ลอตเตอรี่ที่คุณสามารถมั่นใจได้ว่ามันยุติธรรม

27

(ขออภัยหากนี้เป็นที่รู้จักกันดี.) ฉันอยากจะให้บางรายการให้เป็นหนึ่งในตัวแทนเพื่อให้ตัวแทนจะได้รับไอเทมที่มีความน่าจะเป็นp_iมีเครื่องมือการเข้ารหัส (หรืออื่น ๆ ) เพื่อให้ตัวแทนทุกคน (และแม้แต่ผู้สังเกตการณ์ทุกคน) จะสามารถมั่นใจได้ว่าการวาดภาพแบบสุ่มนั้นยุติธรรมหรือไม่? $k$ $j$ $p_i$

cr.crypto-security

— Gil Kalai
แหล่งที่มา

1

ตัวแทนอนุญาตให้รู้จัก ..หรือไม่

p_{0}

$p_0$

p_{k}

$p_k$

— Mike Samuel

คุณเคยเห็นสิ่งนี้ไหม ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=4232861

— dspyz

19

หากฉันเข้าใจปัญหาอย่างถูกต้องดูเหมือนว่าจะเป็นเรื่องที่ประชาชนจะต้องพลิกเหรียญด้าน ดูเหมือนจะมีวิธีการมากมายในการทำเช่นนี้หากคุณมีข้อผูกมัดเล็กน้อย ตัวอย่างหนึ่งคือการให้แต่ละฝ่ายสร้างจำนวนเต็มแบบสุ่มระหว่าง 0 ถึงโดยใช้ความมุ่งมั่นแบบบิตเพื่อส่งมอบสายบิตนั้นต่อสาธารณะ จากนั้นเมื่อตัวแทนแต่ละคนได้กระทำพวกเขาทั้งหมดเปิดเผยต่อสาธารณชนเป็นจำนวนเต็มลับของพวกเขา ตัวแทนชนะเป็นแล้วคนที่จัดทำดัชนีโดยรวมของจำนวนเต็มโมดูโลที่kถ้าแม้แต่เอเจนต์หนึ่งคนที่ซื่อสัตย์ก็จะต้องสุ่ม $k$ $k-1$ $k$

แน่นอนปัญหาหนึ่งของปัญหานี้คือต้องมีข้อผูกมัดเล็กน้อย รูปแบบข้อมูลเชิงทฤษฎีสำหรับความมุ่งมั่นบิตนั้นเป็นไปไม่ได้สำหรับทั้งการคำนวณแบบดั้งเดิมและแบบควอนตัม (แม้ว่า Adrian Kent เพิ่งเสนอรูปแบบการหาประโยชน์จากความสัมพันธ์) อย่างไรก็ตามการรักษาความปลอดภัยบิตสามารถทำได้ด้วยสมมติฐานการคำนวณ

— Joe Fitzsimons
แหล่งที่มา

2

ปัญหาของฉันกับวิธีนี้คือถ้าคุณต้องการโน้มน้าวให้ผู้สังเกตการณ์ภายนอกจำนวนมากจากความเป็นธรรมพวกเขาแต่ละคนจะต้องทำอะไรสักอย่างและคุณต้องแน่ใจว่าพวกเขาแต่ละคนจะเปิดเผยหลักฐานของความมุ่งมั่นของพวกเขา คุณไม่สามารถเพิกเฉยต่อบิตของผู้สังเกตการณ์ที่ไม่เปิดเผยหลักฐานเพราะผู้สังเกตการณ์คนสุดท้ายที่เปิดเผยสามารถจัดการผลลอตเตอรี่โดยการตัดสินใจว่าจะเปิดเผยหลักฐานของเขาหรือไม่

— Zsbán Ambrus

1

@ user8067: ฉันไม่เชื่อว่ามันเป็นไปได้โดยไม่ต้องมีปฏิสัมพันธ์หรือเชื่อถือได้ว่าอย่างน้อยหนึ่งฝ่ายมีความซื่อสัตย์ เหตุผลที่ฉันพูดแบบนี้ก็คือหากการสุ่มเริ่มต้นกำหนดไว้ล่วงหน้าผ่านการสมรู้ร่วมคิดของทุกคนที่มีส่วนร่วม ณ จุดนั้นกระบวนการทั้งหมดนั้นกำหนดขึ้นและไม่สุ่ม อย่างไรก็ตามปัญหาต้องใช้กระบวนการสุ่มดังนั้นนี่น่าจะดีที่สุดที่คุณสามารถทำได้

— Joe Fitzsimons

2

ฉันไม่มั่นใจว่าเป็นไปได้

— Joe Fitzsimons

2

@RickyDemer: มีข้อมูลไม่เพียงพอในคำถามที่จะบอกว่ารูปแบบของศัตรูนั้นมีผลกับที่นี่ ถ้ากิลบอกเราอย่างชัดเจนว่ามันมีไว้เพื่ออะไรมันจะง่ายกว่าที่จะพิสูจน์ว่าโครงการนั้นตรงกับความต้องการของเขาหรือไม่ แต่นั่นก็บอกว่าฉันไม่สงสัยเลยว่ากิลยิ่งกว่าสามารถตรวจสอบได้ว่าคำตอบของเราตอบสนองความต้องการของเขาหรือไม่

