एक लॉटरी जिसे आप आश्वस्त कर सकते हैं कि यह उचित है

27

(क्षमा करें यदि यह अच्छी तरह से ज्ञात है।) मैं कुछ आइटम एक एजेंट को देना चाहूंगा , ताकि एजेंट को प्रायिकता आइटम मिल जाए । क्या कोई क्रिप्टोग्राफिक (या अन्य) उपकरण है ताकि हर एजेंट (और यहां तक कि हर पर्यवेक्षक) यह आश्वस्त हो सके कि यादृच्छिक ड्राइंग वास्तव में उचित था? $k$ $j$ $p_i$

cr.crypto-security

— गिल कलाई
स्रोत

1

क्या एजेंटों को

..

जानने की अनुमति है ?

p_{0}

$p_0$

p_{k}

$p_k$

— माइक सैमुअल

आप यह देखा है? ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=4232861

— dspyz

19

अगर मैं समस्या को सही ढंग से समझ रहा हूं, तो सार्वजनिक रूप से एक सिक्का सिक्का लहराने की मात्रा प्रतीत होगी । ऐसा करने के लिए बहुत सारे तरीके प्रतीत होते हैं यदि आप थोड़ी प्रतिबद्धता मानते हैं। एक उदाहरण यह होगा कि प्रत्येक पार्टी 0 और बीच एक यादृच्छिक पूर्णांक उत्पन्न करेगी , सार्वजनिक रूप से उस बिट स्ट्रिंग के लिए प्रतिबद्धता के लिए बिट प्रतिबद्धता का उपयोग करते हुए। फिर एक बार प्रत्येक एजेंट के प्रतिबद्ध होने के बाद, वे सभी सार्वजनिक रूप से अपने गुप्त पूर्णांक को प्रकट करते हैं। विजेता एजेंट तो पूर्णांक modulo के योग द्वारा अनुक्रमित होता है । यदि एक भी एजेंट ईमानदार है, तो फ्लिप को यादृच्छिक होना चाहिए। $k$ $k-1$ $k$

बेशक इसके साथ एक समस्या यह है कि इसके लिए थोड़ी प्रतिबद्धता की आवश्यकता होती है। बिट प्रतिबद्धता के लिए सूचना सिद्धांत संबंधी योजनाएं शास्त्रीय और क्वांटम कंप्यूटिंग दोनों के लिए असंभव हैं (हालांकि एड्रियन केंट ने हाल ही में सापेक्षता का दोहन करने वाली एक योजना प्रस्तावित की है)। हालांकि, कम्प्यूटेशनल मान्यताओं के साथ सुरक्षित बिट प्रतिबद्धता प्राप्त की जा सकती है।

— जो फिट्जिमोंस
स्रोत

2

इस दृष्टिकोण के साथ मेरी समस्या यह है कि यदि आप बाहर के पर्यवेक्षकों को निष्पक्षता से विश्वास दिलाना चाहते हैं, तो उनमें से प्रत्येक को थोड़ा प्रतिबद्ध होना चाहिए और आपको यह सुनिश्चित करना चाहिए कि उनमें से प्रत्येक अपनी प्रतिबद्धता का प्रमाण प्रकट करेगा। आप केवल एक पर्यवेक्षक की थोड़ी सी अनदेखी नहीं कर सकते हैं जो उनके प्रमाण को प्रकट नहीं करता है क्योंकि फिर प्रकट करने वाला अंतिम पर्यवेक्षक अपने प्रमाण को प्रकट करने या न करने का निर्णय करके लॉटरी परिणाम में हेरफेर कर सकता है।

— झब्बन अम्ब्रस

1

@ user8067: मेरा मानना है कि यह बातचीत के बिना संभव है या विश्वास है कि कम से कम एक पार्टी ईमानदार है। मेरे कहने का कारण यह है कि यदि प्रारंभिक यादृच्छिकता वास्तव में उस बिंदु पर भाग लेने वाले सभी की साजिश के माध्यम से पूर्व निर्धारित है, तो पूरी प्रक्रिया निर्धारक है और यादृच्छिक नहीं है। हालाँकि समस्या के लिए प्रक्रिया का यादृच्छिक होना आवश्यक है, इसलिए यह सबसे अच्छा लगता है जो आप कर सकते हैं।

— जो फिट्ज़सिमों

2

मैं आश्वस्त नहीं हूं कि यह संभव है।

— जो फिट्जसिमों ने

2

@ रिकीडेमर: यहां यह बताने के लिए पर्याप्त जानकारी नहीं है कि प्रतिकूल मॉडल क्या है। अगर गिल ने हमें बताया कि वास्तव में इसके लिए क्या है, तो यह साबित करना आसान होगा कि एक विशिष्ट योजना उसकी आवश्यकताओं को पूरा करती है या नहीं। लेकिन उस ने कहा, मुझे कोई संदेह नहीं है कि गिल की जाँच करने में सक्षम से अधिक है कि हमारे उत्तर उसकी जरूरतों को पूरा करते हैं या नहीं।

