ความมุ่งมั่นในระดับบิตทำให้การถ่ายโอนรูปแบบการรักษาความปลอดภัยข้อมูลเชิงทฤษฎีหลงลืมหรือไม่?

สมมติว่าคุณมีผู้เข้าร่วมที่ทรงพลังสองคนซึ่งไม่ไว้วางใจซึ่งกันและกัน พวกเขาสามารถเข้าถึงความมุ่งมั่นของบิต (เช่นซองจดหมายปิดผนึกที่มีข้อมูลที่ผู้เล่นคนหนึ่งสามารถส่งมอบให้กับผู้อื่น แต่ไม่สามารถเปิดได้จนกว่าผู้เล่นคนแรกจะให้คีย์ที่สอง) คุณสามารถใช้สิ่งนี้เพื่อสร้างโปรโตคอลการโอนที่ลืมเลือนได้ไหม นี่เป็นเรื่องจริงหรือไม่แม้ว่าผู้เล่นตกลงที่จะเปิดซองจดหมายทั้งหมดในตอนท้ายเพื่อตรวจจับการโกง (เช่นหลังจากเล่นไพ่โป๊กเกอร์ทุกคนตกลงที่จะเปิดเผยไพ่)

ฉันคิดว่าคุณไม่สามารถถ่ายโอนความหลงลืมได้เนื่องจากการถ่ายโอนแบบไม่เจาะจงนั้นเป็นสากลและฉันไม่สามารถหาการอ้างอิงใด ๆ ที่กล่าวถึงข้อผูกพันบิตได้ แต่มีหลักฐานที่คุณไม่สามารถทำได้หรือไม่?

ในที่สุดมีใครดูที่ปัญหาถ้าผู้เล่นเป็นควอนตัม?

reference-request cr.crypto-security

— Peter Shor
แหล่งที่มา

ในความคิดเห็นเกี่ยวกับคำถามเกี่ยวกับ mathoverflow มีการระบุว่า Quantum Oblivious Transfer นั้นเทียบเท่ากับภาระผูกพันบิตควอนตัม (พร้อมการอ้างอิง): mathoverflow.net/questions/32801/ ….

— M. Alaggan

เอกสารทั้งสองนี้แสดงให้เห็นว่าความมุ่งมั่นแบบควอนตัมที่มีความปลอดภัยแบบไม่มีเงื่อนไขนั้นเป็นไปไม่ได้ หากคุณสามารถถ่ายโอนการลบเลือนของควอนตัมได้นั่นหมายความว่าคุณสามารถทำข้อผูกพันบิตควอนตัมได้ สิ่งที่ฉันสงสัยคือถ้าคุณได้รับข้อผูกพันบิต (เป็นกล่องดำ) ที่ทำงานกับโปรโตคอลควอนตัมคุณสามารถถ่ายโอนการหลงลืมสำหรับโปรโตคอลควอนตัมได้หรือไม่

— Peter Shor

อาจจำเป็นต้องมีพื้นหลังเพิ่มเติมเล็กน้อย ฉันคิดว่าฉันมีรูปแบบที่ค่อนข้างง่ายซึ่งให้ความมุ่งมั่นเล็กน้อยใช้มันเพื่อให้เกิดการถ่ายโอนแบบไม่รู้ลืมในโปรโตคอลควอนตัม ฉันต้องการ (1) ที่จะรู้ว่าบทพิสูจน์แบบดั้งเดิมคือการถ่ายโอนแบบไม่รู้ลืมมีประสิทธิภาพมากขึ้นอย่างเคร่งครัดเพื่อให้แน่ใจว่าพวกเขาไม่ได้ใช้กับคดีควอนตัมและ (2) รู้ว่าใครเคยสังเกตเรื่องนี้มาก่อนหรือไม่ วรรณกรรมสำหรับการถ่ายโอนควอนตัมที่หลงลืมและความมุ่งมั่นของบิตนั้นยากต่อการค้นหาเพราะหลักฐานการรักษาความปลอดภัยหลายอย่างแตกต่างกันเมื่อเมเยอร์และโลและโจวพิสูจน์ทฤษฎีบทที่ไม่ต้องไปของพวกเขา