— Joe Fitzsimons

2

@RickyDemer: มันไม่ชัดเจนเลยสำหรับฉันว่ารูปแบบที่ชัดเจนสำหรับกรณีนี้คืออะไร มันขึ้นอยู่กับการตั้งค่าอย่างมากและไม่ชัดเจนว่าสมมติฐานเริ่มต้นควรเป็นอย่างไร มันน้อยมากที่จะลงคะแนนและเริ่มทำตัวเหมือนคำตอบของฉันและเลฟก็ผิด พวกเขาไม่ได้รวมคำเตือนอย่างชัดเจนไว้ในคำตอบของอดัม โปรดทราบว่าฉัน - ไม่ - แก้ไขคำตอบของฉันเพราะไม่มีข้อมูลเพิ่มเติมจาก Gil ฉันไม่เห็นว่ามันสมเหตุสมผลที่จะเดาว่าเป็นปรปักษ์รุ่นดังนั้นฉันจึงปล่อยให้เป็นเรื่องทั่วไปที่สุดเท่าที่จะทำได้ (ไม่ได้ระบุว่า ข้อผูกพันบิตต้องไม่เป็นโมฆะ)

— Joe Fitzsimons

15

ตามที่ผู้ใช้คนอื่นบอกใบ้นี่เป็นปัญหาที่ได้รับการศึกษาอย่างดีในการเข้ารหัส มันถูกเรียกว่า "coin-flipping" และเป็นกรณีพิเศษของการคำนวณหลายส่วน

โปรโตคอลทำงานอะไรจริง ๆ แล้วขึ้นอยู่กับบริบทค่อนข้างมาก

ในการตั้งค่า "สแตนด์อโลน" โปรโตคอลจะทำงานแยกออกจากกันโดยไม่มีผู้เล่นที่เกี่ยวข้องกับโปรโตคอลอื่น ๆ (หรือแน่นอนการมีปฏิสัมพันธ์กับโลกภายนอก) ในเวลาเดียวกัน มีการรักษาที่น่าพิศวงอย่างนี้ในตำรา "Odds of Cryptography" ของ Oded Goldreich (เล่มที่ 2 ฉันคิด)

เพียงแค่ให้ความคิดว่ามันบอบบางเพียงใดโปรโตคอล "ทุกคนมุ่งมั่นที่จะสุ่มค่า" ที่เสนอโดยผู้ตอบคำถามอีกคนนั้นไม่ปลอดภัยหากรูปแบบความมุ่งมั่นที่คุณใช้นั้นอ่อน รูปแบบความมุ่งมั่นที่ไม่ใช่ความร้อนทำให้คุณมีโปรโตคอลที่ปลอดภัย แต่พวกมันค่อนข้างซับซ้อนในการออกแบบ

ในการตั้งค่าที่ผู้เข้าร่วมมีส่วนร่วมในโปรโตคอลที่เกิดขึ้นพร้อมกันอื่น ๆ คุณต้องการโปรโตคอลที่สามารถเรียบเรียงได้ มีแนวคิดหลายประการเกี่ยวกับความสามารถในการเรียงความ แต่สิ่งที่แข็งแกร่งที่สุดที่เรียกว่าการจัดองค์ประกอบแบบสากลจำเป็นต้องมีสมมติฐานการตั้งค่าเพิ่มเติมบางอย่าง (ตัวอย่างเช่น PKI หรือสตริงสุ่มทั่วไปที่มองเห็นได้สำหรับทุกฝ่าย แต่ไม่สามารถควบคุมได้) ฉันไม่ทราบถึงการรักษาที่สามารถเข้าถึงหัวข้อนี้ได้อย่างน่าเสียดาย แต่การดูกระดาษเมื่อเร็ว ๆ นี้เกี่ยวกับการแต่งเพลงที่เป็นสากลหรือความมุ่งมั่นที่ไม่ระบายความร้อนจะเป็นจุดเริ่มต้นที่ดี

— อดัมสมิ ธ
แหล่งที่มา

1

“ สตริงสุ่มทั่วไปที่มองเห็นได้สำหรับทุกฝ่าย แต่ไม่มีใครควบคุมได้” เป็นสิ่งที่เราต้องการสร้าง

— Zsbán Ambrus

1

และหลังจากแก้ปัญหานั้นสักครั้งหนึ่งก็สามารถเรียงความได้ในระดับสากล

$\hspace{1 in}$ แก้ปัญหาอีกครั้ง (โดยพลการหลาย ๆ ครั้ง)

$\:$

ฉันคิดว่าคำมั่นสัญญา UC เป็นที่รู้จักสำหรับการตั้งค่าคีย์สาธารณะที่ลงทะเบียน (ซึ่งเป็นข้อสันนิษฐานที่แข็งแกร่งกว่า PKI) และการตั้งค่าแบบหลายสตริง (ซึ่งเป็นข้อสมมติฐานที่อ่อนแอกว่าสตริงแบบสุ่มทั่วไป)

2

ยินดีต้อนรับสู่เว็บไซต์ Adam!