— जो फिट्जसिमों

2

@ रिकीडेमर: यह मेरे लिए बिल्कुल स्पष्ट नहीं है कि इस मामले के लिए स्पष्ट मॉडल क्या है। यह दृढ़ता से सेटअप पर निर्भर करता है, और यह स्पष्ट नहीं है कि डिफ़ॉल्ट मान्यताओं को क्या होना चाहिए। यह थोड़ा कम है और मेरे उत्तर और लेव दोनों गलत हैं। वे स्पष्ट रूप से एडम के जवाब में बताए गए चेतावनी को शामिल नहीं करते हैं। ध्यान दें कि मैं अपना उत्तर संपादित नहीं कर रहा हूं, क्योंकि गिल से अधिक जानकारी के बिना, मैं इसे प्रतिकूल मॉडल के बारे में अनुमान लगाने के लिए समझ में नहीं आता, और इसलिए मैं इसे सामान्य रूप से छोड़ रहा हूं (निर्दिष्ट नहीं कर रहा हूं या नहीं) थोड़ी प्रतिबद्धता गैर-निंदनीय होनी चाहिए)।

— जो फिजसिमन्स

15

जैसा कि अन्य उपयोगकर्ताओं ने संकेत दिया है, यह क्रिप्टोग्राफी में एक अच्छी तरह से अध्ययन की गई समस्या है। इसे "कॉइन-फ्लिपिंग" कहा जाता है और यह मल्टीपार्टी कम्प्यूटेशन का एक विशेष मामला है।

क्या प्रोटोकॉल वास्तव में काम करता है संदर्भ पर काफी निर्भर करता है।

"स्टैंडअलोन" सेटिंग में, एक ही समय में अन्य प्रोटोकॉल (या वास्तव में, बाहरी दुनिया के साथ किसी भी बातचीत) में शामिल होने वाले खिलाड़ियों के बिना, प्रोटोकॉल अलगाव में चलाया जाएगा। Oded Goldreich की पाठ्यपुस्तक "क्रिप्टोग्राफ़ी की नींव" (खंड 2, मुझे लगता है) में इस बारे में एक आश्चर्यजनक गहन उपचार है।

बस यह अनुमान लगाने के लिए कि यह कितना सूक्ष्म है, "हर कोई यादृच्छिक मूल्यों के लिए प्रतिबद्ध है" एक अन्य उत्तरदाता द्वारा सुझाए गए प्रोटोकॉल असुरक्षित है यदि आपके द्वारा उपयोग की जाने वाली प्रतिबद्धता योजना निंदनीय है। अनमोल प्रतिबद्धता योजनाएं आपको एक सुरक्षित प्रोटोकॉल प्रदान करती हैं, लेकिन वे डिजाइन करने के लिए थोड़ा जटिल हैं।

सेटिंग्स में जहां प्रतिभागी अन्य समवर्ती प्रोटोकॉल में शामिल होते हैं, आप एक ऐसा प्रोटोकॉल चाहते हैं जो कंपोज़ेबल हो । कंपोज़िबिलिटी की विभिन्न धारणाएँ हैं, लेकिन सबसे मजबूत एक, जिसे सार्वभौमिक कंपोज़िबिलिटी कहा जाता है , को कुछ अतिरिक्त सेट-अप मान्यताओं की आवश्यकता होती है (उदाहरण के लिए, एक पीकेआई या सभी पार्टियों के लिए एक सामान्य यादृच्छिक स्ट्रिंग, लेकिन उनमें से कोई भी द्वारा चलाया जा सकता है)। मैं दुर्भाग्य से इस विषय का एक सुलभ उपचार नहीं जानता। लेकिन सार्वभौमिक समग्रता या अप्राप्य प्रतिबद्धता पर हाल के एक पेपर को देखना एक अच्छी जगह होगी।

— एडम स्मिथ
स्रोत

1

"सभी पक्षों को दिखाई देने वाला एक सामान्य यादृच्छिक स्ट्रिंग, लेकिन उनमें से कोई भी नियंत्रणीय नहीं है" ठीक वैसा ही जैसा हम उत्पन्न करना चाहते हैं।

— Zsbán Ambrus

1

और किसी तरह एक बार उस समस्या को हल करने के बाद, कोई भी सार्वभौमिक रूप से कर सकता है

$\hspace{1 in}$ इसे फिर से हल करें (मनमाने तरीके से कई बार)।

$\:$

मुझे लगता है कि UC प्रतिबद्धता रजिस्टर्ड पब्लिक की सेटअप के लिए जानी जाती है (जो PKI की तुलना में अधिक मजबूत है) और मल्टी-स्ट्रिंग सेटअप (जो सामान्य यादृच्छिक स्ट्रिंग की तुलना में कमजोर धारणा है)।

2

साइट पर आपका स्वागत है, एडम!

