MPC 和 PSI 上的惡意模型和任意選擇輸入
想像一下以下設置:一方考慮一個秘密共享或多方協議,該協議對半誠實的對手是安全的。對手有選擇地選擇輸入,這樣它就可以從輸出中學習對手的輸入。
可以從任何線性秘密共享方案 Alice 秘密共享中獲取一個簡單的範例 $ x $ 和鮑勃 $ y $ 並想計算 $ x+y $ . 在這種情況下,愛麗絲可以選擇 $ x=0 $ ,以便她了解 Bob 的輸入。
一個更複雜的場景有時被描述為對 Private Set Intersection 的全宇宙攻擊(2 方計算其集合的交集的問題)。這種情況下的攻擊如下:Alice 持有一個向量 $ X $ 和 Bob 一個向量 $ Y $ ,並且想要計算交集 $ X ∩ Y $ . 在這種情況下,攻擊在於 Alice 替換它的集合 $ X $ 由一組 $ X’ $ 包含宇宙中所有可能的輸入。
根據我對 MPC 的安全定義(以及理想功能的使用)的理解,這種攻擊在半誠實模型下是可能的。我的問題如下:當考慮到惡意對手時,這種攻擊是否可能?更重要的是,我可以將這種對抗性行為視為惡意行為,還是與 MPC 安全模型無關?
根據我對惡意對手的影響以及針對惡意對手(例如 BGW、SPDZ 或 MASCOT)的安全協議能力的理解,這種攻擊仍然是可能的。然而,我最近在 PSI https://eprint.iacr.org/2013/515.pdf上遇到了這項工作,他們將此類攻擊歸類為惡意攻擊,因為對手正在操縱其輸入以了解其他方的輸入。
一般來說,這種攻擊在惡意模型中是“允許的”。這是因為安全計算保證了計算過程不會洩露任何資訊。安全協議應該表現得像一個理想模型,由受信任方計算結果。現在,在某些情況下,這是一個問題。但是,在實踐中,在許多情況下是可以的。
考慮 PSI 的情況:在實踐中,雙方都知道輸入的長度。因此,一方可能無法輸入整個宇宙(也可能是巨大的)。話雖如此,如果使用依賴於整個宇宙的協議(例如,PSI,通過計算位向量的電路執行安全計算,那麼這是可能的,因此 $ i $ 一方向量的第 th 位等於 1 當且僅當它具有 $ i $ 輸入中的宇宙元素)。形式上,功能的定義應該表達輸入的大小,因此要明確這一點。然而,實際上,這個細節在論文中經常被忽視。
簡而言之,這是一個真正的問題,如果您想使用 MPC,您需要了解“惡意選擇的輸入”的後果。