गारबल्ड परिपथ

From Vigyanwiki
Revision as of 14:22, 10 May 2023 by alpha>Indicwiki (Created page with "{{Short description|Cryptographic protocol for two-party computation}} {{technical|date=January 2017}} गारबल्ड सर्किट एक क्रिप्ट...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

गारबल्ड सर्किट एक क्रिप्टोग्राफिक प्रोटोकॉल है जो दो-पक्ष सुरक्षित बहु-पक्षीय संगणना को सक्षम करता है जिसमें दो अविश्वास करने वाले पक्ष एक विश्वसनीय तृतीय पक्ष की उपस्थिति के बिना अपने निजी इनपुट पर संयुक्त रूप से एक फ़ंक्शन (गणित) का मूल्यांकन कर सकते हैं। विकृत सर्किट प्रोटोकॉल में, फ़ंक्शन को बूलियन सर्किट के रूप में वर्णित किया जाना चाहिए।

गारबल्ड सर्किट का इतिहास जटिल है। गारबल्ड सर्किट के आविष्कार का श्रेय एंड्रयू याओ को दिया गया, क्योंकि याओ ने एक पेपर की मौखिक प्रस्तुति में विचार पेश किया[1] कंप्यूटर साइंस'86 की नींव पर संगोष्ठी में। यह 2003 में ओडेड गोल्ड्रेइच द्वारा प्रलेखित किया गया था।[2] इस तकनीक के बारे में पहला लिखित दस्तावेज़ गोल्ड्रेइच, सिल्वियो मिकाली और द्वारा किया गया था कम्प्यूटिंग के सिद्धांत पर संगोष्ठी में एवी विगडरसन'87।[3] गारबल्ड सर्किट शब्द का पहली बार उपयोग STOC'90 में बीवर, मिकाली और फिलिप रोगवे द्वारा किया गया था।[4] याओ के करोड़पतियों की समस्या को हल करने वाला याओ का प्रोटोकॉल सुरक्षित संगणना का शुरुआती उदाहरण था, फिर भी यह विकृत सर्किट से सीधे संबंधित नहीं है।

पृष्ठभूमि

अनजान स्थानांतरण

गारबल्ड सर्किट प्रोटोकॉल में, हम बेखबर ट्रांसफर का उपयोग करते हैं। बेखबर हस्तांतरण में, एक स्ट्रिंग (कंप्यूटर विज्ञान) एक प्रेषक और एक रिसीवर के बीच निम्नलिखित तरीके से स्थानांतरित किया जाता है: एक प्रेषक के दो तार होते हैं और . रिसीवर चुनता है और प्रेषक भेजता है बेखबर ट्रांसफर प्रोटोकॉल के साथ

  1. रिसीवर को असंतुलित स्ट्रिंग के बारे में कोई जानकारी नहीं मिलती है ,
  2. का मान है प्रेषक के संपर्क में नहीं है।

ध्यान दें कि जबकि रिसीवर को पता नहीं है मूल्य, व्यवहार में रिसीवर क्या के बारे में कुछ जानकारी जानता है एनकोड करता है ताकि रिसीवर आँख बंद करके चयन न करे . यानी अगर एक झूठे मूल्य को एनकोड करता है, एक सही मान को एनकोड करता है और रिसीवर एन्कोडेड सही मान प्राप्त करना चाहता है, रिसीवर चुनता है .

आरएसए (क्रिप्टोसिस्टम) जैसी असममित क्रिप्टोग्राफी का उपयोग करके अनजान हस्तांतरण का निर्माण किया जा सकता है।

परिभाषाएं और नोटेशन

ऑपरेटर स्ट्रिंग संयोजन है। ऑपरेटर बिट-वार XOR है। k एक सुरक्षा पैरामीटर और चाबियों की लंबाई है। यह 80 से अधिक होना चाहिए और आमतौर पर 128 पर सेट होता है।

गारबल्ड सर्किट प्रोटोकॉल

प्रोटोकॉल में निम्नानुसार 6 चरण होते हैं:

