Adil olduğuna ikna olabileceğiniz bir piyango

27

(Bu çok iyi biliniyorsa üzgünüm.) Bir maddeyi aracılarından birine vermek istiyorum , böylece aracı öğeyi olasılığına sahip olacak . Her ajanın (ve hatta her gözlemcinin) rastgele çizimin gerçekten adil olduğuna ikna olabileceği bir şifreleme (veya başka) aracı var mı? $k$ $j$ $p_i$

cr.crypto-security

— Gil Kalai
kaynak

1

Ajanların

..

bilmesine izin verildi mi?

p_{0}

$p_0$

p_{k}

$p_k$

— Mike Samuel,

Bunu gördün mü? ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=4232861

— dspyz

19

Sorunu doğru anlıyorsam, halkın bir yazı madeni parası çevirmesi ile sonuçlanacak gibi görünüyor . Biraz kararlılık varsa, bunu yapmanın birçok yolu var gibi görünüyor. Bir örnek, her partiye, 0 ile arasında rastgele bir tamsayı ürettirerek, genel olarak bu bit dizesine bağlılık için bit taahhüdünü kullanmak olabilir. Sonra her ajan bir kez taahhütte bulunduğunda, herkes gizli tamsayılarını herkese açık bir şekilde ortaya koyuyor. Kazanan ajan daha sonra, modulo tamsayılarının toplamı tarafından indekslenen ajandır . Bir ajan bile dürüstse, kapak rasgele olmalıdır. $k$ $k-1$ $k$

Tabii ki bununla ilgili bir sorun biraz bağlılık gerektirmesidir. Bit taahhüdü için bilgi teorik şemaları hem klasik hem de kuantum hesaplamaları için imkansızdır (Adrian Kent yakın zamanda göreliliği destekleyen bir program önermiş olsa da). Bununla birlikte, hesaplamalı varsayımlarla güvenli bit taahhüdü sağlanabilir.

— Joe Fitzsimons
kaynak

2

Bu yaklaşımla ilgili sorunum, çok sayıda dış gözlemciyi adaletten ikna etmek istiyorsanız, her birinin bir miktar kararlılık göstermesi ve her birinin, kendi taahhütlerinin ispatını göstereceğinden emin olmanız gerektiğidir. Kanıtlarını ifşa etmeyen bir gözlemcinin bitini görmezden gelemezsiniz çünkü ortaya çıkacak son gözlemci, kanıtını açıklayıp açıklamamasına karar vererek piyango sonucunu manipüle edebilir.

— Zsbán Ambrus

1

@ user8067: Etkileşim olmadan veya en az bir tarafın dürüst olduğuna güvenmeden bunun mümkün olduğuna inanmıyorum. Bunu söylememin nedeni, eğer başlangıçtaki rastlantısallık aslında o noktada katılan herkesin bir komplouyla önceden belirlenmişse, o zaman tüm sürecin deterministik ve rastgele değil olmasıdır. Ancak sorun, sürecin rastgele olmasını gerektirir, bu yüzden yapabileceğiniz en iyi şey bu gibi görünüyor.

— Joe Fitzsimons

2

Bunun mümkün olduğuna ikna olmadım.

— Joe Fitzsimons

2

@ RickyDemer: Soruda, hangi olumsuz modelin burada geçerli olduğunu söylemek için yeterli bilgi yok. Gil bize tam olarak ne için olduğunu söylerse, belirli bir programın gereklerini yerine getirip getirmediğini kanıtlamak daha kolay olacaktır. Ancak bu, Gil'in cevaplarımızın ihtiyaçlarının karşılanıp karşılanmadığını kontrol etmekten daha fazlası olduğundan şüphem yok.

— Joe Fitzsimons

2

@ RickyDemer: Bu durum için bariz modelin ne olduğu bana hiç açık değil. Kuruluma şiddetle bağlıdır ve varsayılan varsayımların ne olması gerektiği açık değildir. Hem cevabım hem de Lev’in hatalı olduğu gibi oy kullanmaya başlamak ve aşağı hareket etmek biraz. Açıkça, Adam'ın cevabında belirtilen uyarıyı içermiyorlar. Cevabımı düzenlememediğimi unutmayın, çünkü Gil'den daha fazla bilgi olmadan, rakip model hakkında bir tahmin yapmanın mantıklı gelmediğini görüyorum ve bu yüzden bunu olabildiğince genel olarak bırakıyorum. bit taahhüdünün finansal olmayan olması gerekir).

— Joe Fitzsimons

15

Diğer kullanıcıların da belirttiği gibi, bu kriptografide iyi çalışılmış bir sorundur. Buna "jeton çevirme" denir ve çok partili hesaplamanın özel bir halidir.

İş hangi protokolü uygular aslında içeriğe oldukça bağlıdır.

"Bağımsız" ayarda, protokol aynı anda başka protokollere (ya da aslında dış dünyayla herhangi bir etkileşime dahil olmak üzere) dahil olan oyuncular olmadan izole edilecektir. Oded Goldreich'in "Kriptografinin Temelleri" adlı ders kitabında bunun çok iyi bir şekilde ele alındığı bir şey var (Cilt 2, sanırım).