— Gil Kalai

11

หมายเหตุ: โปรดอ่านความคิดเห็นด้านล่าง โปรโตคอลนี้ดูเหมือนจะมีปัญหา

$p_j$

$\{0,1\}^b$ $b$

ตัวแทนใด ๆ สามารถมั่นใจได้ว่าตัวเลขสุ่มที่เลือกนั้นมาอย่างสม่ำเสมอโดยการสุ่มเลือกเวกเตอร์ของเขาอย่างสม่ำเสมอ เพื่อให้ผู้สังเกตการณ์เชื่อมั่นพวกเขาต้องเชื่อว่าตัวแทนอย่างน้อยหนึ่งคนปฏิบัติตามโปรโตคอล แต่ถ้าไม่มีใครทำฉันเดาว่าไม่มีใครอยากได้ลอตเตอรีที่ยุติธรรมเริ่มต้นด้วย

— Lev Reyzin
แหล่งที่มา

ขออภัย Lev ฉันเพิ่งสังเกตคำตอบของคุณ เมื่อฉันเริ่มเขียนคำตอบไม่มีอะไรที่นี่ แต่เราทั้งคู่ดูเหมือนจะได้คำตอบที่คล้ายกันมาก

— Joe Fitzsimons

ไม่ต้องห่วง! ดูเหมือนว่าเรากำลังถูกทางแล้ว

— เลฟเรย์ซิน

ใช่จริง ๆ แล้วฉันคิดว่ามีเอกสารจำนวนมากเกี่ยวกับเรื่องนี้ในบริบทของการพลิกเหรียญ แต่ฉันไม่รู้จริง ๆ ว่าวรรณกรรมดีพอที่จะให้คำตอบที่ถูกต้องตามนั้น

— Joe Fitzsimons

7

การอ้างอิงที่เร็วที่สุดที่ฉันรู้คือ: M. Blum การพลิกเหรียญทางโทรศัพท์ CRYPTO 1981: 11-15 สามารถดาวน์โหลดได้ที่dm.ing.unibs.it/giuzzi/corsi/Support/papers-cryptography/ …

— Ryan Williams

4

มีการโจมตีมาตรฐานหากคุณใช้แผนการกำหนดบิตมาตรฐาน (เช่นการแฮช) ลองพิจารณากรณีที่มีสองฝ่ายอลิซและบ๊อบที่อลิซไปก่อน หลังจากที่อลิซถ่ายทอดความมุ่งมั่นของเธอบ๊อบก็สามารถคัดลอกมันได้ หลังจากที่อลิซแสดงความมุ่งมั่นของเธอบ๊อบก็สามารถเปิดเขาได้ในตอนนี้ ทีนี้สุ่มเวกเตอร์ของพวกมันเท่ากัน, ดังนั้นพวกเขาถึงศูนย์ - บ๊อบสามารถบังคับค่าสุดท้ายให้เป็นศูนย์ได้, ซึ่งขัดแย้งกับความต้องการความยุติธรรม

— DW

-3

ผู้สังเกตการณ์แบบพาสซีฟไม่สามารถยืนยันได้ว่ารูปวาดนั้นไม่ได้ถูกจัดฉาก สามารถป้อนข้อมูลเข้าสู่กระบวนการหลอกสุ่มเพื่อให้ได้ผลลัพธ์ที่ต้องการ

อย่างไรก็ตามหากผู้สังเกตการณ์สามารถให้หมายเลขสุ่มที่เขารู้ว่าเป็นแบบสุ่มและตรวจสอบให้แน่ใจว่าตัวแทนอื่น ๆ จะไม่เปลี่ยนอินพุตของพวกเขาในภายหลัง (เพราะพวกเขาสามารถชดเชยผลกระทบของพวกเขาด้วยอินพุตของพวกเขา) จากนั้นเขาสามารถมั่นใจได้ว่า .

สิ่งนี้ต้องใช้รูปแบบความมุ่งมั่นซึ่งเราไม่ทราบว่ามีการพิสูจน์ทางคณิตศาสตร์ว่าปลอดภัย แต่ในทางปฏิบัติสามารถรับรู้ได้โดยใช้แฮชที่ปลอดภัย (เช่น SHA3)

ลองพิจารณาตัวอย่างนี้:

ป้อนคำอธิบายรูปภาพที่นี่

ฉันทำตัวอย่างการนำไปใช้ คุณสามารถดูได้อาศัยอยู่ที่นี่: https://mrogalski.eu/cl/หรือตรวจสอบแหล่งที่มาบนGitHub

— Marek Rogalski
แหล่งที่มา

1

นี่เป็นข้อสังเกตของโจแล้ว

— Kaveh

1

ภาพประกอบกราฟิกดีมาก!

— Gil Kalai

3

กราฟิกสวยมาก แต่คำตอบของคุณไม่มีสิ่งใดที่ไม่ใช่คำตอบที่มีอยู่

— David Richerby