×

如何在加密数据上运行图灵机。 (英语) Zbl 1311.94082号

Canetti,Ran(编辑)等人,《密码学进展——密码体制2013》。2013年8月18日至22日,第33届年度密码学会议,美国加利福尼亚州圣巴巴拉。诉讼,第二部分。柏林:施普林格出版社(ISBN 978-3-642-40083-4/pbk)。计算机科学课堂讲稿8043,536-553(2013)。
概要:用于计算加密数据的加密方案有望成为密码学的基本构建块。对这些算法建模的方式对生成的加密方案的效率和有用性有着至关重要的影响。到目前为止,几乎所有已知的全同态加密、函数加密和乱码方案都是通过将算法建模为电路而不是图灵机来工作的。
由于这种建模,对加密数据评估算法的速度与该算法最坏情况下的运行时间一样慢,这对于许多任务来说都是一个可怕的事实。此外,在评估器需要以某种“编码”形式描述算法本身的设置中,计算和通信此类编码的成本与此算法最坏情况下的运行时间一样大。
在这项工作中,我们构造了用于在加密数据上计算图灵机的加密方案,从而避免了最坏情况的问题。具体来说,我们展示了:
\(\bullet\)任何多项式时间图灵机和随机存取机(RAM)的基于属性的加密方案。
\(bullet\)用于任何多项式时间图灵机的(单密钥和简洁)函数加密方案。
\(\bullet\)适用于任何多项式时间图灵机的可重用乱码方案。这三种方案的特点是,图灵机的密钥或乱码的大小非常短:它只取决于图灵机描述,而不取决于其运行时间。以前,这种方案的唯一现有结构是用于深度电路,其中所有参数都随\(d\)增长。我们的结构消除了这种深度限制,具有短键,而且避免了最坏情况下的运行时间。
\(bullet)图灵机的一种全同态加密方案,其中可以根据输入x上M的运行时间而不是最坏情况下的运行时间,在加密输入(x)上计算图灵机(M)。以前,这样的结果只有一类受限制的图灵机知道,它需要昂贵的预处理阶段(使用最坏情况下的运行时);我们的建设消除了这两个限制。
我们的结果是通过对SNARK的简化(Bitanski等人)和证人加密的“可提取”变体(Garg等人引入的方案)获得的。我们证明了新假设在一般群模型中是安全的。我们还指出了见证加密(变体)与Goldwasser和Kalai在2005年定义的点过滤器函数混淆之间的联系。
关于整个系列,请参见[1270.94006兹罗提].

MSC公司:

94A60型 密码学
PDF格式BibTeX公司 XML格式引用
全文: 内政部