— Peter Shor

การค้นหาวรรณกรรมมากกว่านี้มีหลักฐานการโอน ==> ลืมเลือนหลักฐานการโอนในระบอบการปกครองควอนตัมใน 1991 กระดาษของเบนเน็ตต์, Brassard, Crépeauและ Skubiszewska ( springerlink.com/content/k6nye3kay7cm7yyx ) ดังนั้นจึงเป็นที่รู้จักกันดี

— Peter Shor

วิสัย Alaggan: ฉันต้องขออภัยในการยกเลิกความคิดเห็นของคุณด้านบนดังนั้นในทันที ผู้เขียนความคิดเห็น MathOverflow ที่คุณอ้างถึงอาจจะรู้ว่าพวกเขามีความเท่าเทียมกันและในความเป็นจริงความคิดเห็นที่ทำให้ฉันในเส้นทางบรรณานุกรมซึ่งนำไปสู่หลักฐานการอ้างอิงที่ฉันพบในความคิดเห็นข้างต้นของฉัน ขอบคุณมาก

— Peter Shor

คำตอบ:

ไม่ความมุ่งมั่นมีความซับซ้อนต่ำกว่า OT อย่างเคร่งครัด ฉันคิดว่าวิธีง่าย ๆ ที่จะเห็นสิ่งนี้คือวิธีการที่ใช้ในความซับซ้อนของปัญหาการคำนวณแบบหลายส่วน: กรณีของการประเมินฟังก์ชั่นความปลอดภัย Symmetric 2 พรรคโดย Maji, Prabhakaran, Rosulek ใน TCC 2009 (ข้อจำกัดความรับผิดชอบ: การส่งเสริมตนเอง!) ในบทความนั้นเรามีผลลัพธ์ที่บ่งบอกถึงสิ่งที่คุณสามารถทำได้เพื่อการเข้าถึงความมุ่งมั่นในอุดมคติในโมเดล UC ด้วยความปลอดภัยทางสถิติ

สมมติว่ามีโปรโตคอลความปลอดภัยทางสถิติ (กับฝ่ายตรงข้ามที่เป็นอันตราย) $\pi$ สำหรับ OT โดยใช้การเข้าถึงความมุ่งมั่นบิตกล่องดำในอุดมคติ จากนั้นจะต้องปลอดภัยจากศัตรูที่ซื่อสัตย์ แต่อยากรู้อยากเห็นเช่นกัน (ไม่สำคัญเหมือนที่มันฟัง แต่ไม่ยากที่จะแสดงเช่นกัน) แต่คุณสามารถเขียนกับโปรโตคอลความซื่อสัตย์ แต่สงสัยเล็กน้อยที่น่าสนใจสำหรับความมุ่งมั่นและมีโปรโตคอล OT ที่ซื่อสัตย์ แต่อยากรู้อยากเห็นซึ่งมีความปลอดภัยทางสถิติโดยไม่ต้องตั้งค่าใด ๆ แต่สิ่งนี้เป็นที่รู้กันว่าเป็นไปไม่ได้ $\pi$ $\pi$

วิธีการที่จะเห็นมันก็คือผ่านImpagliazzo-Rudich หากคุณมีคู่กรณีที่ไม่มีการคำนวณและมี oracle แบบสุ่มคุณสามารถทำข้อตกลง (เนื่องจากทั้งหมดที่คุณต้องการคือฟังก์ชั่นทางเดียว) แต่คุณไม่สามารถทำสิ่งต่าง ๆ เช่นข้อตกลงหลักและไม่ใช่ OT