  1. अंतर्निहित कार्य (उदाहरण के लिए, करोड़पतियों की समस्या में, तुलना समारोह) को 2-इनपुट गेट्स के साथ बूलियन सर्किट के रूप में वर्णित किया गया है। सर्किट दोनों पक्षों के लिए जाना जाता है। यह कदम किसी तीसरे पक्ष द्वारा पहले ही किया जा सकता है।
  2. ऐलिस सर्किट को गारबल्स (एन्क्रिप्ट) करता है। हम ऐलिस द गारब्लर कहते हैं।
  3. ऐलिस अपने एन्क्रिप्टेड इनपुट के साथ बॉब को विकृत सर्किट भेजती है।
  4. सर्किट की गणना करने के लिए, बॉब को अपने स्वयं के इनपुट को भी गारबल करने की आवश्यकता है। यह अंत करने के लिए, उसे ऐलिस की मदद की जरूरत है, क्योंकि केवल गार्बलर ही एन्क्रिप्ट करना जानता है। अंत में, बॉब बेखबर ट्रांसफर के जरिए अपने इनपुट को एन्क्रिप्ट कर सकता है। ऊपर से परिभाषा के संदर्भ में, बॉब रिसीवर है और ऐलिस इस बेखबर हस्तांतरण पर प्रेषक है।
  5. बॉब सर्किट का मूल्यांकन (डिक्रिप्ट) करता है और एन्क्रिप्टेड आउटपुट प्राप्त करता है। हम बॉब को मूल्यांकनकर्ता कहते हैं।
  6. ऐलिस और बॉब आउटपुट सीखने के लिए संवाद करते हैं।

सर्किट जनरेशन

छोटे कार्यों के लिए बूलियन सर्किट को हाथ से उत्पन्न किया जा सकता है। सर्किट को 2-इनपुट XOR और AND गेट तर्क द्वार से बनाना पारंपरिक है। यह महत्वपूर्ण है कि उत्पन्न सर्किट में AND गेट्स की न्यूनतम संख्या हो (#Free XOR देखें)। ऐसी विधियाँ हैं जो तर्क संश्लेषण तकनीक का उपयोग करके AND गेट्स की संख्या के अनुसार अनुकूलित सर्किट उत्पन्न करती हैं।[5] मिलियनेयर्स प्रॉब्लम के लिए सर्किट एक डिजिटल तुलनित्र सर्किट है (जो एडर-सबट्रैक्टर के रूप में काम करने वाले और झंडा ले जाना को आउटपुट करने वाले पूर्ण योजकों की एक श्रृंखला है)। एक पूर्ण योजक सर्किट केवल एक AND गेट गेट और कुछ XOR गेट्स का उपयोग करके कार्यान्वित किया जा सकता है। इसका मतलब है कि करोड़पतियों की समस्या के सर्किट के लिए AND गेट्स की कुल संख्या इनपुट की बिट-चौड़ाई के बराबर है।

गारबिंग

AND गेट पर तार और उनके लेबल
AND गेट की सत्यता सारणी का निर्माण

ऐलिस (गार्बलर) इस चरण में बूलियन सर्किट को गारबल्ड सर्किट प्राप्त करने के लिए एन्क्रिप्ट करता है। ऐलिस सर्किट में प्रत्येक तार के लिए दो यादृच्छिक रूप से उत्पन्न स्ट्रिंग्स को लेबल करता है: एक बूलियन डेटा प्रकार सिमेंटिक 0 के लिए और एक 1 के लिए। (लेबल k-बिट लंबा है जहां k सुरक्षा पैरामीटर है और आमतौर पर 128 पर सेट होता है।) अगला, वह सर्किट के सभी गेटों पर जाती है और 0 और 1 को संबंधित लेबल के साथ सत्य तालिका में बदल देती है। नीचे दी गई तालिका दो इनपुट वाले AND गेट के लिए सत्य तालिका दिखाती है और आउटपुट :

a b c
0 0 0
0 1 0
1 0 0
1 1 1

ऐलिस ने 0 और 1 को संबंधित लेबल से बदल दिया:

