Устойчивые к утечкам системы доказательства с нулевым разглашением

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 15:44, 24 декабря 2015.
Устойчивые к утечкам системы доказательства с нулевым разглашением


Leakage-Resilient Zero Knowledge.png
Авторы Sanjam Garg[@: 1] and
Abhishek Jain[@: 2] and
Amit Sahai[@: 3]
Опубликован 2011 г.
Сайт Department of Computer Science
Перевели Artemy Ovchinnikov
Год перевода 2015 г.
Скачать оригинал


Аннотация В этой статье мы приступаем к изучению систем доказательства с нулевым разглашением при наличии атак по сторонним каналам. А именно, мы рассмотрим ситуацию, в которой нелегальному проверяющему позволено завладеть произвольно ограниченной утечкой информации текущего состояния (включая доказательство и случайные coins) доказывающего в течение всего процесса доказательства. Мы формализуем значимое определение устойчивой к утечкам системы доказательства с нулевым разглашением (УУ-ДНР), которое интуитивно гарантирует, что протокол не выдаст никакой полезной информации за пределы действительности утверждения и утечки, полученной проверяющим.

Мы задаём структуру интерактивных систем УУ-ДНР, основанных на стандартных общих предположениях. Это первый пример интерактивного криптографического протокола, где противнику позволено проводить атаки по утечкам на протяжении всего состояния выполнения протокола (в сравнении, предварительная работа учитывает только утечки перед выполнением протокола или очень ограниченную утечку в течение выполнения протокола). Далее, мы зададим неинтерактивную систему УУ-ДНР основанную на стандартных теоретико-числовых предположениях.

В конце, мы продемонстрируем полезность наших идей с помощью двух конкретных способов их применения:

  • Мы запускаем новую серию исследований, чтобы смягчить предположения о «защищённости от кражи» аппаратных ключей, используемых в конструкциях различных криптографических протоколов. В частности, мы зададим конструкцию универсально составляемого вычислительного протокола в модели с возможной утечкой ключа (где противник, завладевший ключом, может заполучить произвольную ограниченную утечку информации на протяжении всего времени действия ключа), основанной на стандартных общих предположениях.
  • Затем, мы зададим простые, обобщённые структуры полностью устойчивых к утечкам информации подписей в модели с ограниченными утечками также, как и в модели с постоянной утечкой информации. В отличие от последних конструкций таких схем, мы также сможем обезопасить модели с «шумной утечкой информации».


Введение

Система доказательства с нулевым разглашением, включенная в работы Голдвассера, Микали, Ракоффа [1], была признана фундаментальной в криптографии. Вкратце, система доказательства с нулевым разглашением - интерактивная проверка между двумя сторонами - доказывающим и проверяющим - с одним особенным свойством: проверяющий не знает ничего о валидности доказываемого утверждения. После их введения, нулевые доказательства были изучены в различных способах настройки, такие как параллельные атаки [2], тягучие атаки [3], и это перечислены те, что давали какие-либо успешные результаты. Спустя годы, системы с нулевым доказательством (и их различные усовершенствованные модели) оказались весьма полезными, найдя себе применение в большом количестве криптографических протоколов.

Отметим, что стандартное определение доказательства с нулевым разглашением, как и большинство классических понятий безопасности , предполагает, что противник имеет лишь доступ к так называемому "чёрному ящику" алгоритма. К сожалению, в течение последних двух десятилетий, становится все более очевидным, что такое предположение может быть нереально, когда речь идёт о безопасности в реальном мире, где физическая реализация (например, на смарт-карте или аппаратном ключе) алгоритма находится под угрозой. Руководствуясь таким сценарием, в этой статье, начнем изучение систем доказательств с нулевым разглашением при наличии атак по сторонним каналам. [4][5][6][7][8].В частности, мы изучим нулевые доказательства в условиях, где псевдопроверяющий, в дополнение к получению доказательства какого-либо утверждения, может получить произвольную ограниченную утечку (в том числе и доказательство или другие случайные ключи) от доказывающей стороны в течение всего исполнения протокола. Отметим, что пока за последние несколько лет был большой объем научно-исследовательских работ на тему устойчивой к утечкам информации, в меру наших знаний, почти все работы проходили на устойчивых к утечкам примитивах, таких как схемы шифрования и подписи [9][10][11][12][13][14][15][16][17][18][19][20][21][22][23][24][25][26], или на устройствах устойчивых к утечкам (перехвату информации) [27][28][29][30], в то время, как очень мало усилий было потрачено на создание устойчивых к утечкам протоколов. В силу наших знаний, недавние работы по корреляции эктсракторов [31], и устойчивых к утечкам протоколов идентификации и аутентификации ключа [13][22][21] подошли достаточно близко к тому, что будет рассматриваться в более поздних разделах. Тем не менее, нужно подчеркнуть, что во всех этих работах, либо атаки из-за утечек производятся только перед выполнением протокола, или очень ограниченная утечка допускается во время выполнения протокола; в противовес этому, рассмотрим положение, при котором противник может получить информацию из утечек на протяжении всего времени исполнения протокола.

Необходимо подчеркнуть, что проведение атак утечки на интерактивные протоколы может быть особенно сложной задачей. С одной стороны, чтобы атака была стоящей, было бы неплохо, если бы утечки появлялись на секретной стадии состояния участников протокола. Тем не менее, это состояние, как правило, включает в себя секретное значение (доказательство и случайные значения доказывающего в случае нулевых доказательств) и любая утечка этих значений может немедленно нарушить свойства безопасности (например, собственность нулевого доказательства) протокола. Тогда, возвращаясь к установке нулевых доказательств, даже не сразу понятно, как определить "устойчивые к утечкам системы доказательства с нулевым разглашением".

Как определить доказательство с нулевым разглашением? Одно из возможных предположений говорит о том, что только вычисления могут привести к утечке [32] (то есть, если предположить, что не бывает утечек при отсутствии расчетов). Хотя это довольно ценный и интересный подход, необходимо отметить, что это предположение часто вызывает нестыковки (например атаки "холодной загрузки" [8]). Тем не менее, в данной работе, не будем делать таких предположений. Постараемся найти общее определение, максимально использующее потенциал применения различным сценариям.

Другая возможность заключается в разрешении "фазы предварительной обработки без утечки" до фактического выполнения протокола, в попытке сделать атаки утечки во время выполнения протокола бесполезными. Отметим, однако, что позволяя предварительную обработку,придётся ограничить применимость нашего понятия. В частности, такое определение будет вызывать проблемы для сценариев, где заявление, которое должно быть доказано, генерируется "онлайн" (тем самым исключая возможность предварительной обработки доказательства "безопасно") . Кроме того, можно привести убедительные доказательства, что такой подход вряд ли принесет лучшие гарантии, чем то, чего можно достичь (см раздел C для дальнейшего обсуждения по данному вопросу).