— mikero
แหล่งที่มา

@ Mikero: นั่นเป็นหลักฐานที่ดีจริงๆและเรียบง่าย

— Peter Shor

สำหรับ OT ของบิตคลาสสิก (เช่นโลกอุดมคติแบบคลาสสิก) อาร์กิวเมนต์จะผ่านสำหรับโปรโตคอล / ควอนตัมของฝ่ายตรงข้าม หาก OT ปรุงแต่ง qbits แสดงว่าอาจมีปัญหาแทรกซ้อน ขั้นตอนที่ "ไม่สำคัญเหมือนฟัง แต่ไม่ยาก" เกี่ยวข้องกับการบอกว่า WLOG เครื่องมือจำลองใช้การป้อนข้อมูลที่จัดทำโดยสภาพแวดล้อมเสมอ นี่คือคุณสมบัติของ OT ที่จะต้องแสดง (หากเครื่องจำลองไม่ได้ส่งสิ่งที่ได้รับผลลัพธ์จะไม่ถูกต้องด้วยความน่าจะเป็นที่สังเกตได้ดังนั้นการจำลองที่ไม่ปลอดภัย) และจะต้องมีการโต้แย้งอีกครั้งหากสภาพแวดล้อมสามารถให้ / รับ qbits จาก OT

— mikero

@ Mikero: ฉันไม่เข้าใจความคิดเห็นก่อนหน้าของคุณ มันหมายความว่าอย่างไรสำหรับ OT ที่จะไม่จัดการกับ qubits? คุณหมายถึงว่าทั้งสองฝ่ายเพียงแค่สื่อสารกับบิตคลาสสิก แต่อาจมีโปรเซสเซอร์ควอนตัม? สิ่งนี้จะตามมาจากข้อเท็จจริงที่ว่าไม่มีโปรโตคอลความปลอดภัยข้อมูลเชิงทฤษฎีสำหรับ OT อยู่แม้ว่าจะมีข้อผูกมัดเล็กน้อยก็ตาม

— Peter Shor

ฉันกำลังพิจารณาว่า "ควอนตัม OT โพรโทคอล" หมายถึงคลาสสิก OT (ฟังก์ชั่น OT รู้เพียงเกี่ยวกับบิต) ด้วยโพรโทคอลควอนตัมที่เป็นไปได้หรือเป็น OT ที่สภาพแวดล้อมรู้เกี่ยวกับ qubits และ OT ส่ง / รับ qubits ในกรณีก่อนหน้านี้ฉันคิดว่าอาร์กิวเมนต์เดียวกันนั้นต้องผ่านการแก้ไข สมมุติว่าคุณหมายถึงกรณีหลัง แล้วถ้ามีจริงๆเป็น counterexample ในโลกควอนตัมมันจะหมายความว่า OT ของ qubits ไม่ได้มีคุณสมบัติที่ WLOG จำลองแผนที่ซื่อสัตย์ แต่อยากรู้อยากเห็นฝ่ายตรงข้ามจริงของโลกแก่ปฏิปักษ์เหมาะซื่อสัตย์ แต่อยากรู้อยากเห็น ! ที่น่าสนใจ

— mikero

ถ้าฉันเข้าใจคำถามของคุณถูกต้องทั้ง Bennett และคณะ กระดาษและบทพิสูจน์ของฉันมีไว้สำหรับ OT คลาสสิคพร้อมข้อความควอนตัมระหว่างผู้เข้าร่วมเพื่อใช้ OT

— Peter Shor

ในกรณีควอนตัมโปรโตคอลแรกที่สร้างการถ่ายโอนแบบไม่สนใจ (แบบดั้งเดิม) ที่ยึดตามความมุ่งมั่นแบบบิต (แบบดั้งเดิม) โดยใช้โปรโตคอลควอนตัมถูกเสนอในปี 1991 โดย Bennett, Brassard, Crépeauและ Skubiszewska (http://www.springerlink.com/content / k6nye3kay7cm7yyx /) แต่หลักฐานการรักษาความปลอดภัยที่สมบูรณ์ได้รับเมื่อเร็ว ๆ นี้โดย Damgaard, Fehr, Lunemann, Salvail และ Schaffner ในhttp://arxiv.org/abs/0902.3918

สำหรับส่วนขยายไปยังการคำนวณแบบหลายกลุ่มและการพิสูจน์ในกรอบความสามารถในการใช้งานร่วมกันสากลให้ดูงานโดย Unruh: http://arxiv.org/abs/0910.2912

— คริสเตียนชาฟเนอร์
แหล่งที่มา