31、多项式时间安全中的统一结果与协议分析

原创于 2025-10-14 11:53:28 发布 · 516 阅读

11 ·

CC 4.0 BY-SA版权

文章标签：

#知识证明 #协议漏洞 #Rabin协议

多项式时间安全中的统一结果与协议分析

1. 知识证明与协议漏洞

在形式化“知识证明”的概念时，必须极其谨慎。单独提出一个看似合理的概念很容易，但当协议并行执行时，若没有某种身份识别方案，这个概念可能就会失效。

Rabin协议在并行执行时暴露出一个有趣的漏洞。尽管该协议在单独使用或顺序组合时被证明是安全的，但在并行使用时，即使经过修正，若无身份识别方案，它也是不安全的。一个严重的问题是，证明n是两个素数的乘积，并不等同于证明Alice知道这两个素数。

当Alice给出令人满意的知识证明时，从她的交互中推导出b是可能的。但需要强调的是，从Alice的对话中推导b绝不能太容易，否则Rob自己就能做到。在这种情况下，必须根据视图来定义输入承诺/透明性。

2. 另一种OT协议

这里提到了作者与Nicol So开发的一种OT协议，该协议启发了作者对den Boer协议的研究，并为本文提供了灵感。与den Boer协议一样，此OT协议不需要反复生成大的Blum整数。其具体步骤如下：
1. Bob的操作 ：Bob选择$n = pq \in BLUM$，记住$(p, q)$，选择$u \in Z_n^ $，并将$(n, u)$发送给Alice。Bob以零知识证明$n \in BLUM$。
2. Alice的操作 ：Alice选择$r \in Z_n^ $和随机比特$d$，计算$z = [(-1)^d u] b r^2 \pmod{n}$，并将$(d, z)$发送给Bob。她证明$z$计算正确，并且她知道$(b, r)$。
3. Bob的结论 ：Bob得出$(d \oplus Q_n(a), (d \oplus Q_n(u)) \oplus Q_n(z))$。这意味着，如果$d = Q_n(a)$，Bob没有收到任何信息；否则，他收到$Q_n(z) = b$。

与修正后的BOER - OT协议类似，该协议要求Alice证明她的行为合规，并且她知道b。

3. 安全协议的漏洞修复

最近发布的一个不经意传输协议存在一个漏洞，通过应用一种新的、强大的安全性和容错性定义（称为弹性）发现了这个漏洞。弹性的概念是，如果对一个协议的攻击结果与对另一个协议的攻击结果相同，那么这两个协议的安全性相同。利用这个定义，能够快速识别漏洞并直接进行修复。

虽然修复有缺陷的步骤会引入大量的通信，但在实际和计算方面，它似乎比反复生成两个大素数的乘积成本更低。

4. 均匀与非均匀算法

在计算安全领域，大多数结果在非均匀和均匀计算模型中都可以建立。然而，非均匀结果通常比其均匀版本更容易获得。

4.1 符号与定义

用$\Sigma$表示集合${0, 1}$；$\Sigma^ $表示所有有限比特串的集合，$\Sigma^{\infty}$表示所有无限比特串的集合。对于字符串$x \in \Sigma^ $，$|x|$表示$x$的长度，$x_i$表示$x$的第$i$位，$x_{i}^j$表示$x$从第$i$位到第$j$位的子串。$x$和$y$的连接表示为$xy$。
分布族$(D_n)_{n \in \mathbb{N}}$是一个序列，其中$D_n$是$\Sigma^n$上的概率分布。当$x$根据分布$D$从集合$E$中随机选取时，记为$x \in_D E$。$U_n$表示$\Sigma^n$上的均匀分布，$U$表示$\Sigma^{\infty}$上的通常分布（独立且无偏的无限抛硬币序列）。
均匀算法通常是图灵机（或任何等效的计算模型），非均匀算法是配备了$\Sigma^*$中建议序列$(\alpha_n)_{n \in \mathbb{N}}$的图灵机（也可以看作是多项式大小的布尔电路序列）。在概率情况下，算法的运行时间受输入长度的多项式函数限制，与随机字符串$w$无关。

4.2 均匀可采样分布族

定义：分布族$(D_n)$是均匀可采样的，如果存在一个均匀算法$A(n, w)$，使得对于每个$n$，$D_n$是通过选取$w \in_U \Sigma^{\infty}$并应用$A(n, \cdot)$生成的分布。即对于每个$n$和每个事件$E$，有$Pr[y \in E] = Pr[A(n, w) \in E]$，其中$y \in_{D_n} E$且$w \in_U \Sigma^{\infty}$。