— गिल कलाई

11

नोट: कृपया नीचे टिप्पणी पढ़ें। इस प्रोटोकॉल में समस्याएं हैं।

$p_j$

$\{0,1\}^b$ $b$

किसी भी एजेंट को यह सुनिश्चित किया जा सकता है कि चुने हुए यादृच्छिक संख्या समान रूप से यादृच्छिक पर अपने स्वयं के वेक्टर को चुनकर यादृच्छिक रूप से आए। किसी भी पर्यवेक्षक को आश्वस्त करने के लिए, उन्हें भरोसा करना होगा कि कम से कम एक एजेंट ने प्रोटोकॉल का पालन किया, लेकिन अगर कोई भी नहीं करता है, तो मुझे लगता है कि कोई भी वास्तव में निष्पक्ष लॉटरी नहीं चाहता था।

— लेव रेइज़िन
स्रोत

सॉरी लेव, मैंने अभी आपके जवाब पर गौर किया है। जब मैंने उत्तर लिखना शुरू किया तो यहाँ कुछ भी नहीं था, लेकिन हम दोनों बहुत समान उत्तरों के साथ आए हैं।

— जो फिजसिमन्स

कोई चिंता नहीं! लगता है कि हम सही रास्ते पर हैं, फिर।

— लेव Reyzin

हां, वास्तव में मुझे लगता है कि सिक्के के फड़फड़ाने के संदर्भ में इस पर बहुत सारे कागज हैं, लेकिन मैं वास्तव में उस साहित्य को अच्छी तरह से नहीं जानता कि इसके आधार पर उचित उत्तर दे सकूं।

— जो फिट्ज़सिमों

7

सबसे पहला संदर्भ मुझे पता है: एम। ब्लम। टेलीफोन द्वारा सिक्का फ़्लिप करना। CRYPTO 1981: 11-15। Dm.ing.unibs.it/giuzzi/corsi/Support/papers-cryptography/…

— रयान विलियम्स

4

यदि आप मानक बिट प्रतिबद्धता योजनाओं (जैसे, हैशिंग) का उपयोग करते हैं, तो एक मानक हमला होता है। आइए दो पक्षों, एलिस और बॉब के मामले पर विचार करें, जहां एलिस पहले स्थान पर है। एलिस द्वारा अपनी प्रतिबद्धता प्रसारित करने के बाद, बॉब इसे कॉपी कर सकता है। एलिस द्वारा अपनी प्रतिबद्धता को खोलने के बाद, बॉब अब उसी को खोल सकता है। अब उनके यादृच्छिक वैक्टर समान हैं, इसलिए वे शून्य से शून्य पर हैं - बॉब अंतिम मूल्य को शून्य के लिए मजबूर करने में सक्षम था, निष्पक्षता के लिए आवश्यकता का एक विरोधाभास।

— DW

-3

निष्क्रिय पर्यवेक्षक यह सत्यापित नहीं कर सकते कि ड्राइंग का मंचन नहीं किया गया था। वांछित परिणाम देने के लिए छद्म आयामी प्रक्रिया में इनपुट को चुना जा सकता है।

हालाँकि, यदि पर्यवेक्षक एक यादृच्छिक संख्या की आपूर्ति कर सकता है जिसे वह जानता है कि यादृच्छिक है और सुनिश्चित करें कि अन्य एजेंट अपने इनपुट को बाद में नहीं बदलेंगे (क्योंकि वे अपने इनपुट के साथ उसके प्रभाव की भरपाई कर सकते हैं), तो वह सुनिश्चित कर सकता है कि परिणाम वास्तव में यादृच्छिक था ।

इसके लिए प्रतिबद्धता योजना की आवश्यकता होती है, जिसे हम किसी भी तरह से नहीं जानते हैं जो गणितीय रूप से सुरक्षित साबित होता है, लेकिन व्यवहार में सुरक्षित हैश (जैसे SHA3) का उपयोग करके महसूस किया जा सकता है।

इस उदाहरण पर विचार करें:

यहाँ छवि विवरण दर्ज करें

मैंने एक उदाहरण कार्यान्वयन किया है। आप इसे यहां लाइव देख सकते हैं: https://mrogalski.eu/cl/ या GitHub पर स्रोतों की जांच करें ।

— मारेक रोगल्सकी
स्रोत

1

जो के उत्तर में यह पहले ही उल्लेख किया गया है।

— केव

1

ग्राफिक चित्रण बहुत अच्छा है!

— गिल कालई

3

ग्राफिक्स बहुत सुंदर हैं, लेकिन आपके उत्तर में ऐसा कुछ भी नहीं है जो मौजूदा उत्तरों में नहीं है।

— डेविड रिचरबी