一個資訊理論上安全的協議的例子,它不是密碼安全的
是否存在協議 $ \pi $ 對於某些功能 $ F $ 對於某些門檻值數量的腐敗方,哪種資訊理論上安全協議在密碼學上不安全?直覺地說,這樣的協議是不可能存在的,因為如果一個協議在存在多時間對手的情況下不安全,那麼即使存在具有無限計算能力的對手,它也一定是不安全的。但是,我已經建構了一個協議 $ \pi $ 對於一個功能 $ F $ ,這似乎是理論上的資訊安全協議,但在密碼學上並不安全。
考慮三方 $ P_1, P_2,P_3 $ 帶有私人輸入 $ p,q $ 和 $ \phi $ 分別,其中 $ p $ 和 $ q $ 是素數。他們希望計算功能 $ F(p,q,\phi) = (\phi,\phi,p*q) $ 即派對 $ P_3 $ 必須接收兩個素數的乘積作為輸出。
我設計了以下協議來實現該功能:Party $ P_1 $ 發送 $ p $ 聚會 $ P_3 $ 和派對 $ P_2 $ 發送 $ q $ 聚會 $ P_3 $ . 聚會 $ P_3 $ 計算產品 $ p*q $ .
黨的觀點 $ P_3 $ 在這個協議中是 $ (p,q,pq) $ , 因為它的觀點只是 (pq) 在功能的理想實現中 $ F $ . 讓我們考慮以下情況 $ P_3 $ 是對手(沒有聯盟)。如果 $ P_3 $ 具有無限的計算能力,那麼這兩個視圖是等價的,因此該協議在理論上是資訊安全的。然而,如果對手只能執行有效的算法(多項式時間算法),那麼從協議的角度來看 $ \pi $ 給出更多資訊,即理想的實施 $ F $ ,假設保理是一個難題。
我的疑問如下:
(1) 我是否正確地認為協議 $ \pi $ 上面描述的資訊在理論上是安全的,但在計算上不安全,在一個腐敗方存在的情況下。
(2) 模擬器 $ S $ 設計用於顯示理想實現和建議實現的等價性總是需要高效?它是否取決於對手的計算能力?
為了讓資訊論安全隱含計算安全,您需要要求模擬器執行的時間與真實對手的執行時間成多項式。這是標准定義,特別是為了避免您在問題中提出的協議。
所以,答案是:
- 如果您允許模擬器在執行時間上不受限制(並且與真實對手的執行時間無關),那麼資訊論安全並不一定意味著計算安全。
- 如果您像我描述的那樣限制模擬器,那麼資訊論安全確實意味著計算安全。
在我看來,如果現實世界中的一方是無界的,那麼讓模擬器不受限制是沒有意義的(現實世界中就是這種情況)。因此,我強烈認為您必須按照描述限制模擬器。