洩露?
讓 a,b,c,d 從 $ \mathbb Z^_q $ . 我們選擇價值觀 $ r_1,r_2,r_3,z_1,z_2,z_3 \gets \mathbb Z^_q $ . 做 $ u_1,u_2 $ 計算如下,洩漏有關值的資訊 $ a,b,c,d $ ? (一個 ppt 敵手可以獲得與值 a、b、c、d 或這些具有不可忽略的機率關係的資訊)。
$$ u_1=(r_1\cdot a,r_2\cdot b,r_3\cdot c,(r_1+r_2-r_3)\cdot d) $$ $$ u_2=(z_1\cdot a,z_2\cdot b,z_3\cdot c,(z_1+z_2-z_3)\cdot d) $$
任何類型的資訊,甚至可能僅在特殊條件下?
當然。一個簡單的:
既然我們知道 $ (r_1 \cdot a) $ AMD $ (z_1 \cdot a) $ , 我們可以很容易地計算
$ f_1 = (r_1 \cdot a) \cdot (z_1 \cdot a)^{-1} = z_1 \cdot r_1^{-1} $
類似的 $ f_2 $ 和 $ f_3 $ .
讓我們在這個簡單的情況下假設 $ f_2 = f_3 $ .
我們進一步知道
$ (r_1 + r_2 - r_3) \cdot d $ 和 $ (z_1 + z_2 - z_3) \cdot d $
這是
$ (r_1 \cdot f_1 + r_2 \cdot f_2 - r_3 \cdot f_3) \cdot d $ 並根據我們的假設
$ (r_1 \cdot f_1 + r_2 \cdot f_2 - r_3 \cdot f_2) \cdot d $
減法
$ (r_1 + r_2 - r_3) \cdot d \cdot f_2 $ 從最後一行給出
$ r_1 \cdot (f_1 - f_2) \cdot d $
乘法 $ (f_1 - f_2)^{-1} $ 這很容易計算,並且 $ (a \cdot r_1)^ {-1} $ 這是已知的,
給出了“商” $ d \cdot a^{-1} $
根據給定的值是什麼以及為什麼/如何選擇它們, $ f_2 = f_3 $ 可能非常不可能(或不可能)。儘管如此,在這種情況下,所描述的方式還是給出了一些資訊(這對 c 的安全性不利)。
以外 $ d \cdot a^{-1} $ , $ d \cdot b^{-1} $ 和 $ d \cdot c^{-1} $ 可以用類似的方式計算如果 $ f_1 = f_3 $ 和/或 $ f_1 = f_2 $ .