На самом деле, наша цель заключается в том, чтобы получить значимое и соответствующее определение нулевого доказательства в модели, в которой проверяющий может получить утечки в любом состоянии доказывающей машины в любое время. Не будем учитывать периоды времени свободные от утечек; в частности, любая предварительная фаза может подлежать утечке. Тем не менее, в таких условиях, важно отметить, что, поскольку противник может просто выбрать проведение утечки в момент доказательства (и никакое другое состояние доказывающего), симулятор нулевого разглашения должен иметь возможность получить аналогичный объем утечки для правильного моделирования. Можно будет заметить, что даже с этим ограничением, это понятие оказывается весьма нетривиальным и очень полезным во многих случаях.

Определение - неформальное Для этого, предложим определение устойчивых к утечкам нулевых знаний, которое обеспечивает интуитивно понятное гарантированное свойство , что протокол ничего не выдает кроме заявления о валидности выражения и полученной противником утечки. Другими словами, то, что противник "узнает" из протокола ( с утечкой ) не должно быть больше, чем он может узнать из только утечки без запуска протокола . Чтобы формализовать выше приведённое предположение, в качестве первого шага, рассмотрим оракул утечки, который получается из частного вошедшее доказательство честного доказывающего; симулятор нулевых знаний затем получает доступ к такому оракулу утечки. Более конкретно, мы учитываем параметр , и будем утверждать, что интерактивная -устойчивая система доказательства (LR-ZK) если для каждого мошенничающего проверяющего, существует симулятор с доступом к оракулу утечки (что позволяет получить доказательство от честный доказывающего в качестве частного входа), который выдает взгляд реального проверяющего (верификатора) (который неотличим от реального), с учётом следующих требований . Пусть биты будут верхней гранью общей суммы полученной утечки, полученной проверяющим-противником. Тогда симулятор может получить бит утечки. (В секции B, покажем, что составление системы УУ-ДНР с коэффициентом на самом деле невозможно.)

Применения нашего определения Теперь после того, как было получено определение для УУ-ДНР, может возникнуть вопрос, насколько оно важное. Обсудим это, и приведенное выше определение действительно оказывается очень полезным. Наше определение подходит для сценария, где устойчивы к утечкам примитив А используется в сочетании с системами с нулевым доказательством (где доказывающая система используется для того, чтобы доказать некоторое утверждение А), в составе другого криптографического протокола В. Причиной этого является то, что наше определение УУ-ДНР позволяет непосредственно уменьшить свойство устойчивости утечек B на свойства устойчивости утечек А.

В качестве приложения нашей УУ-ДНР системы интерактивного доказательства, мы сначала построим повсеместно компонуемые (UC) мультисоставной протокол вычисления в модели с утечками ключей (которая является результатом релаксации модели Кац [33] в том, что вредоносному ключу пользователя теперь разрешено получать информацию из утечки на протяжении действия ключа). Очень кратко, используем жёсткие связи устойчивые к утечкам [22] и аппаратные ключи, которые реализуют подтверждающий алгоритм нашей УУ-ДНР системе, где мы докажем валидность жестких отношений; тогда утечки на протяжении действия ключа могут быть легко "уменьшены", к утечкам доказательства (в соответствующей инстанции) жесткого отношения.

Далее, мы можем расширить понятие УУ-ДНР в неинтерактивном режиме естественным образом. Затем, в качестве приложения неинтерактивных УУ-ДНР, зададим общие конструкции полностью устойчивых к утечкам (ПУУ) схем подписей (где утечка допускается на всём протяжении работы алгоритма, в отличие от тех, что работают только с секретным ключом). Очень кратко, используем устойчивые к утечкам жесткие отношения в сочетании с "извлекаемым моделированием" неинтерактивных систем УУ-ДНР (см ниже); тогда можно будет уменьшить свойство устойчивости к утечкам схем подписей к тому, что на схеме с жестким обращением. Резюмируем полученные результаты.

Результаты

Для начала изучим возможность построения протоколов устойчивых к утечкам систем с нулевым разглашением и получим следующие результаты:

  • Построим -устойчивых к утечкам интерактивных систем доказательств (где любое положительное число), основанные на стандартных предположениях (в частности, существование статистически скрытой схемы, которая является открытой частью приемника). Насколько нам известно, это первый пример криптографического интерактивного протокола, где противнику позволено получить доступ к произвольной утечке информации в ходе исполнения протокола.
  • Далее, мы рассмотрим неинтерактивную установку и покажем, что любая неинтерактивная система доказательств с честным доказывающим [34] - неинтерактивная УУ-ДНР с . Как следствие , мы получаем УУ-НДНР (неинтерактивная система) из [34] основанную на линейных предположениях принятия решений.

Мы дополняем наши выше приведённые результаты, доказав невозможность построения доказательства УУ-ДНР (или аргумента) для системы λ < 1. Тогда, в качестве приложений к УУ-ДНР , мы получим следующие результаты:

  • Мы начинаем новую линию исследований, чтобы смягчить предположение о "безопасности от взломов" аппаратных ключей, используемых в конструкции различных криптографических протоколов. В частности, предполагая, полу-честную передачу, мы приведем конструкцию универсально набранного (UC) многостороннего протокола вычислений в модели с возможностью утечки ключа, где ключевой пользователь может получить произвольную ограниченную утечку на протяжении действия этого ключа. Мы подчеркиваем, что все предыдущие работы по проектированию криптографических протоколов, использующие аппаратные ключи, в том числе работы по UC безопасного вычисления [33][35][36][37], сделали неявное предположение, что ключи полностью устойчивы к утечкам.
  • Далее, мы расширим понятие УУ-НДНР, чтобы включить свойство моделирования - экстрагируемости [38][39] (читай также [40]в контексте интерактивных доказательств), в частности, "верный" вариант. [22]. Тогда мы будем в состоянии адаптировать подход Кац и Vaikuntanathan [15], и, в частности, Додис и других [22][21] (кто использует жесткие отношения УУ-ДНР в сочетании с правдивой системой экстрагируемого моделирования аргумента неинтерактивных систем для построения устойчивых к утечкам подписей) в установке, полной утечек. В результате , мы получаем простые общие конструкции полностью устойчивых к утечкам схем подписи в ограниченной модели утечки, а также постоянные модели утечек. Похожая на [22][21], наша схема подписи наследует свойства устойчивости к утечкам (и границы утечек) жестких отношений, используемых в их конструкции. В отличие от последних конструкций схем FLR подпись описанна [24][25][26] в стандартной модели, а наша схема также находится в безопасности в шумной модели утечки [14]. We supplement our result by showing that a true simulation-extractable leakage-resilient NIZK argument system is implied by the UC-NIZK of Groth et al. [34], которая может быть основана на линейных предположениях.

