คุณจะบังคับพรรคให้ซื่อสัตย์ได้อย่างไร (เชื่อฟังกฎระเบียบโปรโตคอล)
ฉันได้เห็นกลไกบางอย่างเช่นภาระผูกพันการพิสูจน์และอื่น ๆ แต่พวกเขาดูเหมือนจะไม่สามารถแก้ปัญหาทั้งหมดได้ สำหรับฉันดูเหมือนว่าโครงสร้างของการออกแบบโปรโตคอลและกลไกดังกล่าวจะต้องทำงาน ไม่มีใครมีการจำแนกที่ดี
แก้ไข
เมื่อออกแบบโปรโตคอลที่ปลอดภัยหากคุณบังคับให้พรรคซื่อสัตย์การออกแบบจะง่ายกว่ามากแม้ว่าการบังคับใช้กฎหมายนี้จะมีผลตอบแทนเป็นของตัวเอง ฉันได้เห็นเมื่อออกแบบโปรโตคอลที่ปลอดภัยผู้ออกแบบถือว่าบางสิ่งบางอย่างที่ดูไม่เหมือนจริงสำหรับฉันตัวอย่างเช่นสมมติว่าทุกฝ่ายมีความซื่อสัตย์ในกรณีที่เลวร้ายที่สุดหรือสมมติว่าความซื่อสัตย์ของเซิร์ฟเวอร์ที่เก็บรักษาข้อมูลผู้ใช้ แต่เมื่อดูที่การออกแบบโปรโตคอลในแบบจำลองที่เข้มงวดคุณไม่ค่อยเห็นสมมติฐานเช่นนี้ (อย่างน้อยฉันก็ไม่เห็นมัน - ฉันมักศึกษาโปรโตคอลมากกว่ากรอบการทำงานของ Canetti UCซึ่งฉันคิดว่ายังไม่เป็นทางการเลย) ฉันสงสัยว่ามีการจำแนกประเภทที่ดีของวิธีที่คุณสามารถบังคับให้ปาร์ตี้ซื่อสัตย์หรือมีคอมไพเลอร์ใด ๆ ที่สามารถแปลงโปรโตคอลการป้อนข้อมูลให้เป็นหนึ่งเดียวกับฝ่ายที่ซื่อสัตย์ได้หรือไม่?
ตอนนี้ฉันจะอธิบายว่าทำไมฉันจึงคิดว่าสิ่งนี้ไม่ได้ทำงาน แต่มันอาจดูไม่เกี่ยวข้อง เมื่อออกแบบโปรโตคอลในกรอบงาน UC ซึ่งได้รับประโยชน์จากกระบวนทัศน์อุดมคติ / จริงการเชื่อมโยงการสื่อสารทุกรูปแบบในอุดมคตินั้นได้รับการรับรองความถูกต้องซึ่งไม่เป็นความจริงในแบบจำลองจริง ดังนั้นผู้ออกแบบโพรโทคอลจึงหาวิธีทางเลือกในการนำช่องสัญญาณนี้ไปใช้ผ่านการสันนิษฐานของ PKI หรือ CRS (สตริงอ้างอิงทั่วไป) แต่เมื่อออกแบบโปรโตคอลการพิสูจน์ตัวตนสมมติว่าแชนเนลที่ผ่านการตรวจสอบแล้วนั้นผิด สมมติว่าเรากำลังออกแบบโพรโทคอลการรับรองความถูกต้องในเฟรมเวิร์ก UC มีการโจมตีที่ปลอมแปลงตัวตนของบุคคล แต่เนื่องจากข้อสันนิษฐานของการเชื่อมโยงการรับรองความถูกต้องในรูปแบบในอุดมคติการโจมตีครั้งนี้ไม่ได้สันนิษฐาน คุณอาจอ้างถึงการสร้างแบบจำลองการโจมตีภายในบนโปรโตคอลแลกเปลี่ยนคีย์กลุ่ม คุณอาจสังเกตเห็นว่า Canetti ในงานน้ำเชื้อของเขาการแลกเปลี่ยนที่สำคัญในระดับสากลของการแลกเปลี่ยนที่สำคัญและช่องทางที่ปลอดภัยกล่าวถึงแนวคิดเรื่องความปลอดภัยก่อนหน้านี้ที่เรียกว่า SK-Security ซึ่งเพียงพอที่จะรับรองความปลอดภัยของโปรโตคอลการรับรองความถูกต้อง เขาก็สารภาพ (โดยระบุว่านี่เป็นเรื่องของด้านเทคนิค) ว่าคำจำกัดความของ UC ในบริบทนี้นั้นเข้มงวดเกินไปและให้ตัวแปรที่ผ่อนคลายที่เรียกว่า oracle ที่ไม่ใช่ข้อมูล (ซึ่งทำให้ฉันสับสน ฉันไม่สามารถจับคู่รูปแบบความปลอดภัยนี้กับรูปแบบความปลอดภัยอื่น ๆ ได้ซึ่งอาจเป็นเพราะฉันไม่รู้: D)
[ในฐานะที่เป็นบันทึกด้านข้างคุณเกือบจะสามารถแปลงโปรโตคอลความปลอดภัยของ Sk ไปเป็นระบบรักษาความปลอดภัย UC ได้โดยไม่คำนึงถึงเวลาของเครื่องมือจำลอง ตัวอย่างเช่นคุณอาจลบการเซ็นชื่อของข้อความและให้เครื่องจำลองทำการจำลองการโต้ตอบทั้งหมดในแบบจำลอง ดูการแลกเปลี่ยนคีย์กลุ่มบริจาคเพื่อช่วยเหลือในระดับสากลสำหรับการพิสูจน์! ทีนี้สมมติว่านี่เป็นโปรโตคอลการแลกเปลี่ยนกุญแจกลุ่มที่มีหลายฝ่ายที่เป็นพหุนาม, ประสิทธิภาพของเครื่องจำลองคืออะไร? นี่คือที่มาของคำถามอื่น ๆ ของฉันในฟอรั่มนี้]
อย่างไรก็ตามเนื่องจากขาดความมุ่งมั่นในรูปแบบธรรมดา (มากกว่า UC) ฉันจึงหาวิธีอื่น ๆ ที่จะทำให้โปรโตคอลปลอดภัยโดยเพียงแค่ข้ามความต้องการสำหรับการพักผ่อนนั้น ความคิดนี้จึงเป็นพื้นฐานมากในใจของฉันและได้มาในใจของฉันโดยเพียงแค่มีการศึกษาโครงการความมุ่งมั่นล่าสุด Canetti ในรูปแบบธรรมดา: การปรับตัวแข็งและ Composable การรักษาความปลอดภัยในรุ่นธรรมดาจากสมมติฐานมาตรฐาน
BTW ฉันไม่ได้แสวงหาการพิสูจน์ความรู้ที่เป็นศูนย์เพราะเหตุผลที่ฉันไม่รู้เมื่อใดก็ตามที่มีคนใช้หนึ่งในพวกเขาในโปรโตคอลที่เกิดขึ้นพร้อมกัน (มากกว่ากรอบ UC) คนอื่น ๆ ได้กล่าวถึงโปรโตคอลว่าไม่มีประสิทธิภาพ (อาจเป็น เนื่องจากการกรอกลับของเครื่องจำลอง)