a b c

वह फिर सत्य तालिका के आउटपुट प्रविष्टि को संबंधित दो इनपुट लेबल के साथ एन्क्रिप्ट करती है। एन्क्रिप्टेड टेबल को गारबल्ड टेबल कहा जाता है। यह इस तरह से किया जाता है कि कोई गारबल्ड टेबल को केवल तभी डिक्रिप्ट कर सकता है जब उसके पास सही दो इनपुट लेबल हों। नीचे दी गई तालिका में, एक डबल-कुंजी सममित एन्क्रिप्शन है जिसमें k गुप्त कुंजी है और X एन्क्रिप्ट किया जाने वाला मान है (#Fixed-key Blockcipher|Fixed-Key Blockcipher देखें)।

Garbled Table

इसके बाद, ऐलिस बेतरतीब ढंग से तालिका को इस तरह से बदल देता है कि आउटपुट मान को पंक्ति से निर्धारित नहीं किया जा सकता है। प्रोटोकॉल का नाम, विकृत, इस यादृच्छिक क्रमचय से लिया गया है।

डेटा ट्रांसफर

एलिस बॉब को सर्किट में सभी फाटकों के लिए गणना की गई विकृत तालिकाएँ भेजती है। विकृत तालिकाओं को खोलने के लिए बॉब को इनपुट लेबल की आवश्यकता है। इस प्रकार, ऐलिस अपने इनपुट के अनुरूप लेबल चुनती है और उन्हें बॉब को भेजता है। उदाहरण के लिए, यदि ऐलिस का इनपुट है , तो वह भेजती है , , , , और बॉब को। ऐलिस के इनपुट के बारे में बॉब कुछ नहीं सीखेगा, , चूंकि लेबल ऐलिस द्वारा बेतरतीब ढंग से उत्पन्न होते हैं और वे बॉब को यादृच्छिक तार की तरह दिखते हैं।

बॉब को अपने इनपुट के अनुरूप लेबल की भी आवश्यकता होती है। वह अपने इनपुट के प्रत्येक बिट के लिए बेखबर स्थानान्तरण के माध्यम से अपने लेबल प्राप्त करता है। उदाहरण के लिए, यदि बॉब का इनपुट है , बॉब पहले मांगता है ऐलिस के लेबल के बीच और . 2 में से 1 बेखबर स्थानांतरण के माध्यम से, वह प्राप्त करता है और इसी तरह। बेखबर स्थानान्तरण के बाद, ऐलिस बॉब के इनपुट के बारे में कुछ नहीं सीखेगा और बॉब अन्य लेबल के बारे में कुछ नहीं सीखेगा।

मूल्यांकन

डेटा ट्रांसफर के बाद, बॉब के पास विकृत टेबल और इनपुट लेबल हैं। वह एक-एक करके सभी फाटकों से गुजरता है और उनकी विकृत तालिकाओं में पंक्तियों को डिक्रिप्ट करने की कोशिश करता है। वह प्रत्येक तालिका के लिए एक पंक्ति खोल सकता है और संबंधित आउटपुट लेबल प्राप्त कर सकता है: , कहाँ . वह तब तक मूल्यांकन जारी रखता है जब तक वह आउटपुट लेबल तक नहीं पहुंच जाता।

आउटपुट का खुलासा

मूल्यांकन के बाद, बॉब आउटपुट लेबल प्राप्त करता है, , और ऐलिस बूलियन मान के लिए इसकी मैपिंग जानती है क्योंकि उसके पास दोनों लेबल हैं: और . या तो ऐलिस अपनी जानकारी बॉब को साझा कर सकती है या बॉब ऐलिस को आउटपुट प्रकट कर सकता है जैसे कि उनमें से एक या दोनों आउटपुट सीखते हैं।