Применяемые подходы

Мы кратко рассмотрим основные методы, используемые для получения наших положительные результаты по утечки устойчивых нулевым знанием системы доказательства. Напомним, что наша цель, чтобы понять определение, где обман проверяющий ничего не узнаем из протокола за действия заявления и информации, полученной от утечки доказывающая. Кроме того, напомним, что в нашем определении, симулятор получает доступ к оракул утечки, который получает свидетельство честный игрок, как частный вход и принимает утечки запросы на строки свидетеля. (В противоположность этому, верификатор разрешено сделать утечки запросы на всего государства, в том числе и свидетеля случайных монет используется доказывающей сих пор в исполнении протокола.) Затем, во время моделирования, на получении запроса от утечки проверяющему, наша симулятор пытается преобразовать его в «действительного» запроса к оракулу утечки. Теперь, обратите внимание, что тренажер может быть обман в исполнении протокола (который, как правило, так, поскольку это не иметь действительный свидетельство); Затем, так как верификатор может произвольно просочиться на как свидетель, а случайные монеты (которые полностью определяют действия из доказывающей, таким образом, далеко), в каждой точке выполнения протокола, симулятор должен найти способ, чтобы "объяснить свои действия так далеко". Обратите внимание, что это напоминает адаптивная безопасность [41][42][43][44] в контексте защищенных протоколов вычислений. Мы , однако, подчеркнуть , что адаптивный безопасности не хватает для достижения недвижимость утечки устойчивых нулевым знанием в интерактивных доказательств установления , как мы объясним ниже.

Напомним, что понятие адаптивной безопасности соответствует обстановке, где противник имеет право коррумпированных лиц во время исполнения протокола (как в отличие от статического коррупции , где стороны могут быть повреждены только перед начинается протокол ) . После того, как партия поврежден , противник узнает весь штат (в том числе и случайных вход монеты ) этой партии . Противник может выбрать коррумпированных нескольких партий ( в случае многопартийных протоколов ) по всей Конечно протокола . Понятие адаптивного безопасности гарантирует безопасность остальные нетленные стороны.

В то время как сама адаптивная коррупция не наш фокус, отметить, что в нашей модели при обман верификатор может получить утечку о состоянии доказывающей в несколько раз в процессе выполнение протокола. Кроме того, честный игрок не может даже не знать, а к тому, что произошла утечка. Наша цель заключается в обеспечении, что противник не узнать что-нибудь за пределами утечки информации. Затем, для того, чтобы обеспечить такие гарантия, отметить, что наша Тренажер должен продолжать имитировать прувер даже после происходит утечка, таким образом, что согласуется с просочилась информация даже если он не знает, свидетельство доказывающей или то, что информация была утечка. В противоположность этому, тренажер для адаптивного защищенных протоколов не нужно для имитации партию, как только это corrupted. В заключение, мы хотели, чтобы гарантировать некоторую безопасность для честного партии даже после утечки происходит, в то время как адаптивная безопасности не дает никаких таких гарантий. Мы подчеркиваем, что эта разница решающее значение, и объясняет, почему известные методы для достижения адаптивной безопасности сделать не хватает для наших целей. Тем не менее, как мы объяснить ниже, адаптивный безопасности служит хорошей отправной точкой для нашей цели.

Напомним, что основной задачей в условиях адаптивной безопасности является то, что всякий раз, когда противник выбирает развратить вечеринку, симулятор должен быть в состоянии объяснить свои случайные монеты, таким образом, что согласуется с участием партии и сообщения она породила так далеко в протоколе. Основной метод для преодоления этот вызов, чтобы позволить симулятор увиливать. Для наших целей, Мы также будем использовать экивоков, так что запросы утечки можно ответить правильно симуляторе. Однако, поскольку наш тренажер необходимо будет имитировать доказывающая даже после утечки происходит (без ведома доказывающая-х свидетелями или информация, которая просочилась), мы не хотим, это ненадежность вмешиваться в моделировании сообщений Доказывающий в. Другими словами, мы хотим чтобы быть в состоянии имитировать сообщения доказывающей независимым от того, что информация в настоящее время утечка, но по-прежнему остаются в соответствии с ней. Наше решение иметь два отдельных и независимых способов обмана в распоряжении тренажера. Это будет использовать один способ обмануть в протокольных сообщений, а второй путь защищены для правильного ответа на запросы утечки. Кроме того, мы должны были бы убедиться, что симулятор не "наступать на собственных пальцев" при использовании двух способов обмануть одновременно.

Теперь кратко обсудим фактическое строительство нашего протокола , чтобы проиллюстрировать выше идеи . Напомним, два хорошо известных способов построения constantround протоколы нулевые Знание - Фейге - Шамир [45] подход с использованием двусмысленным обязательства ( также используются в адаптивном безопасности ) , и Голдрейх - Кахана [46] подход требует верификатор совершить на его вызовы заранее. Теперь, вооружившись интуицией , что наша симулятор понадобится две отдельные способы обмана, мы используем оба указанных выше методов вместе. Наш протокол состоит из примерно две фазы: в первой фазе , проверяющий обязан на вызов с помощью строки Стандарт вызов-ответ на основе схемы извлекаемые приверженность (в порядке похожий на [47]);на втором этапе , мы выполняем протокол гамильтоновости Блюма создается с двусмысленной схеме обязательств. В то время как во время утечки Первый этап может легко обрабатываться нашей симулятор , обработки утечки во время Второй этап использует идеи , рассмотренных выше .

К сожалению, хотя выше конструкция кажется , чтобы удовлетворить большинство наших Требования , она не на следующий счет . Напомним, что наша цель заключается в получении протокол с нулевым знанием утечки устойчивыми с почти оптимальной точности (т.е., λ = 1 + ε) по отношению к запросам утечки симуляторе. Теперь заметим, что В упомянутой выше конструкции , тренажер необходимо будет извлечь верификатора вызов в первой фазе с помощью перемотки , прежде чем приступить к фазе два протокола . Затем, в зависимости от поведения верификатора , симулятор возможно, потребуется выполнить несколько перемотка назад, для того, чтобы преуспеть в добыче . Теперь, обратите внимание, что обман проверяющий может быть в состоянии сделать другой запрос утечки в течение каждого перемотки , тем самым вынуждая нашу симулятор , чтобы сделать новый запрос , а также для его оракул утечки . В результате в зависимости от количества таких перематывает , то Общая утечка получается тренажере может потенциально стать многочлен Коэффициент полученного противником в реальном исполнении утечки.

