Red de veto anónimo

Protocolo de computación segura entre múltiples partes

En criptografía, la red de veto anónimo (o AV-net) es un protocolo de computación seguro multipartito para calcular la función booleana-OR. Fue propuesta por primera vez por Feng Hao y Piotr Zieliński en 2006. ^[1] Este protocolo presenta una solución eficiente al problema de los criptógrafos de Dining .

Un protocolo relacionado que calcula de forma segura una función de conteo booleano es la red de votación abierta (o OV-net).

Descripción

Todos los participantes se ponen de acuerdo sobre un grupo con un generador de orden primo en el que el problema del logaritmo discreto es difícil. Por ejemplo, se puede utilizar un grupo de Schnorr . Para un grupo de participantes, el protocolo se ejecuta en dos rondas. ${\displaystyle \scriptstyle G}$ ${\displaystyle \scriptstyle g}$ ${\displaystyle \scriptstyle q}$ ${\displaystyle \scriptstyle n}$

Ronda 1 : cada participante selecciona un valor aleatorio y publica la clave pública efímera junto con una prueba de conocimiento cero para la prueba del exponente . En el RFC 8235 se encuentra una descripción detallada de un método para dichas pruebas  . ${\displaystyle \scriptstyle i}$ ${\displaystyle \scriptstyle x_{i}\,\in _{R}\,\mathbb {Z} _{q}}$ ${\displaystyle \scriptstyle g^{x_{i}}}$ ${\displaystyle \scriptstyle x_{i}}$

Después de esta ronda, cada participante calcula:

${\displaystyle g^{y_{i}}=\prod _{j<i}g^{x_{j}}/\prod _{j>i}g^{x_{j}}}$

Ronda 2 : cada participante publica una prueba de conocimiento cero para la prueba del exponente . Aquí, los participantes eligen si quieren enviar un bit "0" (sin veto), o un valor aleatorio si quieren enviar un bit "1" (veto). ${\displaystyle \scriptstyle i}$ ${\displaystyle \scriptstyle g^{c_{i}y_{i}}}$ ${\displaystyle \scriptstyle c_{i}}$ ${\displaystyle \scriptstyle c_{i}\;=\;x_{i}}$

Después de la segunda ronda, cada participante computa . Si nadie vetó, cada uno obtendrá . Por otro lado, si uno o más participantes vetaron, cada uno tendrá . ${\displaystyle \scriptstyle \prod g^{c_{i}y_{i}}}$ ${\displaystyle \scriptstyle \prod g^{c_{i}y_{i}}\;=\;1}$ ${\displaystyle \scriptstyle \prod g^{c_{i}y_{i}}\;\neq \;1}$

El diseño del protocolo

El protocolo está diseñado combinando claves públicas aleatorias de una manera estructurada para lograr un efecto de desaparición. En este caso, . Por ejemplo, si hay tres participantes, entonces . Una idea similar, aunque en un contexto sin clave pública, se remonta a la solución original de David Chaum al problema de los criptógrafos de Dining . ^[2] ${\displaystyle \scriptstyle \sum {x_{i}\cdot y_{i}}\;=\;0}$ ${\displaystyle \scriptstyle x_{1}\cdot y_{1}\,+\,x_{1}\cdot y_{2}\,+\,x_{3}\cdot y_{3}\;=\;x_{1}\cdot (-x_{2}\,-\,x_{3})\,+\,x_{2}\cdot (x_{1}\,-\,x_{3})\,+\,x_{3}\cdot (x_{1}\,+\,x_{2})\;=\;0}$

Referencias

1. F. Hao, P. Zieliński. Protocolo de veto anónimo en dos rondas. Actas del 14.º Taller internacional sobre protocolos de seguridad , 2006.
2. David Chaum. El problema de los criptógrafos en la mesa: imposibilidad de rastrear incondicionalmente a los remitentes y destinatarios Journal of Cryptology, vol. 1, n.º 1, págs. 65-75, 1988