Sadece ne kadar ince olduğu hakkında bir fikir vermek için, kullandığınız bağlılık şeması uygulanabiliyorsa , başka bir yanıtlayıcı tarafından önerilen "herkes rastgele değerlere bağlı kalıyor" protokolü güvensizdir . Manevi olmayan taahhüt programları size güvenli bir protokol sağlar, ancak tasarım için biraz karmaşıktır.

Katılımcıların diğer eşzamanlı protokollere dahil olduğu ortamlarda, birleştirilebilir bir protokol istersiniz . Çeşitli beste edilebilirlik kavramları vardır, ancak en yaygın olanı, evrensel beste edilebilirlik adı verilen , bazı ek kurulum varsayımları gerektirir (örneğin, bir PKI veya tüm taraflarca görülebilen ancak hiçbiri tarafından kontrol edilemeyen ortak bir rastgele dize). Maalesef bu konunun erişilebilir bir tedavisini bilmiyorum. Ancak, evrensel birleştirilebilirlik ya da kabul edilemez bir taahhüt konusundaki son bir makaleye bakmak, başlamak için iyi bir yer olacaktır.

— Adam Smith
kaynak

1

“Tüm taraflarca görülebilen ancak hiçbiri tarafından kontrol edilemeyen ortak bir rastgele dize” tam olarak üretmek istediğimiz şey.

— Zsbán Ambrus

1

ve bir şekilde bu problemi bir kez çözdükten sonra, herkes evrensel olarak zorlanabilir

$\hspace{1 in}$ tekrar çöz (keyfi olarak birçok kez).

$\:$

UC taahhüdünün Kayıtlı Açık Anahtar kurulumu (PKI'dan daha güçlü bir varsayımdır) ve çok dizili kurulum (ortak rastgele dizgiden daha zayıf bir varsayımdır) için bilindiğini düşünüyorum.

2

Siteye hoş geldin, Adam!

— Gil Kalai,

11

Not: Lütfen aşağıdaki yorumları okuyun. Bu protokolün problemleri var gibi görünüyor.

$p_j$

$\{0,1\}^b$ $b$

Herhangi bir ajan, seçilen rastgele sayının rastgele eşit olarak kendi vektörünü seçerek rastgele geldiğinden emin olabilir. Herhangi bir gözlemcinin ikna olması için, en az bir ajanın protokolü takip ettiğine güvenmeleri gerekir, ancak hiçbiri olmadıysa, kimse gerçekten adil bir piyango ile başlamak istemediğini sanır.

— Lev Reyzin
kaynak

Üzgünüm Lev, cevabınızı yeni farkettim. Cevap yazmaya başladığımda burada hiçbir şey yoktu, ama ikimiz de çok benzer cevaplar bulduk.

— Joe Fitzsimons

Telaşa gerek yok! Öyleyse doğru yoldayız.

— Lev Reyzin

Evet, aslında yazı tura atma bağlamında bu konuda çok fazla kağıt olduğunu düşünüyorum, ancak bu literatürü temel alarak doğru bir cevap verecek kadar iyi tanımıyorum.

— Joe Fitzsimons

7

Bildiğim ilk referans şudur: M. Blum. Telefonla Para Sayma. CRYPTO 1981: 11-15. Dm.ing.unibs.it/giuzzi/corsi/Support/papers-cryptography/…

— Ryan Williams

4

Standart bit taahhüdü düzenleri kullanıyorsanız standart bir saldırı vardır (örneğin, karma). Davayı iki tarafla ele alalım, Alice ve Bob, Alice ilk önce gider. Alice taahhüdünü yayınladıktan sonra, Bob kopyalayabilir. Alice taahhüdünü açtıktan sonra, Bob şimdi aynısını açabilir. Şimdi rastgele vektörleri eşittir, bu yüzden sıfıra giderler - Bob, son değeri sıfıra zorlayabilirdi, bu da adalet şartının bir çelişkidir.

— DW

-3

Pasif gözlemciler, çizimin aşamalı olmadığını doğrulayamıyor. İstenilen sonucu vermek için sözderandom sürecine girdiler seçilebilir.

Bununla birlikte, gözlemci rastgele olduğunu bildiği rasgele bir sayı sağlayabilirse ve diğer ajanların girdilerini sonradan değiştirmeyeceğinden emin olun (çünkü etkisini etkisini girdileriyle telafi edebildiklerinden), sonucun gerçekten rastgele olduğundan emin olabilir. .

Bu , matematiksel olarak güvenli olduğu kanıtlanmış olan hiçbir şeyi bilmediğimiz, ancak pratikte güvenli karma (örneğin SHA3 gibi) kullanılarak gerçekleştirilebilecek bir taahhüt planı gerektirir .

Bu örneği düşünün:

görüntü tanımını buraya girin

Örnek bir uygulama yaptım. Burada canlı görebilirsiniz: https://mrogalski.eu/cl/ veya GitHub'daki kaynakları kontrol edin .

— Marek Rogalski
kaynak

1

Bu zaten Joe'nun cevabında not edildi.

— Kaveh

1

Grafik illüstrasyon çok güzel!

— Gil Kalai

3

Grafikler çok güzel ama cevabınız mevcut cevaplarda olmayan hiçbir şey içermiyor.

— David Richerby