Для того , чтобы получить точность запросов утечки тренажера , мы заимствовать методы из работы по точной нулевым знанием пионером по Микали и Пасс [48]. Заметим, что в контексте точного ZK , (для фундаментальной Причины моделирования ), то , как правило, не удается получить точность почти 1. В нашем случае, однако , мы можем достичь точности λ = 1 + ε (где ε любое положительная константа ) по отношению к запросам утечки симулятора.

Наконец, отметим, что в случае не - интерактивной нулевым знанием , поскольку симулятор не нужно имитировать любые будущие " сообщения" после утечки , мы действительно в состоянии показать, что адаптивно безопасной ДНР также устойчивые к утечкам неинтерактивной ДНР . В частности, мы показываем , что любой NIZK с честным государства доказывающего Свойство реконструкции, как определено Грот др . [34] (в контексте адаптивной безопасности) , также является утечка устойчивых неинтерактивных ДНР с λ = 1.

Связанные работы. В совсем недавнем и захватывающей сопутствующими работами , Канетти и др . были рассмотрены модели утечки в контексте протоколов UC [49].

Устойчивая к утечкам система доказательства с нулевым разглашением: ситуационная модель

Рассмотрим сценарий, в котором вредоносный верификатор может получить произвольно ограниченные утечки на протяжении всего выполнения протокола (включая доказательство и случайные ключи) во время выполнения протокола. Чтобы дать содержательно определения интерактивному доказательству с нулевым разглашением, сначала проверим стандартную модель с нулевыми знаниями в целях включения атаки утечки. Далее рассмотрим модель в качестве интерактивных машин Тьюринга, которые имют возможность выбрасывать ключи во время выполнения протокола (например случайные ключи, используемы в начале состояния генерируются только в самом начале). В целях включения атак утечки, позволим злоумышленнику-провеяющему V сделать адаптивный утечки запросы о состоянии доказывающего во время протокола исполнения. Утечка запроса на доказывающего состоит из эффективно вычислимых функция фи (описана как цепь), к которым доказывающий реагирует с fi (оисано как состояние), где государство-это переменная, которая обозначает “текущее состояние” доказывающего в любых момент во время выполнения протокола. Переменная инициализирует состояние на свидетель доказывающего. После завершения каждого шага протокола выполнения (что соответствует доказывающий отправив сообщение протокола для верификатора), в случайные монеты, используемые в доказательстве на этом шаге. То есть , где обозначим случайные ключи, используемые доказывающим на это шаге. Проверяющий может взять любой произвольный многочлен таких утечек запросов на выполнение протокола. В отличие от предшествующих работ, не требуется априорная граница суммарной утечки полученных проверяющим для того, чтобы удовлетворить нашему определению. Тем не менее для получения осмысленности определения, нужно отметить, что общая утечка, полученная проверяющим должна быть меньше размерности доказательства.

Мы моделируем нулевым знанием симулятор S в п.п. компьютере, который имеет доступ к оракулу утечки что параметризована свидетеля честный игрок в W, A параметра утечки λ (смотри ниже), а параметр безопасности к. Запрос на оракул состоит из эффективно вычислимой функции к которой оракул ответы с . Для того, чтобы связанный общее утечки, доступную для тренажера, мы считаем параметр λ и требуют, что если верификатор получает биты общей утечки в реальном исполнении, то общее утечки получены тренажера (от оракула утечки) должны быть ограничены битами. Наконец, мы требуем, чтобы выходной вид на тренажере был вычислительно неотличимо от вид верификатора в реальном исполнении. Мы оформим это в ниже определения.

Определение 1 (Устойчивое к утечкам доказательство с нулевым разглашением) Интерактивная система доказательства  для языка  с отношением доказательства   называется -устойчивой к утечкам системой доказательства с нулевым разглашением, если для каждой  ppt машины  которая делает любой произвольный многочлен количества запросов на утечки P-ом состоянии (способом, описанным выше) с  битами общей утечки, то существует ppt алгоритм  который берёт в большинстве своём   бит общей утечки из оракула утечек  (как определено выше) такой, что для каждого , каждый , формулы  and  вычислительно неотличимы.

Замечания по приведенному выше определению в порядке рассмотрения.

Параметр утеки Следует, отметить что , Утечка не доступна для симулятора (как это имеет место для стандартного системы доказательств с нулевым разглашением). В этом так, наше определение гарантирует стандартный недвижимость нулевым знанием. Это не Нетрудно видеть, что это невозможно реализовать такое определение. В самом деле, как мы показать в полной версии, это невозможно реализовать вышеупомянутое определение для любого , где ε это любая константа меньше 1. OСдругой стороны, в секции 2.1 мы получили положительные результаты для , где ε любая положительная константа. Смысл нашей положительного результата вытекает из того, что, когда λ близко к 1, очень грубо, наше определение гарантирует, что злонамеренный проверяющий делает что-нибудь из протокола не узнать за действия данного оператора доказано, и утечка получены из расстойки.

Моделирование с незаметными утечками. Обратите внимание, что в нашем определении утечки упругого с нулевым знанием, (кроме общей длины выходного) нет никаких ограничений на природа утечки запросов, что тренажер может сделать к оракулу утечки. Тогда, так как симулятор имеет косвенный доступ к свидетелю честный игрок (через оракул утечки), он может просто выбрать, чтобы просочиться на свидетеля (независимо от того, запросы утечки проверяющего) для того, чтобы помочь с моделированием протокола Сообщения вместо использования оракула утечки только ответить на запросы утечки проверяющий. Мы подчеркиваем, что этот вопрос никак не влияет потенциальное применение утечки упругого нулевым знанием, что можно придумать. Тем не менее, мы считаем, что это является важным вопросом, поскольку она относится к осмысленность определение. Для этого заметим, что этот вопрос можно легко обрабатываются, поставив ограничение о том, как симулятор доступ к оракулу утечки. В частности, мы можно моделировать взаимодействие между моделирования и оракула такой, что Тренажер не имеет, чтобы посмотреть на ответах оракула его запросов. Тренажер по-прежнему разрешено смотреть на запросы утечки проверяющему, и использование им создавать новые запросы для оракула; Однако, ответы оракула являются направляются непосредственно в проверяющему и симулятор не попасть в их кажется. Мы называем такие тренажеры утечки не обращая внимания. Отметим, что тренажер, который мы строим для нашего протокола (описано в следующем подразделе) невидимая утечка

Протокол

Перейдем теперь к дать нашим строительство утечки устойчивых нулевым знанием Интерактивная система доказательств, как по определению 1. Очень грубо говоря, наш протокол можно рассматривать как сочетание Феджа-Шамира [45] и Голдреха-Кана [46], в том, что мы используем неоднозначные обязательств из стороны доказывающей годов, а также требует верификатор совершить для всех ее вызовы в заранее. Обратите внимание, что время либо из вышеперечисленных методов было бы достаточно для стандартного моделирования, интересно, мы должны использовать их вместе, чтобы помочь запросы утечки симулятор ручка ото обманного проверяющего. Опишем наш протокол более подробно.

