giao thức lượng tử.

— Peter Shor

Có lẽ một chút nền tảng là cần thiết. Tôi nghĩ rằng tôi có một sơ đồ khá đơn giản, với cam kết bit, sử dụng nó để đạt được sự chuyển giao lãng quên trong một giao thức lượng tử. Tôi muốn (1) biết những bằng chứng cổ điển nào là sự chuyển giao lãng quên đó mạnh mẽ hơn nhiều, để đảm bảo rằng chúng không áp dụng cho trường hợp lượng tử và (2) để biết liệu có ai đã quan sát điều này trước đây không. Tài liệu về chuyển giao lãng quên lượng tử và cam kết bit rất khó tìm kiếm vì một số bằng chứng về an ninh đã sụp đổ khi Mayers và Lo và Chau chứng minh định lý không đi của họ.

— Peter Shor

Tìm kiếm tài liệu nhiều hơn một chút, có một chút cam kết ==> bằng chứng chuyển giao lãng quên trong chế độ lượng tử trong một bài báo năm 1991 của Bennett, Brassard, Crépeau và Skubiszewska ( springerlink.com/content/k6nye3kay7cm7yyx ), vì vậy điều này được biết đến.

— Peter Shor

@M. Alaggan: Hãy để tôi xin lỗi vì đã bỏ qua bình luận của bạn ở trên quá đột ngột. Tác giả của bình luận MathOverflow mà bạn đề cập có lẽ đã biết chúng tương đương nhau, và trên thực tế, nhận xét đó đã đưa tôi vào con đường thư mục dẫn đến bằng chứng tham khảo mà tôi tìm thấy trong nhận xét trên của mình. Cảm ơn nhiều.

— Peter Shor

Câu trả lời:

Không, cam kết có độ phức tạp thấp hơn hoàn toàn so với OT. Tôi nghĩ một cách dễ dàng để thấy điều này là cách tiếp cận được đưa ra trong Sự phức tạp của các vấn đề tính toán đa nhóm: Trường hợp đánh giá chức năng bảo mật đối xứng 2 bên của Maji, Mitchhakaran, Rosulek trong TCC 2009 (từ chối trách nhiệm: tự quảng cáo!). Trong bài báo đó, chúng tôi có một kết quả mô tả những gì bạn có thể thực hiện khi có quyền truy cập vào cam kết lý tưởng trong mô hình UC với bảo mật thống kê.

$\pi$ $\pi$ $\pi$

Một cách khác để xem nó là thông qua Impagliazzo-Rudich . Nếu bạn có các bên không bị ràng buộc về mặt tính toán và một nhà tiên tri ngẫu nhiên, bạn có thể cam kết (vì tất cả những gì bạn cần là các chức năng một chiều) nhưng bạn không thể thực hiện những việc như thỏa thuận chính, và do đó không phải là OT.

— mikero
nguồn

@Mikero: đó là một bằng chứng thực sự hay và đơn giản.

— Peter Shor

Đối với OT của các bit cổ điển (nghĩa là thế giới lý tưởng cổ điển), đối số sẽ đi qua cho các giao thức / đối thủ lượng tử. Nếu OT thao túng qbits thì có thể có biến chứng. Bước "không tầm thường như âm thanh nhưng không khó" liên quan đến việc nói rằng WLOG trình giả lập luôn sử dụng đầu vào do môi trường cung cấp. Đây là một thuộc tính của OT phải được hiển thị (nếu trình giả lập không gửi những gì đã cho, kết quả đầu ra sẽ không chính xác với xác suất đáng chú ý, do đó, mô phỏng không có căn cứ), và sẽ phải tranh luận lại nếu môi trường có thể đưa ra / nhận qbit từ OT.

— mikero

@Mikero: Tôi không hiểu bình luận trước đó của bạn. Điều đó có nghĩa gì đối với Cựu ước không thao túng qubit? Bạn có nghĩa là hai bên chỉ giao tiếp với các bit cổ điển, nhưng có thể có bộ xử lý lượng tử? Điều này sẽ xuất phát từ thực tế là không có giao thức bảo mật lý thuyết thông tin nào cho OT tồn tại, ngay cả với cam kết bit.

— Peter Shor

Tôi đang xem xét liệu "giao thức OT lượng tử" có nghĩa là OT cổ điển (chức năng OT chỉ biết về bit) với giao thức lượng tử có thể, hay OT trong đó môi trường biết về qubit và OT gửi / nhận qubit. Trong trường hợp trước, tôi nghĩ rằng lập luận tương tự đi qua không thay đổi. Có lẽ bạn có nghĩa là trường hợp sau. Sau đó, nếu thực sự có một ví dụ trong thế giới lượng tử, điều đó có nghĩa là OT của các qubit không có thuộc tính mà WLOG ánh xạ mô phỏng các đối thủ trong thế giới thực trung thực nhưng tò mò đối với các đối thủ lý tưởng trung thực nhưng tò mò. Hấp dẫn!

— mikero

Nếu tôi hiểu chính xác câu hỏi của bạn, cả Bennett et al. giấy và bằng chứng của tôi là dành cho OT cổ điển, với các thông điệp lượng tử giữa những người tham gia để thực hiện OT.

— Peter Shor

Trong trường hợp lượng tử, giao thức đầu tiên để xây dựng chuyển giao lãng quên (cổ điển) dựa trên cam kết bit (cổ điển) sử dụng giao thức lượng tử đã được đề xuất vào năm 1991 bởi Bennett, Brassard, Crépeau và Skubiszewska (http://www.springerlink.com/content / k6nye3kay7cm7yyx /), nhưng một bằng chứng bảo mật hoàn toàn chỉ được đưa ra gần đây bởi Damgaard, Fehr, Lunemann, Salvail và Schaffner trong http://arxiv.org/abs/0902.3918

Để biết phần mở rộng cho tính toán của nhiều bên và bằng chứng trong khung khả năng tương thích phổ quát, hãy xem tác phẩm của Unruh: http://arxiv.org/abs/0910.2912

— Christian Schaffner
nguồn