5. 安全方案

5.1 基本定义

安全方案 ：安全方案是一个谓词$P(\phi, n, c)$，其自由变量包括某个函数$\phi$、整数$n$和正常数$c$。
破坏安全方案 ：如果存在一个常数$c$，使得对于无限多个$n$值，$P(A, n, c)$为真，则称算法$A$破坏了安全方案$P$。
安全方案的抗性 ：安全方案$P$在非均匀（或均匀）安全模型中具有抗性，如果没有非均匀（或均匀）算法可以破坏$P$。
安全方案的可约性 ：给定两个安全方案$P$和$Q$，如果$Q$的抗性意味着$P$的抗性，则称$P$可约化为$Q$。

5.2 示例

示例编号	安全方案描述	含义
1	$P_1(A, n, c)$：$	Pr[A(x, w) = 1] - Pr[A(y, w) = 1]
2	$P_2(A, n, c)$：$A$在输入$n$时计算某个整数$i$，使得$1 \leq i \leq n - 1$，然后在$\Sigma^*$上操作，满足$Pr[A(x_i, w) = x_{i + 1}] - Pr[A(y_i, w) = y_{i + 1}] > \frac{1}{n^c}$，其中$x \in_{D_n} \Sigma^n$，$y \in_{D_n’} \Sigma^n$，$w \in_U \Sigma^{\infty}$	$P_2$是$(D_n)$和$(D_n’)$的下一位区分方案，$P_1$可约化为$P_2$意味着下一位测试是通用的
3	$P_3(A, n, c)$：$Pr[A(f_n(x), u) \in f_n^{-1}(f_n(x))] > \frac{1}{n^c}$，其中$x \in_{U_n} \Sigma^n$，$w \in_U \Sigma^{\infty}$	$P_3$是$(f_n)$的反演方案，$P_3$的抗性意味着$(f_n)$是单向函数
4	$P_4(A, n, c)$：$Pr[A(f_n(x), w) = b_n(x)] > \frac{1}{2}(1 + \frac{1}{n^c})$，其中$x \in_{U_n} \Sigma^n$，$w \in_U \Sigma^{\infty}$	$P_4$是从$(f_n)$预测比特族$(b_n)$的方案，$P_4$的抗性意味着$(b_n)$在$(f_n)$上是硬核的
5	$P_5(A, n, c)$：$Pr[A(r, f_n(x), w) = r \odot x] > \frac{1}{2}(1 + \frac{1}{n^c})$，其中$x, r \in_{U_n} \Sigma^n$，$w \in_U \Sigma^{\infty}$，$r \odot x$表示$r$和$x$的布尔内积	$P_5$是$(f_n)$的内积预测方案，Goldreich和Levin定理断言$P_5$可约化为$P_3$

下面是一个简单的mermaid流程图，展示了安全方案的基本关系：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(P):::process -->|可约化| B(Q):::process

6. 获得均匀结果

要实现下一位测试的均匀通用性，问题在于给定算法$A(x, w)$时，$Pr[A(x, w) = 1]$在多项式时间内不可计算。实际上，许多非均匀结果在能够计算此类概率的条件下，可以很容易地扩展到均匀情况，但通常直接计算这种概率的时间复杂度是指数级的。

6.1 虚拟算法与近似

虚拟算法 ：虚拟算法是一种确定性的均匀算法，允许将精确概率的评估视为基本操作。即虚拟算法$M$可以使用一个“黑盒”，该黑盒接收$M$的某个子例程$A: \Sigma^{\infty} \to \Sigma$作为输入，并输出$Pr[A(w) = 1]$。
近似：对于实数$r$，$r$的$\epsilon$ - 近似是指任何满足$|r - r’| \leq \epsilon$的实数$r’$。给定虚拟算法$M(x)$、整数$n$和正常数$c$，$M$的$(n, c)$ - 近似是一个虚拟算法，它的运行方式与$M$相同，但对于长度为$n$的每个输入$|x|$，黑盒给出的是$n^{-c}$ - 近似值。

6.2 可访问安全方案

安全方案$P$是可访问的，如果对于每个接收两个随机输入$w_1$和$w_2$的算法$A(x, w_1, w_2)$，以及任何满足$c_1 > c_2$的正常数$c_1$和$c_2$，对于足够大的$n$，有$Pr[P(A(\cdot, \cdot, w_2), n, c_2) \text{ 为假}] \leq 2^{-n} + Pr[P(A, n, c_1) \text{ 为真}]$。