Пусть P и V обозначают прувер и верификатор соответственно. Наш протокол протекает в три шага, описанные далее. На стадии 1, V обязуется его вызов и большая случайная последовательность r', используя вызов-ответ основе PRS [50] стиль преамбуле создается с государственно-монета статистически скрывается приверженность схема [51][52][53]. На этапе 2, Р и V заниматься монеты листать (что было начато на стадии 1, когда V, совершенные в r'), чтобы совместно вычислить случайная последовательность р. В заключение, на стадии 3, Р и V пробег к (где к обозначает параметр безопасности) параллельно повторений 3-го тура Блюм гамильтоновость протокола, где Р использует Naor-х схема приверженность [54] совершить с перестановкой графиков в первом туре. Вот, к каждой битовой обязательств I, P использует другую подстроку ri (соответствующих длина) R в качестве первого сообщения схемы обязательств Naor в. протокол is является описано на рисунке 1. Интуитивно, цель несколькими слотами ответа на запрос в 1-й этап, чтобы позволить симулятор для извлечения значений, совершенных с минимальное использование оракула утечки. С ведома добытых ценностей, Тренажер может заставить выход монет покадрового к определенному распределению его выбора. Это, в свою очередь, позволяет симулятор для преобразования приверженность Naor в Схема в двусмысленной схеме обязательств во время моделирования.

TemplateTheoremIcon.svg Теорема Теорема 1
Если статически скрываемые схемы передачи публичного ключа существуют, то протокол с параметрами , является -устойчивой к утечкам системой доказательств с нулевым разглашением.
Доказательство


Отметим, что статистически скрываемые схемы передачи используют односторонние функции, которые, в свою очередь, достаточно похожи на статистически связываемые схемы передачи по Наору, которые используются в нашей конструкции. В интересах пространства, мы приведем доказательство теоремы 1 в полной версии.

Устойчивая к утечкам неинтерактивная система

Теперь мы обратим наше внимание на настройки неинтерактивного доказательства с нулевым знанием системы. Рассмотрим сценарий, в котором вредоносный проверяющий может получить произвольное Утечка на свидетеля и случайных монет, используемых честного расстойки генерировать доказательство строка. Чтобы смоделировать нападения утечки, мы позволяем обман проверяющий, чтобы сделать адаптивные запросы утечки на свидетеля честный игрок в и случайные монеты используется для генерации пробной строку. Запрос утечки на доказывающей состоит из эффективно вычислимая функция F, к которой испытатель отвечает , где ш и г обозначают свидетелей и случайные монеты доказывающей в соответственно. Это легко видеть, что в не-интерактивных доказательств, устанавливающих, обмана верификатор, который позволил несколько запросов утечки не пользуется дополнительной мощности, чем тот, кто допускается только один запрос утечки. Таким образом, для простоты изложения, отныне мы рассматривать только обман контролеров, которые делают только один запрос утечки. Отметим, что наше определение дано ниже, могут быть легко адаптированы для включения несколько утечек запросы.

Мы моделируем симулятор нулевым знанием математики как п.п. компьютере, который имеет доступ к оракулу утечки что параметризована свидетеля честный игрок

и параметр безопасности к. (В отличие от установки интерактивные доказательства, мы здесь не рассматриваем параметр утечки для простоты изложения.)
Рисунок 1. Протокол .
Утечка

оракула принимает запросы в форме (where является эффективно вычислимой функция) и выходы F (W). Для того, чтобы связанный общее утечки доступной симулятор, мы требуем, что если проверяющий получает биты общего утечки из честный игрок, то общая утечка получены симулятором (от оракул утечки) должны быть ограничены битов.

Теперь настройка некоторые обозначения. Пусть быть эффективно вычислимая отношение, состоит из пар , где выражение и доказательство. Пусть обозначают язык, состоящий из заявления в . Напомним, что неинтерактивным система доказательств для языка состоит из алгоритма настройки , доказывающий и проверяющий . Алгоритм установки gгенерирует общую строку . Доказывающий берёт это в качестве входа и проверяет ; если так, то , иначе будет выдана ошибка. Проверяющий берёт за вход и выводит 1, если доказательство валидно, 0, если нет.

Определение 2 (УУ-НДНР) Неинтерактивная система доказательств  для отношения ppt  считается УУ-НДНР, если существует симулятор  такой, что для всех оппонентов , , где  он вычисляет ; ;  и возвращает , пока  вычисляет ; ; ;  и возвращает . Здесь запрос утечки  сделанный  такой, что его выходная длина не меньше, чем длина . Оба оракула  и  выводят ошибки, если .

Результат

Покажем теперь, что каждая неинтерактивная система доказательств с честным доказывающим восстанавливающая на самом деле устойчивая к утечкам неинтерактивная система. Непосредственным следствием является то, что по Гроту и др [34] система доказательств является устойчивой к утечкам неинтерактивной системой системой. Мы предлагаем читателю ознакомиться с полной версией для формального доказательства.

TemplateTheoremIcon.svg Теорема Теорема 2
Неинтерактивная система доказательства для отношения с честным доказывающим в режиме восстановления - устойчивая к утечкам неинтерактивная система для .
Доказательство


Приложения устойчивых к утечкам систем с нулевым разглашением

UC система с уязвимыми к утечкам ключами

Начиная с работ Голдрайх и Островского по защите программного обеспечения [55], противовзломные аппаратные ключи были использованы для различных криптографических задач таких, как обеспечение всеобщего компонуемости [33][35][36][37], one-time-programs [56], защищённые протоколы [57][58], компиляторы для утечко-устойчивых вычислений [59][60], и так далее. Насколько нам известно, все предыдущие работы с использованием защищенных, аппаратные ключи сделать предположение, что жетоны полностью leakageresilient (т.е., в знак не протекает любую информацию противником, который находится в владение самым). Здесь мы начинаем новую линию исследования, чтобы исследовать можно ли ослабить это предположение для различных криптографических задач. В частности, мы изучаем возможность делать повсеместно компонуемы безопасной Расчет с использованием «дырявые» жетоны. Начнем с предохранительной аппаратных маркер модель Кац [33] и изменить его соответствующим образом, чтобы включить "ограниченных" утечку. Затем путем использования утечки устойчивых твердых отношений [22] и наш утечки устойчивыми нулевым знанием системы доказательств, приведем конструкцию для универсально компонуемы протокол вычисления многопартийная в дырявой символическую модели.