अनुकूलन

पॉइंट-एंड-परम्यूट

इस अनुकूलन में, ऐलिस एक यादृच्छिक बिट उत्पन्न करता है, , प्रत्येक तार के लिए बिट का चयन करें . वह फिर लेबल 0 का पहला बिट सेट करती है, को और लेबल 1 का पहला बिट, , को (बिटवाइज़ ऑपरेशन#का नहीं ). उसके बाद, बेतरतीब ढंग से अनुमति देने के बजाय, इनपुट बिट के अनुसार गारबल्ड टेबल को सॉर्ट करता है। इस तरह, बॉब को सही खोजने के लिए तालिका की सभी चार पंक्तियों का परीक्षण करने की आवश्यकता नहीं है, क्योंकि उसके पास इनपुट लेबल हैं और वह सही पंक्ति ढूंढ सकता है और इसे एक प्रयास से डिक्रिप्ट कर सकता है। इससे मूल्यांकन भार 4 गुना कम हो जाता है। यह आउटपुट वैल्यू के बारे में कुछ भी नहीं बताता है क्योंकि चुनिंदा बिट्स बेतरतीब ढंग से उत्पन्न होते हैं।[6]


पंक्ति में कमी

यह अनुकूलन गारबल्ड टेबल के आकार को 4 पंक्तियों से 3 पंक्तियों तक कम कर देता है। यहां, गेट के आउटपुट तार के लिए बेतरतीब ढंग से एक लेबल बनाने के बजाय, ऐलिस इनपुट लेबल के फ़ंक्शन का उपयोग करके इसे उत्पन्न करता है। वह आउटपुट लेबल उत्पन्न करती है जैसे कि विकृत तालिका की पहली प्रविष्टि 0 हो जाती है और अब उसे भेजने की आवश्यकता नहीं होती है:[7]


फ्री एक्सओआर

इस अनुकूलन में, ऐलिस एक वैश्विक यादृच्छिक (k-1)-बिट मान उत्पन्न करता है जिसे गुप्त रखा गया है। इनपुट गेट्स की गड़गड़ाहट के दौरान और , वह केवल लेबल बनाती है और अन्य लेबलों की गणना करता है और . इन मानों का उपयोग करते हुए, XOR गेट के आउटपुट वायर का लेबल इनपुट तारों के साथ , इसके लिए सेट है . इस अनुकूलन के लिए यादृच्छिक ओरेकल में सुरक्षा का प्रमाण फ्री-एक्सओआर पेपर में दिया गया है।[8]


निहितार्थ

फ्री एक्सओआर ऑप्टिमाइज़ेशन का तात्पर्य एक महत्वपूर्ण बिंदु से है कि डेटा ट्रांसफर (संचार) की मात्रा और गारबल्ड सर्किट प्रोटोकॉल के एन्क्रिप्शन और डिक्रिप्शन (गणना) की संख्या केवल बूलियन सर्किट की संख्या और गेट पर निर्भर करती है न कि एक्सोर गेट पर। इस प्रकार, एक ही फ़ंक्शन का प्रतिनिधित्व करने वाले दो बूलियन सर्किट के बीच, AND गेट्स की छोटी संख्या वाले को प्राथमिकता दी जाती है।

फिक्स्ड-कुंजी अवरोधक

यह विधि SHA-2 जैसे महंगे क्रिप्टोग्राफ़िक हैश फ़ंक्शन के बजाय निश्चित-कुंजी उन्नत एन्क्रिप्शन मानक का उपयोग करके कुशलता से गार्बल और मूल्यांकन और गेट की अनुमति देती है। इस गारब्लिंग योजना में जो #फ्री एक्सओआर और #रो रिडक्शन तकनीकों के साथ संगत है, आउटपुट कुंजी इनपुट टोकन के साथ एन्क्रिप्ट किया गया है और एन्क्रिप्शन फ़ंक्शन का उपयोग करना , कहाँ , एक निश्चित-कुंजी ब्लॉक सिफर है (उदाहरण के लिए, उन्नत एन्क्रिप्शन मानक के साथ तत्काल), और एक अद्वितीय-प्रति-गेट संख्या है (उदाहरण के लिए, गेट पहचानकर्ता) जिसे ट्वीक कहा जाता है।[9]


आधा और

यह अनुकूलन AND गेट्स के लिए विकृत तालिका के आकार को #Row Reduction में 3 पंक्ति से घटाकर 2 पंक्तियाँ कर देता है। यह दिखाया गया है कि यह गारबल्ड टेबल में पंक्तियों की संख्या के लिए सैद्धांतिक न्यूनतम है, गारबलिंग तकनीकों के एक निश्चित वर्ग के लिए।[10]


