Verwendung spielbasierter Beweise in simulationsbasierten Beweisen

Simulationsbasierte Sicherheit bietet eine natürlichere und leistungsfähigere Definition von Sicherheit als spielbasierte Sicherheit. Ich habe gesehen, dass die simulationsbasierten Ansätze die spielbasierten Beweise teilweise verwenden, um die Sicherheit einiger Teile des Protokolls zu beweisen. Um beispielsweise die Sicherheit eines Protokolls für die runde Komplexität oder die Gesamtzahl der während der Ausführung des Protokolls ausgetauschten Nachrichten zu bewerten, wird ein spielbasierter Ansatz gewählt, die Sicherheit des Protokolls selbst in Bezug auf das Framework (in meiner Studie das UC-Framework) jedoch bewiesen durch Ideal / Real-Paradigma (dh simulationsbasierter Ansatz).

Frage : Unter welchen Umständen können wir einen spielbasierten Ansatz verwenden, um die Sicherheit eines Teils des Protokolls oder des gesamten Protokolls zu beweisen, wenn das Protokolldesign einem Simulationsansatz entsprechen muss? Können wir diesen Ansatz zu irgendeinem Zeitpunkt aus irgendeinem Grund anwenden, solange er für die Sicherheit des gesamten Protokolls in Bezug auf das simulationsbasierte Framework nicht relevant ist?

Lassen Sie es mich anhand eines Beispiels erklären: Ich studiere ein Gruppenschlüsselaustauschprotokoll über ein UC-Framework (simulationsbasiert), aber das Protokoll verwendet Verschlüsselungsschemata, die CCA-sicher sind (bewiesen durch ein Spiel zwischen einem Gegner und einigen Orakeln) oder CCA2- Sicher (auch durch einen spielbasierten Ansatz bewiesen), Signaturen müssen existenziell nicht fälschbar sein (auch spielbasierter Ansatz), und schließlich werden die Kommunikationskosten des Protokolls berechnet und die Analyse der Protokollsicherheit in 10 oder 11 Spielen zwischen Gegner und Gegner durchgeführt Simulator. Schließlich wird nachgewiesen, dass das Protokoll den UC-Vorschriften entspricht.

Ein Artikel , der sich mit dem Thema befasst, ist Spiele und die Unmöglichkeit einer realisierbaren idealen Funktionalität von Datta et al., Aber es scheint das Problem nicht allgemein anzusprechen. Mir ist keine allgemeine Aussage bekannt, die eine simulationsbasierte Sicherheit des gesamten Protodols auf der Grundlage spezifischer spielbasierter Sicherheitseigenschaften seiner Unterprotokolle garantiert (es sei denn, die spielbasierten Definitionen implizieren natürlich eine simulationsbasierte Sicherheit, in diesem Fall die generische Kompositionssätze von Canetti sollten gelten).

Es gibt jedoch bestimmte Fälle, in denen man simulationsbasierte Sicherheit von spielbasierter Sicherheit erhalten kann. Das aus meiner Sicht aussagekräftigste Beispiel ist ein ZK-Argument (Constant-Round Zero-Knowledge) für NP von Feige und Shamir (siehe z. B. Feiges PhD ), das auf den Unterprotokollen Zeuge-Indistinguishabille (WI) und Zeugen-Verstecken (WH) aufbaut . Sowohl WI als auch WH sind (wohl) spielbasierte Definitionen, und dennoch kann nachgewiesen werden, dass das gesamte Protokoll ZK ist (die Mutter aller simulationsbasierten Definitionen, zumindest für interaktive Protokolle).