Модель с ключами, подверженными утечкам. Сначала кратко вспомнить аппаратный маркер модель Кац [33]. В модели [33], предполагается, что сторона (именуемого создателя) может занять некоторое программное обеспечение код и "запечатать" его внутри аппаратного маркера предохранительной; партия может затем дать этот маркер на другой стороне (именуемой пользователя), которые затем могут получить доступ к встроенного программного обеспечения в черный ящик образом. Эта установка моделируется функциональности "обертки" который принимает два типа сообщений: первый тип используется в партии чтобы "создать" аппаратный маркер (инкапсулирующую интерактивный протокол ) и посылает этот ключ другому учатстнику . При получении ключа, могут взаимодействовать с ней в произвольном порядке черного ящика. Это позволяет формализовать посылать выбираемые сообщения через . Каждый раз, когда вызывается, свежие случайные монеты выбраны для

.

Для того, чтобы включить нападения утечки, рассмотрим измененный функционал оболочки параметризовано утечки параметра `который определяет" общая "утечки доступной символическую пользователя по всем казни маркера. Более конкретно, новая функциональность обертка определена также, как , ожидая, что допускает пециальные запросы утечки (из маркера пользователя), которые состоят из эффективно вычислимой функции (как описано контур), к которым функциональность ответы с , где Обозначает код интерактивного машины Тьюринга воплощен в маркер и государства обозначает текущее состояние состоящий из всех протокольных сообщений, полученных от пользователя и случайных монет, используемых до сих пор в текущем протоколе выполнение. Маркер пользователь может сделать любой произвольный многочлен количество таких запросы утечки на нескольких протокол с ; мы только требуют, чтобы функции фантастические быть эффективно вычислимая, а общее число битов утечка (по всем казни) является . Мы подчеркиваем, что, позволяя утечки на , мы позволяют маркер пользователя для получения утечки на любых тайных значений жестко в . В интересах пространства, мы отложить формальное описание в полной версии.

UC безопасности с помощью UC-головоломки. Для того чтобы получить наш положительный результат, мы строим на последняя работа Лин и др. [61] wкоторые выдвигает единую структуру для проектирование UC безопасные протоколы из известных допущениях настройки [62][43][33][63]. Лин и другие. Заметим, что общая техника построения унифицированных коммуникаций безопасные протоколы, чтобы уже симулятор получить "секретом", который строку трудно вычислить для противник. Это оформляется в виде (двух партийных) "UC-головоломки" протоколов которые позволяют симулятор для получения такого секретом строку (но предотвратить противник от этого). После работы [61], задача построения UC защищенные протоколы с любого установочного предположения сводится к задаче построения UC-головоломка, в гибридной модели соответствующего setup.6 мы получаем наш положительный результат, следуя тем же маршрутом. В частности, мы строим "семью ОК-головоломок "в -гибридной модели.

Наш протокол. Напомним, что в аппаратный маркер модель, каждую пару партий в система обмена Аппаратные ключи друг с другом. Теперь рассмотрим систему с м лицам . для каждой пары участников , мы построим два разных UC-конструкции в гибридной модели, (a) где (resp., ) высатупает, как отправитель задачи, в то время как и (б) другое где роли и меняются местами. Это дает нам семейство задачи. еперь мы опишем построение семейства пар протокола и отношения , где . Здесь выбор нотации, чтобы подчеркнуть, что партия ( ) играет роль отправителя (соотв., приемник) в протоколе . Докажем, что пара это задача в -гибридной модели. В нашей конструкции, мы будем использовать -LR-ЗК доказательство систем знаний, а также в качестве -lустойчивой к утечкам жёстко связанной модели [22], где .

Описание . Интерактивная машина Тьюринга , при вызове с входы личность отправителя , личность приёмника и идентификатор сессии SID, протекает следующим образом. Сначала он проверяет, является ли это в первый раз взаимодействующих с партией . Если так, первый пример пары из -устойчивых к утечкам жёстким отношениям и потом создает и предоставляет маркер (отправив соответствующую "" сообщение для ), который инкапсулирует интерактивный машина Тьюринга что даёт -LR-ZKPOK заявления, что существует такие как . Для испытания просто посылает aS головоломки в приемник. Интерактивная машина Тьюринга , на получении от , в исполнении нашего-протокола с (через ) где доказывает, что существует такой что . Противоположный проверяыющий may additionally send leakage queries (leak, ) to , who responds with (где отмечает, что ключи “so far”) также долго, как общего утечка (по всем запросам) ограничена .

Описание . Отношение просто . Описывает вычисление пары . Отсылаем читателя к полной версии доказательства задача -гибродной модели.

Полностью невосприимчивые к утечкам подписи

В этом разделе мы приведем общие конструкции полностью утечки устойчивых (FLR) подписания схемы в ограниченной модели утечки, а также постоянное модель утечки. Для того чтобы получить наши результаты, мы будем адаптировать подход Katz и Vaikuntnathan [15], и в частности Додис. [22][21] (который используется leakageresilient жесткие отношения и на основе тегов верно моделирование экстрагируемой (TSE) NIZK Аргумент системы по строительству "стандартные" утечки устойчивых схем подпись) в обстановке полной утечки (где противник может протекать на всем государстве, а в отличие от только секретный ключ). В частности, мы впервые расширить наше представление о leakageresilient NIZKs включить свойство истинного моделирования-экстрагируемости. Затем, с помощью жесткого отношения, что утечка устойчивых в ограниченной (соотв., Постоянное) Модель утечки вместе с нашим истинным моделирования экстрагируемой утечки устойчивыми Система аргумент (TSE-LR) NIZK, мы получаем FLr подписей в ограниченной (соотв., постоянное) модель утечки. Несколько интересно, в отличие от последних конструкций схем FLR подписи [24][25], наши конструкции также обеспечить в шумный модель утечки [11]. В интересах пространстве, здесь мы ограничим наше обсуждение в построение схемы подписи FLR в ограниченной модели утечки. Мы отсылаем читателя к полной версии для дальнейшего обсуждения на постоянной утечки модель и модель утечки шумно.

