从博弈论角度看安全计算

从博弈论角度看安全计算

Gilad Asharov_ Ran Canetti y Carmit Hazay z

March 17, 2011

Department of Computer Science, Bar-Ilan University, Israel. Supported by the European Research Council as

part of the ERC project LAST. asharog@cs.biu.ac.il

摘要：本文从博弈论概念和形式化的角度探讨了密码学的安全概念，在限制条件。面对限制条件苛刻的两方安全协议的恶意-停止问题，我们首次引入理性参与者，借助于博弈论的纳什均衡概念解决传统协议的保密性和正确性。其次，我们集中研究这种意义下的公平性，在此我们基于博弈论提出两个密码学概念，并证明它们是等价的。最后，对上术三个概念给出了模拟概念。上述的的相关概念比现有的密码学协议的安全性和公平性概念的要求减弱，尤其是，这些协议更符合现实，同时解决了现有的公平性被证明是不可能实现的问题。

Contents

1 Introduction 2

2 The Model and Solution Concepts 6

2.1 Cryptographic De_nitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

2.1.1 Cryptographic Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2.2 Game Theoretic De_nitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

3 Privacy and Correctness in Game Theoretic View 11

3.1 Privacy in Game Theoretic view . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

3.2 Correctness in Game Theoretic view . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

4 Exploring Fairness in the Two-Party Setting 17

4.1 Fairness in Game Theoretic View . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

4.2 A New Indistinguishability-Based Definition of Fairness . . . . . . . . . . . . . . . . 19

4.3 The Gradual Release Property . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

4.4 A New Notion of Simulation Based Security . . . . . . . . . . . . . . . . . . . . . . . 26

4.4.1 Simulation Based Security with Fairness . . . . . . . . . . . . . . . . . . . . . 28

4.4.2 Simulation-Based De_nition Implies Game-Based Fairness . . . . . . . . . . . 31

4.5 The Feasibility of Our De_nition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

4.5.1 An Impossibility Result . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

4.5.2 A Positive Result . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

A Dealing with Expected Round Complexity 41

1引言

博弈论和密码协议都是致力于解决多方协同的复杂性与利益欺诈问题，从这个角度来说，这两个研究分支的观点是相同的：算法的设计及分析是解决参与者的协作。然而，它们的目标和形式有所不同，密码学侧重于在对手有恶意行为时，设计协议算法解决保密性、正确性或公平性；而博弈论面对的环境更开放，参与者从理性出发，对手通过定义目标，从自私本性需求设计交互策略以获得最大利益。

不过，尽管有这些不同点，但这两个分支的交叉研究取得了一些非常丰富的成果（[ 24，6 ]）。一个很自然的方向是使用加密技术解决传统的博弈论问题，其中主要有Dodis等人[ 5]、Ismalkov等人[ 23，22 ]、Abraham等人[1]，Halpern 和Pass [21]延着这条思路，探讨了在一个安全多方计算协议的中如何使用加密技术，取代可信设备或机制设计中的可信第三方。

另一方面的研究是通过考虑密码学的思想和所关注的需求，以及计算能力和和计算代价的限制，扩展传统的博弈论的内容以适应密码的需求[5，21，19]。

这种研究的目的是使用博弈论的概念和方法修改传统密码学的目标，如安全性和公平性。该研究的关键是定义合理的秘密信息的公平交换的概念（即被公认为是理性秘密共享）[20，17，27，25，26，28，7，2]。这里的目标是设计一个交换协议，理性参与者都会遵守协议的执行，他希望能获取其他参与者的秘密，但又不希望他人得到自己的秘密。事实上，这是假设参与者有特定的偏好及对偏好先验知识的量化方法，这种事先了解先验知识是必不可少的，否则不可能得到结果[2，4]。

这些工作给出了解决有合作又有竞争的参与者方的协议理论和方法，但同时，也指出了博弈论和密码学是两种基本不兼容的理论形式。例如，博弈论在工程中使用于理性的秘密共享似乎不适合于密码学的初衷，如加密的语义安全。相反，这些工作提出更简单的概念更难兼容传统的密码学。特别是，现有的建模是将要交换的秘密视为一个原子单位，这样的话任何一方要么得到完整的秘密，要么什么也得不到。与传统的加密建模不同，这里考虑通过执行协议传输部分秘密的问题。

本文工作。我们研究两个形式化问题。首先是我们如何利用博弈理论形式化传统密码学协议的安全性定义，我们集中考虑两方协议和失败-停止攻击模型。研究的核心是当有恶意攻击时，如何实现协议的保密性、正确性和公平性。

在论文中，我们首先分别给出博弈理论意义下的保密性和正确性概念，正确地评价fail-stop确定性函数设置(文献[10])。然后我们将注意力转向公平性，这种情况更复杂的，我们形式化一个自然的博弈论观念下的公平性，它比现有的两方协议的公平性的要求条件要弱。然后我们提出基于博弈论意义下的密码协议的定义，然后从仿真的角度评估上述三个内容。结果，我们发现这些新观念下的公平性在特定意义是可以实现的，而对于传统密码协议的公平性却是不能达到的。