协议的安全性定义
如果一个协议能够计算函数 f , 那么这个协议计算 f 时,当且仅当协议安全的计算函数 f 在半诚实模型下。
证明
TIPS:对于等价性的证明,通用的方法就是证明A 包含于 B 再证明B 包含于 A。
第一阶段,证明现实理想模型可以实现模拟器模型(此处我们将基于模拟器视图的证明简称为模拟器模型),假设协议安全的计算函数 f 在半诚实模型。 不是一般性,我们展示了如何模拟第一方的视图,为此,我们定义了函数A1 A2 对于现实模型,A1是一个单纯的身份转变,但是A2表示为诚实的参与方,此时我们考虑敌手A1没有获得辅助输入,进一步,敌手纯粹的输出给与他的视图。 定义B1,B2是理想的敌手,我们使用B1为模拟器,得到满足7.9 而不是仅仅满足7.7 。 不是一般性,在模拟器模型中,保持了第一方视图和两方输出的关系在现实模型中,依然存在于理想模型中。特别是,因为A1是一个消极的敌手,第一方的输出在真实的环境下是由第一方的视图决定的。现在模拟器模型实现了一样的关系在被模拟的第一方视图和输出中必须保持在理想模型中,这和使用B1作为模拟器维持了模拟器的视图和模拟器的输出一样。
第二节阶段,证明模拟器模型能实现(现实理想模型),假设协议能够保密的计算函数 f ,在模拟器模型中存在S1和S2。依然定义A1 和A2位一对真实模型下的敌手,不失一般性,我们假设A2单纯第二方的映射视图到第二方对应的输出,也就是说,第二方是诚实的,第一方是不诚实的吗,所以,我们定义理想的B1和B2,例如以下定义:
进一步,我们可以得到如下的式子:
由此可见,现实理想模型其实是模拟器模型的一种繁琐的方式,但是这种模型满足恶意模型框架。
2019.11.17
对于理想现实模型和模拟器模型的补充:
今天,我又重新看了一遍书上这个定理的证明过程,上边写的太过于混乱,我自己都看不懂了,所以现在打算,重新梳理一下思路,这里为了表述清楚,首先声明几个定义和缩写方便描述:
基于模拟器的证明:简要记录为“模拟器模型”,Smodule,S模型;
基于现实-理想模型的证明:简要记录为“现实理想模型”,RImodule,RI模型;
为了证明对于两方安全计算在半诚实敌手模型下是安全的,并且两种方法具有等价性,根据书上证明过程,我们做如下的梳理:
第一部分 证明RImodule可以实现Smodule
首先我们定义理想模型中的两个参与方,其中设置A1 为敌手,A2为一个诚实参与方,敌手最终根据自己获得的视图输出自己的输出,A2最终诚实的根据他自己视图给与他的结果。这里其实和RI模型中半诚实的设计没有什么不同。在这里我们强调敌手A1并没有获得辅助的输入(或者忽略了这个辅助输入)。进一步,敌手A1仅仅输出视图给与他的内容,这个输出最终会给与潜在的区分者。接着,定义B1,B2,是理想模型中的敌手,即为B1为半诚实敌手,B2为诚实的参与方。我们称使用B1可以满足之前的等式7.9
这里,我考虑是这样的,首先在理想的情况下存在这个B1算法,对应于Smodule中的模拟器S1,此时,S1的输出为根据自己获得视图输出值,同样的,在理想模型中B1同样需要依靠这样的视图来输出结果,并且对于式子7.9的VIEW而言,执行协议的输出其实也就是现实模型的执行结果,所以这里B1完全可以充当S1的角色并且满足式7.9。广义上来说,这个说法是成立的因为在RI模型中保证了这样一种关系即为第一方视图和两方输出关系在现实执行过程中也被维持在理想模型中。这就是说在RI模型中,已经说明了协议在真实执行过程中的核心关系依然可以在理想模型中维持,那么就有了以下的一个关系:
具体来说,因为A1是一个消极的敌手,P1在真实执行环境中的输出值等于由P1视图决定的,这个输出结果又和函数功能相匹配,
现在,RI模型实现了同样的关系在P1被模拟视图和输出一定保持在理想模型中,因此使用B1作为S1的角色,可以保证被模拟的视图符合模拟器的给与的输出。也就是说,B1和S1其实存在等价性,并且在半诚实模型下A1和B1也具有等价性,就是说,B1所获得的内容以及获得这些内容的依据既可以通过模拟的方式表示,也可以在理想的模型下表示。
简而言之,这个证明的根本在于是否能够用B1来实现模拟视图,是否能够证明B1也满足式7.9。首先,在RI中已经定义了,第一方的视图和两方输出之间在真实执行过程中的关系时可以保证存在于理想模型之中的,具体来说,在A1真实执行过程中,A1的输出值由自己的视图决定,并且也对应于函数的执行的输出。RI模型实现了这种关系在理想模型中,所以B1扮演S1的角色保证了被模拟的视图对应于模拟器给与输出。就是说B1的输出是根据当前自己的视图来输出的,这和S1模拟器给与的输出是相匹配的。
再简而言之,就是说B1的输出与视图的关系与S1的模拟器和视图的关系相同,并且B1和A1满足等式7.9。足以说明这个关系的等价性。
第二部分 证明S模型能够实现RI模型
假设协议能够保密计算函数 f , S1 和 S2 如S模型中的定义。现在定义A1A2为一对现实模型中的敌手,不失一般性,我们假设A2为诚实方,定义理想模型B1和B2,由于第一方我们定义为了半诚实方,那么此时B1的视图即为如下:
此处A1是现实中的敌手,在理想模型下B1其实也是对应的半诚实敌手,所以B1可以通过A1 定义,此处A1即包括S1模拟器的视图和一个辅助输入。
于是进一步得到下面的式子:
第一 二行:现实视图,中A2的输出就是执行理想协议的输出。
第三 四行:由等式7.9 和 上述B1定义 可得当前等式。
由此可以看出使用S模型依然实现了RI模型。