Извлекаемые при выполнении ниентерактивные системы. Сначала (неофициально) определяет в порядке на основе тегов LR-NIZK система аргумент и дать строительство для одна и та же. Напомним сначала понятие-NIZK, как определено в [22]. Очень грубо, NIZK система доказательств верно моделирование извлекаемые если существует п.п. экстрактор которые (когда дано экстракции люк на CRS) извлекает свидетеля от любого доказательства производится противник А (с использованием тегов тег *), даже если ранее видели некоторые смоделированные доказательства для других истинных утверждений (с разными теги). Наше понятие LR-NIZK расширяет понятие NIZK, позволяя противник, чтобы получить (в дополнение к имитации доказательств) утечка на свидетеля и случайность используется для генерации моделируемых доказательства.

Основанная на ключах система аргументов LR-NIZK непосредственно следует из адаптивно безопасной UC-NIZK из Грота и др. [34]. Полная конструкция и доказательство приведены в полной версии

Полностью устойчивые к утечкам подписи в модели с ограниченнными утечками. Мы будем следовать определению схем подписей в связи с Бойл и др [25]. Очень кратко, мы говорим, что схема подписи полностью утечки устойчивыми в модели с ограниченной утечкой, если она неподдельна против любого противника, который п.п. можно получить полиномиально много подписей по выфбранным сообщениям, а также ограниченная утечки информации от секретного ключа и случайности, используемый подписания алгоритм и алгоритм генерации ключей) на протяжении всего срока службы системы. Из-за нехватки места, мы опускаем формальное определение подписей FLR в этом документе. Перейдем теперь к описании конструкции.Доказательство защиты отложено до полной версии.

Наша конструкция. Пусть будет устойчивой к утечком жёстко связанной с ppt алгоритмом выборки . Пусть знакозависимой системой аргументов для отношения . Схема подписи описана далее.

  • : Пример . Выход и .
  • : Выход , где . (Здесь m метка аргумента.)
  • : Выход .
TemplateTheoremIcon.svg Теорема Теорема 3
Если является -устойчиваой к утечкам жёстко связной и является знакозависимой верно смоделированной устойчивой к утечкам системой аргументов, то (KeyGen, Sign, Verify) является -полностью устойчивой к утечкам схемой подписи в модели с ограниченными утечками.
Доказательство


Заключение

В этой статье мы приведем определения и рассматриваем конструкцию устойчивых к утечкам систем доказательства с нулевым разглашением, где противостоящий проверяющий может получить произвольную ограниченную утечку в момент, когда доказывающий находится в состоянии работы с секретами. Естественно, также было необходимо рассмотреть (противоположный) сценарий, при котором злоумышленник-доказывающий может получить произвольную утечку по случайные ключам проверяющего во время выполнения протокола. Вопрос, который можно задать, можно ли построить интерактивные доказательства которые будут звучать также в подобном сценарии. Идя еще дальше, мы можем рассмотреть вопрос о построении интерактивной системы доказательства, что одновременно удовлетворяет понятиям из "прочности утечек" и устойчивых к утечкам доказательств с нулевым разглашением. В полной версии, мы приводим положительные результаты для обеих этих систем.

Возникает естественный вопрос после проведения нашей работы: можем ли мы расширить наши представления и результаты с установкой защищённого взаимодействия двух и более лиц. К этому вопросу мы обратимся в предстоящей работе.

Контакты авторов материала

  1. Университет Калифорнии(UCLA), Электронная почта: sanjamg@cs.ucla.edu
  2. Университет Калифорнии(UCLA), Электронная почта: abhishek@cs.ucla.edu
  3. Университет Калифорнии(UCLA), Электронная почта: sahai@cs.ucla.edu