सुरक्षा

याओ का गारबल्ड सर्किट अर्ध-ईमानदार विरोधी के खिलाफ सुरक्षित है। इस प्रकार का विरोधी प्रोटोकॉल का पालन करता है और कोई दुर्भावनापूर्ण व्यवहार नहीं करता है, लेकिन यह प्रोटोकॉल में प्रसारित संदेशों की जांच करके दूसरे पक्ष के इनपुट की गोपनीयता का उल्लंघन करने का प्रयास करता है।

प्रोटोकॉल से विचलित होने वाले दुर्भावनापूर्ण विरोधी के खिलाफ इस प्रोटोकॉल को सुरक्षित बनाना अधिक चुनौतीपूर्ण है। दुर्भावनापूर्ण विरोधी के खिलाफ प्रोटोकॉल को सुरक्षित बनाने के पहले समाधानों में से एक प्रोटोकॉल के दौरान दुर्भावनापूर्ण गतिविधियों को रोकने के लिए शून्य-ज्ञान प्रमाण का उपयोग करना है।[11] वर्षों से, इस दृष्टिकोण को इसकी जटिलता के कारण व्यावहारिक समाधान की तुलना में सैद्धांतिक समाधान के रूप में अधिक माना जाता था। लेकिन, यह दिखाया गया है कि इसे केवल एक छोटे से उपरि के साथ उपयोग करना संभव है।[12] एक अन्य दृष्टिकोण एक सर्किट के लिए कई जीसी का उपयोग कर रहा है और उनमें से एक सबसेट की शुद्धता की पुष्टि कर रहा है और फिर गणना के लिए बाकी का उपयोग इस उम्मीद के साथ कर रहा है कि अगर गार्बलर दुर्भावनापूर्ण था, तो सत्यापन चरण के दौरान इसका पता लगाया जाएगा।[13] एक अन्य उपाय यह है कि गारब्लिंग स्कीम को इस तरह प्रमाणित किया जाए कि मूल्यांकनकर्ता गारबल्ड सर्किट को सत्यापित कर सके।[14][15]


