L'impegno di bit produce un trasferimento ignaro nel modello di sicurezza teorico dell'informazione?

Supponiamo di avere due partecipanti arbitrariamente potenti che non si fidano l'uno dell'altro. Hanno accesso al bitimpegno (ad es. Buste sigillate contenenti dati che un giocatore può consegnare all'altro ma che non possono essere aperti fino a quando il primo giocatore non fornisce una chiave al secondo). Puoi usarlo per costruire un protocollo di trasferimento ignaro. È vero anche se i giocatori decidono di aprire tutte le buste alla fine per rilevare gli imbrogli (ad esempio, dopo aver giocato la mano di poker, tutti accettano di rivelare le proprie carte)?

Presumo che non si possa ottenere un trasferimento ignaro per un po 'di impegno, perché il trasferimento ignaro è crittograficamente universale, e non riesco a trovare riferimenti che affermino che sia un piccolo impegno, ma c'è una prova da qualche parte che non puoi farlo?

Infine, qualcuno ha esaminato il problema se i giocatori sono quantici?

reference-request cr.crypto-security

— Peter Shor
fonte

In un commento su una domanda su mathoverflow, si afferma che Quantum Oblivious Transfer è equivalente a Quantum Bit Commitment (con riferimenti): mathoverflow.net/questions/32801/… .

— M. Alaggan,

Questi due articoli mostrano che l'impegno incondizionatamente sicuro per i bit quantistici è impossibile. Se potessi fare un trasferimento quantico nell'oblio, ciò implicherebbe che potresti fare un impegno con il bit quantico, quindi mostrano anche che un trasferimento obliquo quantistico incondizionatamente sicuro è anche impossibile. Quello che mi chiedo è se ti viene dato (come una scatola nera) un po 'di impegno che funziona per i protocolli quantistici, potresti anche fare un trasferimento ignaro per i protocolli quantistici.

— Peter Shor,

Forse è necessario un po 'più di sfondo. Penso di avere uno schema piuttosto semplice che, dato un po 'di impegno, lo usa per ottenere il trasferimento ignaro in un protocollo quantistico. Volevo (1) sapere quali fossero le prove classiche secondo cui il trasferimento ignaro è strettamente più potente, assicurarmi che non si applichino al caso quantico e (2) sapere se qualcuno lo ha osservato prima. La letteratura per il trasferimento quantico ignaro e il po 'di impegno è difficile da cercare perché diverse prove di sicurezza sono andate in pezzi quando Mayers, Lo e Chau hanno dimostrato il loro teorema del non andare.

— Peter Shor,

Cercando un po 'di più nella letteratura, c'è un po' di impegno ==> ignora prova del trasferimento nel regime quantistico in un articolo del 1991 di Bennett, Brassard, Crépeau e Skubiszewska ( springerlink.com/content/k6nye3kay7cm7yyx ), quindi questo è noto.

— Peter Shor,

@M. Alaggan: Fammi scusare per aver respinto il tuo commento sopra così bruscamente. L'autore del commento di MathOverflow a cui ti riferivi probabilmente sapeva che erano equivalenti, e in effetti quel commento mi ha messo sulla traccia bibliografica che ha portato alla prova di riferimento che ho trovato nel mio commento sopra. Grazie mille.

— Peter Shor,

Risposte:

No, l'impegno ha una complessità strettamente inferiore rispetto a OT. Penso che un modo semplice per vedere questo sia l'approccio adottato nella complessità dei problemi di calcolo multipartitico: il caso della valutazione simmetrica della funzione sicura a 2 parti di Maji, Prabhakaran, Rosulek nel TCC 2009 (dichiarazione di non responsabilità: autopromozione!). In quel documento abbiamo un risultato che caratterizza ciò che puoi fare dando accesso all'impegno ideale nel modello UC con sicurezza statistica.

Supponiamo che esistesse un protocollo statisticamente sicuro (contro avversari maliziosi) per OT utilizzando l'accesso all'impegno ideale per i bit black-box. Quindi deve essere sicuro anche contro avversari onesti ma curiosi (non banali come sembra, ma non molto difficili da mostrare). Ma potresti comporre con il banale protocollo onesto ma curioso per l'impegno e avere un protocollo OT onesto ma curioso che è statisticamente sicuro senza configurazioni. Ma questo è noto per essere impossibile. $\pi$ $\pi$ $\pi$

Un altro modo di vederlo è attraverso Impagliazzo-Rudich . Se hai parti non vincolate dal punto di vista computazionale e un oracolo casuale, puoi impegnarti (dato che tutto ciò di cui hai bisogno sono funzioni a senso unico) ma non puoi fare cose come l'accordo chiave, e quindi non OT.

— mikero
fonte

@Mikero: è una prova davvero bella e semplice.

— Peter Shor,

Per OT di bit classici (vale a dire, il mondo ideale classico) l'argomento passerà attraverso protocolli / avversari quantistici. Se l'OT manipola i Qbit, potrebbero esserci delle complicazioni. Il passaggio "non banale come sembra ma non difficile" implica il dire che il simulatore WLOG utilizza sempre l'input fornito dall'ambiente. Questa è una proprietà di OT che deve essere mostrata (se il simulatore non ha inviato ciò che è stato dato, le uscite sarebbero errate con notevole probabilità, quindi la simulazione non è corretta) e dovrebbero essere nuovamente discusse se l'ambiente può dare / ricevi qbit da OT.

— mikero,

@Mikero: non capisco il tuo commento precedente. Cosa significa per OT non manipolare i qubit? Vuoi dire che le due parti comunicano solo con bit classici, ma possono avere processori quantistici? Ciò deriverebbe dal fatto che non esiste alcun protocollo sicuro teorico dell'informazione per OT, anche con un po 'di impegno.

— Peter Shor,

Sto valutando se un "protocollo quantistico OT" significhi OT classico (la funzionalità OT conosce solo i bit) con un possibile protocollo quantico o un OT in cui l'ambiente conosce i qubit e l'OT invia / riceve qubit. Nel primo caso, penso che lo stesso argomento non sia stato modificato. Presumibilmente intendi quest'ultimo caso. Quindi, se esiste davvero un controesempio nel mondo quantistico, ciò significherebbe che OT di qubit non ha la proprietà che WLOG la simulazione associa avversari del mondo reale onesti ma curiosi a avversari ideali onesti ma curiosi. Interessante!

— mikero,

Se capisco correttamente la tua domanda, sia la Bennett et al. carta e la mia prova sono per OT classico, con messaggi quantistici tra i partecipanti per implementare l'OT.

— Peter Shor,

Nel caso quantistico, il primo protocollo per costruire un trasferimento ignaro (classico) basato sull'impegno bit (classico) usando un protocollo quantistico è stato proposto nel 1991 da Bennett, Brassard, Crépeau e Skubiszewska (http://www.springerlink.com/content / k6nye3kay7cm7yyx /), ma una prova completa della sicurezza è stata data solo di recente da Damgaard, Fehr, Lunemann, Salvail e Schaffner in http://arxiv.org/abs/0902.3918

Per un'estensione al calcolo multipartitico e una prova nel quadro universale della compasabilità, vedere il lavoro di Unruh: http://arxiv.org/abs/0910.2912

— Christian Schaffner
fonte