62、密码学中的协议设计与安全分析

密码学中的协议设计与安全分析

1. 马尔可夫链模拟与无可信第三方实现

1.1 马尔可夫链观察与推断

Bob 虽不知执行的是哪条马尔可夫链，但知道是两条之一（取决于秘密 S）。他观察执行的马尔可夫链的状态序列，结合概率论知识，在第 i 阶段推断 S 是马尔可夫链当前状态的概率为 $p_i$。

1.2 无可信第三方的实现

目标是让 Alice 和 Bob 密码学模拟 Ted 在之前协议中的角色，模拟与 Alice 秘密 S 对应的马尔可夫链执行，需满足三个条件：
1. 保护秘密一致性：向 Bob 证明马尔可夫链对应 S。
2. 保护秘密安全性：Bob 除从观察执行中推断的信息外，对马尔可夫链一无所知。
3. 保护执行的无感知性：Alice 对 Bob 看到的马尔可夫链具体执行一无所知。

1.2.1 基于“k 选 1”不经意传输协议

该协议依赖“k 选 1”不经意传输协议，其构建步骤如下：
1. Alice 生成两个不同的随机 n 位素数 p 和 q，再生成 $d \in Z_{pq}^ $ 且 d 为二次非剩余。
2. Alice 独立生成随机 $x_1, …, x_k \in Z_{pq}^ $，使得 $x_i$ 是二次剩余当且仅当 $b_i = 1$（$i \in {1, …, k}$），并将 $p + q, d, x_1, …, x_k$ 发送给 Bob。
3. Bob 若想了解 $b_{i_0}$，生成随机 $y \in Z_{pq}^*$ 和随机 $t \in {0, 1}$，发送 $u = y^2 + t \cdot x