Multiparty-Computation
姚氏亂碼電路中惡意亂碼如何危害評估者的輸入
假設我們有一個電路,它輸出 Alice 的輸入和 Bob 的輸入(其中 Alice 是亂碼者,Bob 是評估者)串聯的 sha256 雜湊值。
我試圖了解當惡意破壞電路以將 Bob 的輸入的至少一位洩漏到輸出中時,Alice 可以採用哪些方法。(在我的情況下,電路的輸出是否錯誤並不重要,只是 Bob 的輸入沒有洩漏)
檢查JIGG的原始碼,我看到 Bob 從 Alice 那裡收到了電路中所有與門的亂碼真值表。他不需要 XOR 門的真值表(我假設是因為 FreeXOR)。
我是否正確假設“操縱”AND真值表是Alice影響輸出的唯一迴旋餘地。無論與與門的輸入線如何,是否可以將其設置為始終輸出例如 0?
我確實閱讀了Pragmatic MPC的整個“惡意安全”一章,但它沒有涵蓋我的具體問題,只是順便提到“惡意生成的亂碼電路的輸出可能洩漏超過 P 2 同意透露的內容(例如, P 2 的整個輸入)。” 然後這本書繼續解釋如何防禦惡意亂碼,它沒有解釋亂碼器如何準確地操縱電路以洩漏輸入。
這實際上取決於使用哪種亂碼方案。使用最先進的半門方案(此處),您的問題已成為 Dupin、Pointcheval 和 Bidan 的論文的主題,可在此處找到。底線是:任何此類攻擊都等於在原始電路中任意添加或刪除非門。這是否可以用來完全洩漏輸入取決於用於實現散列函式的確切電路(並且找出確切答案可能非常棘手,因為這個布爾電路可能很複雜)。
(如論文所示,存在一些電路,這些攻擊可證明不是問題,但標準雜湊函式似乎不太可能出現這種情況)