Литература

  1. Goldwasser, S., Micali, S., Rackoff, C.: The knowledge complexity of interactive proof-systems. In: STOC (1985)
  2. Dwork, C., Naor, M., Sahai, A.: Concurrent zero knowledge. In: STOC (1998)
  3. Dolev, D., Dwork, C., Naor, M.: Nonmalleable cryptography. SIAM J. Comput. (2000)
  4. Kocher, P.C.: Timing attacks on implementations of diffie-hellman, rsa, dss, and other systems. In: CRYPTO (1996)
  5. Anderson, R., Kuhn, M.: Tamper resistance: a cautionary note. In: WOEC (1996)
  6. Quisquater, J.J., Samyde, D.: Electromagnetic analysis (ema): Measures and counter-measures for smart cards. In: E-smart (2001)
  7. Gandolfi, K., Mourtel, C., Olivier, F.: Electromagnetic analysis: Concrete results. In: CHES (2001)
  8. 8,0 8,1 Halderman, J.A., Schoen, S.D., Heninger, N., Clarkson, W., Paul, W., Calandrino, J.A., Feldman, A.J., Appelbaum, J., Felten, E.W.: Lest we remember: Cold boot attacks on encryption keys. In: USENIX Security Symposium (2008)
  9. Dziembowski, S., Pietrzak, K.: Leakage-resilient cryptography. In: FOCS (2008)
  10. Akavia, A., Goldwasser, S., Vaikuntanathan, V.: Simultaneous hardcore bits and cryptography against memory attacks. In: TCC (2009)
  11. 11,0 11,1 Pietrzak, K.: A leakage-resilient mode of operation. In: EUROCRYPT (2009)
  12. Dodis, Y., Kalai, Y.T., Lovett, S.: On cryptography with auxiliary input. In: STOC (2009)
  13. 13,0 13,1 Alwen, J., Dodis, Y., Wichs, D.: Leakage-resilient public-key cryptography in the bounded-retrieval model. In: CRYPTO (2009)
  14. 14,0 14,1 Naor, M., Segev, G.: Public-key cryptosystems resilient to key leakage. In: CRYPTO (2009)
  15. 15,0 15,1 15,2 Katz, J., Vaikuntanathan, V.: Signature schemes with bounded leakage resilience. In: ASIACRYPT (2009)
  16. Dodis, Y., Goldwasser, S., Kalai, Y.T., Peikert, C., Vaikuntanathan, V.: Public-key encryption schemes with auxiliary inputs. In: TCC (2010)
  17. Faust, S., Kiltz, E., Pietrzak, K., Rothblum, G.N.: Leakage-resilient signatures. In: TCC (2010)
  18. Alwen, J., Dodis, Y., Naor, M., Segev, G., Walfish, S., Wichs, D.: Public-key en- cryption in the bounded-retrieval model. In: EUROCRYPT (2010)
  19. Kiltz, E., Pietrzak, K.: Leakage resilient elgamal encryption. In: ASIACRYPT (2010)
  20. Brakerski, Z., Kalai, Y.T., Katz, J., Vaikuntanathan, V.: Overcoming the hole in the bucket: Public-key cryptography resilient to continual memory leakage. In: FOCS (2010)
  21. 21,0 21,1 21,2 21,3 21,4 Dodis, Y., Haralambiev, K., Lopez-Alt, A., Wichs, D.: Cryptography against con- tinuous memory attacks. In: FOCS (2010)
  22. 22,0 22,1 22,2 22,3 22,4 22,5 22,6 22,7 22,8 22,9 Dodis, Y., Haralambiev, K., Lopez-Alt, A., Wichs, D.: Eficient public-key cryp- tography in the presence of key leakage. In: ASIACRYPT (2010)
  23. Lewko, A., Rouselakis, Y., Waters, B.: Achieving leakage resilience through dual system encryption. In: TCC (2011)
  24. 24,0 24,1 24,2 Malkin, T., Teranishi, I., Vahlis, Y., Yung, M.: Signatures resilient to continual leakage on memory and computation. In: EUROCRYPT (2011)
  25. 25,0 25,1 25,2 25,3 Boyle, E., Segev, G., Wichs, D.: Fully leakage-resilient signatures. In: EURO- CRYPT (2011)
  26. 26,0 26,1 Lewko, A., Lewko, M., Waters, B.: How to leak on key updates. In: STOC (2011)
  27. Ishai, Y., Sahai, A., Wagner, D.: Private circuits: Securing hardware against prob- ing attacks. In: CRYPTO (2003)
  28. Ishai, Y., Prabhakaran, M., Sahai, A., Wagner, D.: Private circuits ii: Keeping secrets in tamperable circuits. In: EUROCRYPT (2006)
  29. Faust, S., Rabin, T., Reyzin, L., Tromer, E., Vaikuntanathan, V.: Protecting circuits from leakage: the computationally-bounded and noisy cases. In: EURO- CRYPT (2010)
  30. Ajtai, M.: Secure computation with information leaking to an adversary. In: STOC (2011)
  31. Ishai, Y., Kushilevitz, E., Ostrovsky, R., Sahai, A.: Extracting correlations. In: FOCS (2009)
  32. Micali, S., Reyzin, L.: Physically observable cryptography. In: TCC (2004)
  33. 33,0 33,1 33,2 33,3 33,4 33,5 33,6 Katz, J.: Universally composable multi-party computation using tamper-proof hardware. In: EUROCRYPT (2007)
  34. 34,0 34,1 34,2 34,3 34,4 34,5 Groth, J., Ostrovsky, R., Sahai, A.: Perfect non-interactive zero knowledge for np. In: EUROCRYPT (2006)
  35. 35,0 35,1 Chandran, N., Goyal, V., Sahai, A.: New constructions for UC secure computation using tamper-proof hardware. In: EUROCRYPT (2008)
  36. 36,0 36,1 Moran, T., Segev, G.: David and goliath commitments: UC computation for asym- metric parties using tamper-proof hardware. In: EUROCRYPT (2008)
  37. 37,0 37,1 Damgård, I., Nielsen, J.B., Wichs, D.: Universally composable multiparty compu- tation with partially isolated parties. In: TCC (2009)
  38. Sahai, A.: Non-malleable non-interactive zero knowledge and adaptive chosen- ciphertext security. In: FOCS (1999)
  39. De Santis, A., Di Crescenzo, G., Ostrovsky, R., Persiano, G., Sahai, A.: Robust non-interactive zero knowledge. In: CRYPTO (2001)
  40. Pass, R., Rosen, A.: New and improved constructions of non-malleable crypto- graphic protocols. In: STOC (2005)
  41. Beaver, D.: Adaptive zero knowledge and computational equivocation. In: STOC (1996)
  42. Canetti, R., Feige, U., Goldreich, O., Naor, M.: Adaptively secure multi-party computation. In: STOC (1996)
  43. 43,0 43,1 Canetti, R., Lindell, Y., Ostrovsky, R., Sahai, A.: Universally composable two- party and multi-party secure computation. In: STOC (2002)
  44. Lindell, Y., Zarosim, H.: Adaptive zero-knowledge proofs and adaptively secure oblivious transfer. In: TCC (2009)
  45. 45,0 45,1 Feige, U., Shamir, A.: Zero knowledge proofs of knowledge in two rounds. In: CRYPTO. pp. 526{545 (1989)
  46. 46,0 46,1 Goldreich, O., Kahan, A.: How to construct constant-round zero-knowledge proof systems for NP. J. Cryptology (1996)
  47. Rosen, A.: A note on constant-round zero-knowledge proofs for NP. In: TCC (2004)
  48. Micali, S., Pass, R.: Local zero knowledge. In: STOC (2006)
  49. Bitansky, N., Canetti, R., Halevi, S.: Leakage tolerant interactive protocols. Cryp- tology ePrint Archive, Report 2011/204 (2011)
  50. Prabhakaran, M., Rosen, A., Sahai, A.: Concurrent zero knowledge with logarith- mic round-complexity. In: FOCS (2002)
  51. Naor, M., Yung, M.: Universal one-way hash functions and their cryptographic applications. In: STOC (1989)
  52. Halevi, S., Micali, S.: Practical and provably-secure commitment schemes from collision-free hashing. In: CRYPTO (1996)
  53. Damgård, I., Pedersen, T.P., Pfitzmann, B.: On the existence of statistically hiding bit commitment schemes and fail-stop signatures. J. Cryptology (1997)
  54. Naor, M.: Bit commitment using pseudo-randomness (extended abstract). In: CRYPTO (1989)
  55. Goldreich, O., Ostrovsky, R.: Software protection and simulation on oblivious RAMs. J. ACM (1996)
  56. Goldwasser, S., Kalai, Y.T., Rothblum, G.N.: One-time programs. In: CRYPTO (2008)
  57. Goyal, V., Ishai, Y., Sahai, A., Venkatesan, R., Wadia, A.: Founding cryptography on tamper-proof hardware tokens. In: TCC (2010)
  58. Goyal, V., Ishai, Y., Mahmoody, M., Sahai, A.: Interactive locking, zero-knowledge PCPs, and unconditional cryptography. In: CRYPTO (2010)
  59. Juma, A., Vahlis, Y.: Protecting cryptographic keys against continual leakage. In: CRYPTO (2010)
  60. Goldwasser, S., Rothblum, G.N.: Securing computation against continuous leakage. In: CRYPTO (2010)
  61. 61,0 61,1 Lin, H., Pass, R., Venkitasubramaniam, M.: A unified framework for concurrent se- curity: universal composability from stand-alone non-malleability. In: STOC (2009)
  62. Canetti, R., Fischlin, M.: Universally composable commitments. In: CRYPTO (2001)
  63. Barak, B., Canetti, R., Nielsen, J.B., Pass, R.: Universally composable protocols with relaxed set-up assumptions. In: FOCS (2004)