यह भी देखें

संदर्भ

  1. Yao, Andrew Chi-Chih (1986). "How to generate and exchange secrets". 27th Annual Symposium on Foundations of Computer Science (SFCS 1986). pp. 162–167. doi:10.1109/SFCS.1986.25. ISBN 978-0-8186-0740-0. {{cite book}}: |journal= ignored (help)
  2. Goldreich, Oded (2003). "Cryptography and Cryptographic Protocols". Distributed Computing - Papers in Celebration of the 20th Anniversary of PODC. 16 (2–3): 177–199. CiteSeerX 10.1.1.117.3618. doi:10.1007/s00446-002-0077-1. S2CID 9966766.
  3. Goldreich, Oded; Micali, Silvio; Wigderson, Avi (1987). How to play ANY mental game. pp. 218–229. doi:10.1145/28395.28420. ISBN 978-0897912211. S2CID 6669082. {{cite book}}: |journal= ignored (help)
  4. Beaver, Donald; Micali, Silvio; Rogaway, Phillip (1990). The Round Complexity of Secure Protocols. pp. 503–513. CiteSeerX 10.1.1.697.1624. doi:10.1145/100216.100287. ISBN 978-0897913614. S2CID 1578121. {{cite book}}: |journal= ignored (help)
  5. Songhori, Ebrahim M; Hussain, Siam U; Sadeghi, Ahmad-Reza; Schneider, Thomas; Koushanfar, Farinaz (2015). TinyGarble: Highly compressed and scalable sequential garbled circuits. pp. 411–428. doi:10.1109/SP.2015.32. ISBN 978-1-4673-6949-7. S2CID 5346323. {{cite book}}: |journal= ignored (help)
  6. Beaver, Donald; Micali, Silvio; Rogaway, Phillip (1990). The round complexity of secure protocols. pp. 503–513. CiteSeerX 10.1.1.697.1624. doi:10.1145/100216.100287. ISBN 978-0897913614. S2CID 1578121. {{cite book}}: |journal= ignored (help)
  7. Naor, Moni; Pinkas, Benny; Sumner, Reuban (1999). Privacy preserving auctions and mechanism design. pp. 129–139. CiteSeerX 10.1.1.17.7459. doi:10.1145/336992.337028. ISBN 978-1581131765. S2CID 207593367. {{cite book}}: |journal= ignored (help)
  8. Kolesnikov, Vladimir; Schneider, Thomas (2008). Improved garbled circuit: Free XOR gates and applications. pp. 486–498. CiteSeerX 10.1.1.160.5268. doi:10.1007/978-3-540-70583-3_40. ISBN 978-3-540-70582-6. {{cite book}}: |journal= ignored (help)
  9. Bellare, Mihir; Hoang, Viet Tung; Keelveedhi, Sriram; Rogaway, Phillip (2013). Efficient garbling from a fixed-key blockcipher. pp. 478–492. CiteSeerX 10.1.1.299.2755. doi:10.1109/SP.2013.39. ISBN 978-0-7695-4977-4. S2CID 1351222. {{cite book}}: |journal= ignored (help)
  10. Zahur, Samee; Rosulek, Mike; Evans, David (2015). Two halves make a whole (PDF).
  11. Goldwasser, S; Micali, S; Rackoff, C (1985-12-01). "इंटरएक्टिव प्रूफ-सिस्टम की ज्ञान जटिलता". Proceedings of the Seventeenth Annual ACM Symposium on Theory of Computing. STOC '85. Providence, Rhode Island, USA: Association for Computing Machinery: 291–304. doi:10.1145/22145.22178. ISBN 978-0-89791-151-1. S2CID 8689051.
  12. Abascal, Jackson; Faghihi Sereshgi, Mohammad Hossein; Hazay, Carmit; Ishai, Yuval; Venkitasubramaniam, Muthuramakrishnan (2020-10-30). "Is the Classical GMW Paradigm Practical? The Case of Non-Interactive Actively Secure 2PC". Proceedings of the 2020 ACM SIGSAC Conference on Computer and Communications Security. CCS '20. Virtual Event, USA: Association for Computing Machinery: 1591–1605. doi:10.1145/3372297.3423366. ISBN 978-1-4503-7089-9. S2CID 226228208.
  13. Lindell, Yehuda; Pinkas, Benny (2007). Naor, Moni (ed.). "दुर्भावनापूर्ण विरोधियों की उपस्थिति में सुरक्षित दो-पक्षीय संगणना के लिए एक कुशल प्रोटोकॉल". Advances in Cryptology - EUROCRYPT 2007. Lecture Notes in Computer Science (in English). Berlin, Heidelberg: Springer. 4515: 52–78. Bibcode:2007LNCS.4515...52L. doi:10.1007/978-3-540-72540-4_4. ISBN 978-3-540-72540-4.
  14. Ishai, Yuval; Kushilevitz, Eyal; Ostrovsky, Rafail; Prabhakaran, Manoj; Sahai, Amit (2011). Paterson, Kenneth G. (ed.). "कुशल गैर-संवादात्मक सुरक्षित संगणना". Advances in Cryptology – EUROCRYPT 2011. Lecture Notes in Computer Science (in English). Berlin, Heidelberg: Springer. 6632: 406–425. doi:10.1007/978-3-642-20465-4_23. ISBN 978-3-642-20465-4.
  15. Hazay, Carmit; Ishai, Yuval; Venkitasubramaniam, Muthuramakrishnan (2017). Kalai, Yael; Reyzin, Leonid (eds.). "प्लेन मॉडल में लगातार संचार ओवरहेड के साथ सक्रिय रूप से सुरक्षित गारबल्ड सर्किट". Theory of Cryptography. Lecture Notes in Computer Science (in English). Cham: Springer International Publishing. 10678: 3–39. doi:10.1007/978-3-319-70503-3_1. ISBN 978-3-319-70503-3.


अग्रिम पठन