可以看出，前面示例中的$P_2$、$P_3$、$P_4$、$P_5$方案是可访问的。更一般地，任何表示某个“合适”期望（取决于$A$，并在长度为$n$的输入$x$和$w \in \Sigma^{\infty}$上取值）大于$\frac{1}{n^c}$的安全方案都是可访问的，但$P_1$不是，因为它对应的期望是取绝对值的。

6.3 主要定理

定理1 ：设$P$和$Q$是两个安全方案，且$Q$是可访问的。假设对于每个正常数$c$，存在正常数$c_1$、$c_2$、$c_3$和一个虚拟算法$M(A)$（将$A$作为子例程接收），使得对于足够大的$n$，$M(A)$的每个$(n, c_2)$ - 近似$\tilde{M}(A)$满足以下两个条件：
1. $M(A)$在长度为$n$的输入上的运行时间受$n^{c_3}$限制。
2. $P(A, n, c) \Rightarrow Q(\tilde{M}(A), n, c_1)$。

那么$P$在均匀情况下可约化为$Q$。

为了证明这个定理，需要一些引理作为采样技术的工具：
- 引理1 ：对于每个正的常数$c$，存在一个多项式时间的概率算法$M(A, x, w’)$，当给定某个算法$A(w)$作为子例程，输入$x = 1^n$时，在$w’$上以至少$\frac{3}{4}$的概率计算$p = Pr[A(w) = 1]$的$n^{-c}$ - 近似$\hat{p}$。
- 证明：算法$M$的定义如下：
- 计算$N = \lceil 2n^{2c + 1} \rceil$。
- 独立随机选取$w_1, \cdots, w_N$（集合${w_1, \cdots, w_N}$构成$w’$）。
- 计算$\hat{p} = \frac{1}{N} \sum_{i = 1}^{N} \mathbb{I}(A(w_i) = 1)$，其中$\mathbb{I}$是指示函数。
- 设$X_i(w_1, \cdots, w_N) = A(w_i)$，则$X_i$是独立的伯努利随机变量，期望$E(X_i) = p$，方差$V(X_i) = p(1 - p) \leq \frac{1}{4}$。根据切比雪夫不等式，$Pr[|\hat{p} - p| \geq n^{-c}] \leq \frac{V(X_i) n^{2c}}{N} \leq \frac{1}{4}$。
- 引理2 ：设$(X_i) {1 \leq i \leq 2S + 1}$是独立的随机变量，$p$和$\epsilon$满足$Pr[|X_i - p| \geq \epsilon] \leq \frac{1}{8}$。设$Y$表示$X_i$的中位数，则$Pr[|Y - p| \geq \epsilon] \leq \sum {r = S + 1}^{2S + 1} \binom{2S + 1}{r} (\frac{1}{8})^r (1 - \frac{1}{8})^{2S + 1 - r}$。
- 证明：$Pr[|Y - p| \geq \epsilon] = Pr[|X_i - p| \geq \epsilon \text{ 对于至少 } S + 1 \text{ 个下标 } i]$，通过二项式展开可得结果。
- 推论1 ：对于每个正的常数$c$，存在一个概率多项式时间的算法$M(A, x, y, w’)$，在输入$x = 1^n$和$y = 1^S$时，在$w’$上以至少$1 - 2^{-S}$的概率计算$p = Pr[A(w) = 1]$的$n^{-c}$ - 近似。
- 证明：只需将引理1的算法独立随机采样$2S + 1$次，然后取中位数，并应用引理2。

定理1的证明 ：设$A$是$P$的均匀破坏者，则存在$c$，使得对于无限多个$n$值，$P(A, n, c)$为真。设$c_1$、$c_2$、$c_3$、$M(A)$满足定理的两个条件。

定义一个算法$B$，它将是$Q$的均匀破坏者：$B$在输入$z$时，计算$s = n + \lceil c_3 \log_2 n \rceil$，其中$n = |z|$。然后它模拟$M(A)$，直到$M(A)$的计算步骤数不超过$n^{c_3}$。每当计算步骤不足以完成模拟时，$B$停止（并失败）。此外，每次$M(A)$调用黑盒计算某个概率$p$时，$B$用自己计算$p$的$n^{-c_2}$ - 近似$p’$来代替，失败概率为$2^{-S}$（根据推论1），所有这些计算都使用独立的随机采样。

$M(A)$调用黑盒的总次数最多为$n^{c_3}$。而且，对于每次调用，有$Pr[|\hat{p} - p| > n^{-c_2}] \leq 2^{-S}$，所以以至少$1 - n^{c_3} 2^{-S} \geq 1 - 2^{-n}$的概率，$B$是$M(A)$的$(n, c_2)$ - 近似。当这种情况发生时，强制停止不会在执行结束前发生。

