La Computación Segura Bipartita o 2PC (siglas del inglés Secure Two-Party Computation) es un subconjunto de la Computación segura multipartita, cuyo objetivo es crear protocolos que permitan a dos partes computar de manera conjunta una función arbitraria de sus entradas sin compartir entre ellas el valor de sus entradas.
Es frecuente que la computación segura bipartita involucre funciones criptográficas dando lugar a protocolos criptográficos bipartitos
Uno de los ejemplos mejor conocidos de 2PC es el Problema de los Millonarios, en el cual dos partes, A y B, son millonarios que quieren determinar quien es el más rico sin revelar el patrimonio de cada uno. Formalmente A tiene una riqueza de , B tiene una riqueza de , y se quiere determinar si es verdad que sin revelar los valores de o .[1]
Un problema de contexto similar (aunque su propuesta es un poco más acotada que la de Yao) fue planteado por Manuel Blum,[2] donde se desea lanzar una moneda a través de un teléfono.
El problema consiste en dos participantes Alice y Bob tienen algún dato privado, y , respectivamente. Los participantes desean calcular el valor de una función pública evaluándola en los puntos y . Un protocolo 2PC se considera seguro si ninguno de los dos participantes puede aprender alguna información adicional del dato del otro, además de la que pueda deducir del resultado de la función.
En su propuesta, Andrew C. Yao plantea dos escenarios posibles bajo los cuales se puede ejecutar un protocolo para 2PC:
- Participantes honestos, pero curiosos
- Participantes potencialmente deshonestos.
Cabe mencionar que el problema para participantes potencialmente deshonestos no fue completamente solucionado hasta el año 2007, cuando Yehuda Lindell y Benny Pinkas plantean un protocolo que es seguro antes este tipo de participantes.
Ejemplos
Protocolo para el Problema de los Millonarios
El problema de los millonarios, inicialmente planteado por Yao al presentar el tema de Computación Bipartita Segura, consiste en lo siguiente: Alice y Bob son dos millonarios, quienes poseen y millones respectivamente y desean saber quién posee la mayor fortuna, sin revelar cuánto dinero tiene cada uno. El protocolo propuesto para solucionar este problema en particular es el siguiente:
Sean y los valores secretos de Alice y Bob respectivamente, con . Sean y dos funciones de cifrado y descifrado (en un sistema de cifrado simétrico) bajo la clave , respectivamente.
- Bob escoge aleatoreamente un entero de bits, y calcula privadamente el valor .
- Bob envía a Alice el valor .
- Alice calcula privadamente los valores para .
- Alice genera aleatoreamente un primo de bits, y calcula los valores para cada . Si todos los difieren por al menos 2 (en el sentido de la aritmética modular), parar; de otro modo, repetir hasta que los difieran todos en al menos 2. Sean y los valores finales.
- Alice envía el primo y los siguientes 10 números a Bob: . La suma siempre es módulo .
- Bob mira el -ésimo número de la secuencia enviada por Alice, y decide que si es igual a , y que de otro modo.
- Bob le comunica el resultado a Alice.
Protocolo para lanzamiento de una moneda
La situación es la siguiente: Alice y Bob están divorciados y viven en ciudades distantes, por lo que deben decidir quin se queda con el auto a través del teléfono. Para esto, Alice lanza una moneda al aire y Bob debe adivinar si salió cara o sello, pero Bob debe tener una certeza de que Alice no manipula el resultado a su favor.
El protocolo planteado originalmente por Blum es como sigue:
- Bob elige aleatoreamente dos primos y , congruentes con . Calcula y se lo envía a Alice.
- Alice comprueba que y que para algún existe y tal que .
- Alice elige valores aleatorios y envía a Bob sus cuadrados junto con .
- Bob comprueba , y envía a Alice , y .
- Alice comprueba y , y determina la secuencia aleatoria: 1 si Bob acertó sobre , y −1 en otro caso.
- Alice envía a Bob los .
- Bob comprueba los cuadrados.
Protocolo para lanzar una moneda basado en Hash
Posteriormente se han creado diversas soluciones más eficientes y más seguras para este problema, entre ellas destaca la utilización de funciones de Hash para ocultar el resultado. Asumiendo la existencia de una función unidireccional H, el protocolo es el siguiente:
- Alice y Bob acuerdan una función .
- Alice elige un entero secretamente (lanzamiento de la moneda), y calcula y se lo envía a Bob.
- Bob dice a Alice si cree que es par o impar (apuesta de Bob).
- Alice comunica a Bob si acertó o no, y lo convence enviándole (Bob puede calcular entonces , verificando que sea igual al que recibió).
Solución a cualquier problema de 2PC
En 1986, Andrew C. Yao propone una solución[3] para el problema de 2PC para calcular cualquier función F. Para esto crea un circuito, representación gráfica de la función booleana, y uno de los participantes se encarga de hacerlo ilegible, es decir, codifica cada una de las entradas a las compuertas del circuito con una máscara que solo ella conoce y que además tiene su entrada pre-cargada. La forma de codificar estas entradas es cifrando los valores posibles bajo diversas claves solo conocidas por el participante que lo hace.
El protocolo completo funciona de la siguiente forma:
- Alice construye un circuito booleano ilegible, el que contiene tablas para cada compuerta codificadas con una máscara y con su entrada pre-llenada. Luego le envía el circuito a Bob.
- Bob le pide a Alice la codificación de los valores que debe ingresar a la entrada principal mediante transferencia inconsciente.
- Bob ha recibido un circuito ilegible y la correspondencia de su entrada con los valores codificados de la tabla. Corre el circuito y obtiene el resultado de la función que representa el circuito.
- Bob le envía el resultado a Alice.
Otras propuestas
La gran mayoría de los protocolos desarrollados a la fecha utilizan como base la propuesta de Yao de circuitos booleanos. El año 2004 un grupo de investigadores desarrollan Fairplay,[4] una optimización del protocolo de Yao, mejorando su rendimiento. En el mismo 2004, Y. Lindell y B. Pinkas[5] desarrollan una prueba de seguridad para el protocolo de Yao para adversarios maliciosos, para finalmente el año 2007 implementar un protocolo eficiente.[6]
Finalmente en 2007, S. Jarecki y V. Shmatikov plantean una alternativa para resolver 2PC, que consiste en enviar los valores de entrada usando Compromiso de Bits.
Referencias
- ↑ Andrew Chi-Chih Yao: Protocols for Secure Computations (Extended Abstract) FOCS 1982: 160-164
- ↑ Manuel Blum, Coin Flipping by Telephone, Proceedings of CRYPTO 1981, pp. 11-15, 1981, reprinted in SIGACT News vol. 15, pp. 23-27, 1983.
- ↑ A. Yao. How to Generate and Exchange Secrets. In 27th FOCS, pages 162--167, 1986. 21
- ↑ D. Malkhi, N. Nisan, B. Pinkas and Y. Sella. Fairplay - A Secure Two-Party Computation System. Proceedings of Usenix Security '2004, August 9-13, 2004.
- ↑ Y. Lindell and B. Pinkas. A Proof of Security of Yao's Protocol for Two-Party Computation. To appear in the Journal of Cryptology.
- ↑ Y. Lindell and B. Pinkas. An efficient protocol for secure two-party computation in the presence of malicious adversaries. In Proc. EUROCRYPT, 2007
Enlaces externos