Verwendung spielbasierter Beweise in simulationsbasierten Beweisen

8

Simulationsbasierte Sicherheit bietet eine natürlichere und leistungsfähigere Definition von Sicherheit als spielbasierte Sicherheit. Ich habe gesehen, dass die simulationsbasierten Ansätze die spielbasierten Beweise teilweise verwenden, um die Sicherheit einiger Teile des Protokolls zu beweisen. Um beispielsweise die Sicherheit eines Protokolls für die runde Komplexität oder die Gesamtzahl der während der Ausführung des Protokolls ausgetauschten Nachrichten zu bewerten, wird ein spielbasierter Ansatz gewählt, die Sicherheit des Protokolls selbst in Bezug auf das Framework (in meiner Studie das UC-Framework) jedoch bewiesen durch Ideal / Real-Paradigma (dh simulationsbasierter Ansatz).

Frage : Unter welchen Umständen können wir einen spielbasierten Ansatz verwenden, um die Sicherheit eines Teils des Protokolls oder des gesamten Protokolls zu beweisen, wenn das Protokolldesign einem Simulationsansatz entsprechen muss? Können wir diesen Ansatz zu irgendeinem Zeitpunkt aus irgendeinem Grund anwenden, solange er für die Sicherheit des gesamten Protokolls in Bezug auf das simulationsbasierte Framework nicht relevant ist?

Lassen Sie es mich anhand eines Beispiels erklären: Ich studiere ein Gruppenschlüsselaustauschprotokoll über ein UC-Framework (simulationsbasiert), aber das Protokoll verwendet Verschlüsselungsschemata, die CCA-sicher sind (bewiesen durch ein Spiel zwischen einem Gegner und einigen Orakeln) oder CCA2- Sicher (auch durch einen spielbasierten Ansatz bewiesen), Signaturen müssen existenziell nicht fälschbar sein (auch spielbasierter Ansatz), und schließlich werden die Kommunikationskosten des Protokolls berechnet und die Analyse der Protokollsicherheit in 10 oder 11 Spielen zwischen Gegner und Gegner durchgeführt Simulator. Schließlich wird nachgewiesen, dass das Protokoll den UC-Vorschriften entspricht.

cc.complexity-theory cr.crypto-security Yasser Sobhdel
quelle
Dies ist eine interessante Frage. Auch hier bin ich nicht auf meinem Gebiet, aber es überrascht mich, dass ein simulationsbasierter Ansatz leistungsfähiger ist als ein spielbasierter Ansatz. Haben Sie eine Referenz für diese oder eine Intuition?
Dave Clarke
5
Dave, es ist keineswegs überraschend, dass simulationsbasierte Definitionen stärker sind als spielbasierte. In einer simulationsbasierten Definition ist es erforderlich, dass aus der Interaktion nichts gelernt wird (außer der beabsichtigten Funktionalität), während in einer spielbasierten Definition die Sicherheitsanforderung explizit ist (denken Sie an die Unverfälschbarkeit digitaler Signaturen). Im Prinzip kann man also etwas aus der Interaktion mit einem Schema lernen, das spielbasiert sicher ist, solange dies nicht gegen die explizite Sicherheitsanforderung verstößt (z. B. das Erlernen geheimer Informationen, die beim Fälschen der Signatur nicht helfen).
Alon Rosen

Antworten:

6

Ein Artikel , der sich mit dem Thema befasst, ist Spiele und die Unmöglichkeit einer realisierbaren idealen Funktionalität von Datta et al., Aber es scheint das Problem nicht allgemein anzusprechen. Mir ist keine allgemeine Aussage bekannt, die eine simulationsbasierte Sicherheit des gesamten Protodols auf der Grundlage spezifischer spielbasierter Sicherheitseigenschaften seiner Unterprotokolle garantiert (es sei denn, die spielbasierten Definitionen implizieren natürlich eine simulationsbasierte Sicherheit, in diesem Fall die generische Kompositionssätze von Canetti sollten gelten).

Es gibt jedoch bestimmte Fälle, in denen man simulationsbasierte Sicherheit von spielbasierter Sicherheit erhalten kann. Das aus meiner Sicht aussagekräftigste Beispiel ist ein ZK-Argument (Constant-Round Zero-Knowledge) für NP von Feige und Shamir (siehe z. B. Feiges PhD ), das auf den Unterprotokollen Zeuge-Indistinguishabille (WI) und Zeugen-Verstecken (WH) aufbaut . Sowohl WI als auch WH sind (wohl) spielbasierte Definitionen, und dennoch kann nachgewiesen werden, dass das gesamte Protokoll ZK ist (die Mutter aller simulationsbasierten Definitionen, zumindest für interaktive Protokolle).

Alon Rosen
quelle
1
Gut gesagt! Ich schlage vor, Feige-Shamir-Artikel (Zero Knowledge Proofs of Knowledge in zwei Runden) anstelle von Feiges These zu lesen, da es viel mehr auf den Punkt kommt.
MS Dousti
Vielen Dank! Genau das, wonach ich gesucht habe. @ Sadegh: Danke auch. Sie fungieren als mein Herausgeber: D
Yasser Sobhdel