设$n$使得$P(A, n, c)$为真，并且足够大以满足定理1的条件。那么以至少$1 - 2^{-n}$的概率，$Q(B, n, c_1)$为真（根据条件2）。最后，$B$是一个使用两种随机输入（$A$的输入和随机采样，记为$w’$）的概率均匀算法，使得对于无限多个$n$值，在$w’$上以大于$1 - 2^{-n}$的概率，$Q(B(\cdot, w’), n, c_1)$为真（条件2）。因此，利用$Q$的可访问性，$B$是$Q$的均匀破坏者。

6.4 下一位测试的均匀通用性

定理2 ：给定两个均匀可采样的分布族，它们的区分方案在均匀情况下可约化为它们的下一位区分方案。

证明：已经知道下一位区分方案$P_2$是可访问的。将展示Schrift和Shamir关于非均匀通用性的证明实际上产生了满足主定理假设的常数$c_1$、$c_2$、$c_3$和虚拟算法$M(A)$。

虚拟算法$M$定义如下（算法分为两部分：首先$M$在${1, \cdots, n - 1}$中选择一个整数$i$，然后从$x_i$预测$x_{i + 1}$）：

for i = 1 to n
    计算 p_i = Pr[A(y x_{i}^{n}, w) = 1] 和 p_i' = Pr[A(z x_{i}^{n}, w) = 1]，
    其中 y ∈_{D_n} Σ^n，z ∈_{D_n'} Σ^n，w ∈_U Σ^∞。
    此计算可使用虚拟算法允许的“黑盒”操作，
    因为 (D_n) 和 (D_n') 都是均匀可采样的，
    可以在多项式时间内从整数 n 生成 D_n 和 D_n'，
    使用 Σ^∞ 上的通常分布。
    计算 q_i = p_i - p_i'
选择一个 i（例如，第一个），使得 q_{i + 1} - q_i > \frac{1}{3} n^{-(c + 1)}。
（如果不存在这样的 i，则算法失败）
（第一部分结束）
随机选择 x_i ∈_{U_{n - 1}} Σ^{n - 1} 和 w ∈_U Σ^∞
if q_{i + 1} - q_i > 0 then
    if A(x_i x_{i + 1}^{n}, w) = 1 then 输出 x_{i + 1} else 输出 1 - x_{i + 1}
else
    if A(x_i x_{i + 1}^{n}, w) = 1 then 输出 1 - x_{i + 1} else 输出 x_{i + 1}

下面验证定理1的假设是否满足。$c_3$的存在是显然的，因为$M(A)$的每个近似都与$M(A)$具有相同的运行时间。取$c_1$，$c_2 > c + 1$。对于足够大的$n$，有：
1. 设$\tilde{M}$是$M(A)$的$(n, c_2)$ - 近似，即$\tilde{M}$用$\tilde{p} i$代替$p_i$，使得$|\tilde{p}_i - p_i| \leq n^{-c_2}$（对于$p_i’$同理），因此用$\tilde{q}_i$代替$q_i$，使得$|\tilde{q}_i - q_i| \leq 2n^{-c_2}$，用$\tilde{q} {i + 1} - \tilde{q} i$代替$q {i + 1} - q_i$，使得$|(\tilde{q} {i + 1} - \tilde{q}_i) - (q {i + 1} - q_i)| \leq 4n^{-c_2}$。
2. 假设$P_1(A, n, c)$为真，即$|Pr[A(y, w) = 1] - Pr[A(z, w) = 1]| > n^{-c}$，其中$y \in_{D_n} \Sigma^n$，$z \in_{D_n’} \Sigma^n$，$w \in_U \Sigma^{\infty}$。根据鸽巢原理，存在一个$i$，使得$|q_{i + 1} - q_i| > n^{-(c + 1)}$。那么，$|\tilde{q} {i + 1} - \tilde{q}_i| \geq |q {i + 1} - q_i| - 4n^{-c_2} > n^{-(c + 1)} - 4n^{-c_2} > \frac{1}{3} n^{-(c + 1)}$，所以$\tilde{M}$不会失败并能找到这样的$i$。
3. 对于这个$i$，要证明$\tilde{M}$可以通过观察$\tilde{q} {i + 1} - \tilde{q}_i$的符号来确定$q {i + 1} - q_i$的符号。如果这两个量符号相反，那么$|(\tilde{q} {i + 1} - \tilde{q}_i) - (q {i + 1} - q_i)| > n^{-(c + 1)}$，但$|(\tilde{q} {i + 1} - \tilde{q}_i) - (q {i + 1} - q_i)| \leq 4n^{-c_2}$，这与$c_2$的选择矛盾。

