通用协议（八）恶意模型分析

两方安全计算恶意模型分析

在存在恶意敌手的两方安全模型中，核心是要定义理想与现实不可区分，这个在之前的描述中已经比较清晰了，进一步，我们讨论一些相关的属性。

一个重要的属性在这个模型被实现就是保密性，也就是说，所有的敌手能够有学习通过参与协议的方式，并且使用可能的任意策略，能够本质的推断出相应的输出仅仅通过自己的方式。另一个属性是在这个模型中被实现是正确性，这意味着诚实方的输出必须符合一个输入对，这个输入对的元素必须对应等于诚实方的实际输入。更进一步，对应于敌手的元素不能影响诚实方的输入。即为，诚实方的输入是诚实的，恶意方的输入不能影响诚实方的输入。这两个模型很容易被实现通过这个模型，但是将这个模型并不能实现通过联和考虑这种属性。

进一步，我们需要去强调这个模型中隐含的另外一个性质，不失一般性的，这个模型暗示着，在真实的执行这个协议的最后阶段，每一方都知道对应输入的值对于获取到的输出。这就是说，当一个恶意的第一方获得了输出v，他知道一个x` (这个值不必要满足等于初始化的本地输入x) 就像例如 v = f1（x’ ,y）对于一些y. 这种知识被实现等价的在理想模型中，参与方将输入给与TPP，这个输入可能是被修改过的。例如, 第一方使用恶意的策略A1，然后在现实模型中，输出值对应输入对（B1(x）,y) ；B1是由理想模型敌手由真实模型敌手衍生出来。

PS：这里主要还是说的是存在于现实模型的一种恶意行为，也会出现在理想模型中，例如在现实模型执行完成后，两方一定会获得对方的输入和分别计算得到的输出，但是这里有一个知识泄露的问题，例如第一方是恶意的，他获得了输出和对方的输入后，他可能也会获得一个不同于初始值的输入，依然满足计算得到合法输出。在理想模型中也存在这样的问题，两个参与方均将自己的输入给TPP。但是获得的输入可能是修改过的，却不一定影响输出。

在当前的描述中，并没有讨论敌手A 转换敌手B。虽然在安全模型中，还没有能保证这两种敌手转换是有效的，但是在工作中这种转换都是多项式时间可计算的。

在真实和理想情况下敌手的转换问题此处还没有详细说明！

进一步的讨论，我们首先确定一个情况，一方提前终止协定这种情况是不能避免的，但是强制将这个能力强制的设计给第一方是有点随意的。更一般的方法可能有意义的，但是当前的这种描述更加的简单和满足我们接下来的描述。一个不相关的时间是不同于半诚实模型，我们不能包括明显的输出在理想和现实模型中。这里主要说的就是对于终止问题的设定讨论，所以提前终止问题其实主要针对的是随机函数才有用，如果是确定性函数，那么就没有意义。

一个新的角度

首先一个更简单的安全定义将会被使用在一个特别的例子单输出函数，单输出函数的例子就是指一方获得输出。假设，不是一般性，仅仅只有第一方获得数输出从函数 f . 也就是说，f(x,y) = (f1(x,y), z). 函数的输出就是第一方计算的结果。在这种情况下，我们不需要关注第一方输出后的行为，因为第二方无法获得输出，所以也就不需要考虑因为执行以后带来了的问题。也就是说，这种预先终止的行为直接通过一种单向输出的函数来讨论。所以理想的模型如下：

Input : 每一方获得一个输入，定义为u;

Sending inputs to the trusted party: 一个诚实方总是发送 u 给TPP。一个恶意参与方可能根据于 u 要么终止协议执行或者发送一个u` 给TPP. 然而，不失一般性，在这个阶段终止就是想可信方发送了一个特殊的符号。

The answer of the trusted party：当诚实方获得了一对输入（x,y）诚实方给第一方输出计算结果。不失一般性，第一方获得输出，因为第二方不会收到任何信息。

Outputs：一个诚实方总是输出他从TPP获得的信息。一个恶意敌手可能会输出一个随机的关于初始输入的函数结果。

因此，在理想模型被捕获通过以下的定义，函数B1和B2表现出了所有可能的操作在模型中。B1和B2的视图和上文的定义是类似的。

存在恶意敌手下两方计算的安全模型定义

定义在恶意敌手下的两方安全计算理想模型

在这个理想模型下，fun 是一个单输出函数。定义和之前的定义相同。

定义在恶意敌手下的两方安全计算现实模型

已经定义了现实和理想两个模型，我们获得了对应的安全定义，简单来说，这个定义断言了一个安全两方协议在现实模型下模拟理想模型。允许敌手在理想模型中有能力去模拟那群真实协议执行在任何允许的敌手存在情况下。即，理想模型有能力去模拟安全真实协议的执行。

安全性定义

以上内容参考《Foundations.of.Cryptography.Volume.2.Basic.Applications(Oded.Goldreich)》