综上所述，通过上述理论和证明，我们不仅修复了不经意传输协议中的漏洞，还建立了一种通用框架，使得经典的采样技术可以应用于获得均匀结果，从而将非均匀结果扩展到均匀情况，特别是证明了下一位测试在均匀模型中的通用性。

多项式时间安全中的统一结果与协议分析

7. 实际应用与意义

在实际的密码学应用中，这些理论结果具有重要的指导意义。

7.1 协议安全性保障

在设计和使用各种密码学协议时，如不经意传输协议，通过本文提出的方法来检测和修复漏洞，能够大大提高协议的安全性。例如，对于Rabin协议和den Boer协议的分析，让我们清楚地认识到协议在不同执行方式（并行或顺序）下的安全性差异，并且可以根据这些差异进行针对性的改进。

在OT协议中，要求Alice证明她的行为合规并且知道关键信息b，这有助于防止攻击者通过不正当手段获取信息，保障了协议的保密性和可靠性。

7.2 计算效率提升

通过避免反复生成大的Blum整数，新的OT协议在计算效率上有了显著提升。同时，对于协议漏洞的修复虽然引入了一定的通信开销，但相比于反复生成大素数乘积的成本，仍然是更具优势的选择。

7.3 统一结果的应用

将非均匀结果扩展到均匀情况的理论框架，使得在实际应用中可以更方便地使用均匀算法。因为在很多实际场景中，均匀算法更易于实现和部署。例如，在需要对大量数据进行处理的系统中，均匀可采样的分布族可以更高效地进行数据生成和处理，而通过下一位测试的均匀通用性，可以更好地判断数据的随机性和安全性。

8. 未来研究方向

虽然本文已经取得了一些重要的成果，但仍然存在一些值得进一步研究的方向。

8.1 更复杂协议的分析

目前的研究主要集中在一些特定的协议，如OT协议。未来可以将研究范围扩展到更复杂的密码学协议，如多方计算协议、同态加密协议等，分析这些协议在不同计算模型下的安全性和效率。

8.2 采样技术的优化

虽然采样技术已经被证明是一种有效的方法，但在实际应用中，采样的效率和准确性仍然可以进一步提高。可以研究如何减少采样次数，同时保证近似结果的精度，以降低计算成本。

8.3 新的安全方案设计

随着密码学的发展，可能会出现新的安全需求和攻击手段。因此，需要设计新的安全方案来应对这些挑战。可以结合本文提出的安全方案可约性等概念，设计出更强大、更灵活的安全方案。

9. 总结

本文围绕多项式时间安全中的统一结果和协议分析展开了深入研究。首先，在形式化“知识证明”概念时强调了谨慎性，并指出了Rabin协议在并行执行时的漏洞。接着介绍了一种新的OT协议，该协议不需要反复生成大的Blum整数，并且对协议的步骤和安全性要求进行了详细说明。

在安全方案方面，定义了安全方案的基本概念，包括抗性、可约性等，并通过多个示例进行了阐述。同时，引入了虚拟算法和近似的概念，证明了在一定条件下可以将非均匀结果扩展到均匀情况，特别是证明了下一位测试的均匀通用性。

最后，讨论了这些理论结果在实际应用中的意义和未来的研究方向。通过本文的研究，为密码学协议的设计、分析和优化提供了重要的理论基础和方法。

以下是一个mermaid流程图，展示整个研究的主要流程：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(协议漏洞分析):::process --> B(新协议设计):::process
    B --> C(安全方案定义):::process
    C --> D(非均匀结果扩展):::process
    D --> E(实际应用与未来研究):::process

研究阶段	主要内容
协议漏洞分析	发现Rabin协议并行执行漏洞，强调知识证明概念的谨慎性
新协议设计	提出不需要反复生成大Blum整数的OT协议，明确协议步骤和安全性要求
安全方案定义	定义安全方案的抗性、可约性等概念，通过多个示例说明
非均匀结果扩展	引入虚拟算法和近似概念，证明下一位测试的均匀通用性
实际应用与未来研究	讨论理论结果的实际应用意义，指出未来研究方向

通过以上的研究和分析，我们对多项式时间安全中的统一结果和协议有了更深入的理解，为密码学的发展提供了有价值的参考。