如何在阈值解密中减少不当行为

boneh_
发布于 2024-01-10 12:12
阅读 12

本文讨论了现有阈值解密系统在理性参与者存在时的不安全性，指出解密方可能因出售密钥而获利，从而破坏加密的目的。文章提出了一种新的阈值解密系统，该系统配备了密码学追踪算法，即使多个参与者合谋创建盗版解码器，也能追踪到至少一个参与者，从而提高系统的安全性。

Dan Boneh, Aditi Partap, 和 Lior Rotem

当参与者是理性行为者时，当前的门限解密系统是不安全的。正如我们在下面解释的，解密方可能会被贿赂以出售他们的密钥，而**没有问责**。因此，旨在保护门限解密系统的解密方可以通过将他们的解密密钥出售给出价最高者，或所有出价者，来获得无风险的回报。这首先就违背了加密的目的。

在这篇文章中，我们提出了一种解决这个问题的方法。完整的细节可以在我们的[论文](https://eprint.iacr.org/2023/1724)中找到。但让我们从头开始。什么是门限解密？

在门限解密系统中，存在一个公钥，任何人都可以使用它来加密数据。相应的秘密解密密钥在 _n_ 个受信任的参与者之间秘密共享，因此任何 _t_ 个受信任的参与者的 quorum 都可以解密给定的密文。更准确地说，解密工作如下：

1\. 请求者将密文发送给所有 _n_ 个受信任的参与者，

2\. 同意解密的参与者应用他们的密钥来获得一个解密份额，然后将它发回给请求者，并且

3\. 请求者可以组合任意 _t_ 个有效的解密份额来获得明文。

关键是，攻击者如果破坏少于 _t_ 个解密方，就无法了解目标密文的解密情况。要了解更多关于门限解密的信息，请参考[应用密码学研究生教材](https://toc.cryptobook.us/)（第22章）。

门限解密被广泛应用于各种应用中。一些区块链使用它来实现一个[加密的内存池](https://arxiv.org/abs/2307.10878)，其中交易被加密，直到一个区块被最终确定。这旨在减少抢先交易和其他 MEV 问题。门限解密也被应用于[私有投票系统](https://link.springer.com/chapter/10.1007/3-540-69053-0_9)和[密封投标拍卖](https://link.springer.com/chapter/10.1007/978-3-540-46588-1_28)。在所有这些应用中，数据首先被加密的原因是确保在特定时间之前，数据不会以明文形式提供。例如，在密封投标拍卖中，加密用于确保投标在投标窗口关闭之前保持隐藏。在 _n_ 个受信任的参与者之间共享密钥确保即使 _t_-1 个参与者是不诚实的，并且提前解密了数据，数据仍然保持隐藏，直到指定的时间。在指定的时间，任何 _t_ 个诚实的参与者都可以解密数据。

```

问题是，一个想要通过提前解密密文来获得优势的搜索者可以向一些 _t_ 个受信任的参与者提供贿赂，以出售他们的解密密钥。一旦搜索者获得 _t_ 个密钥份额，它就可以在舒适的家中解密任何它选择的密文。从解密方的角度来看，这种行为只是提供了额外的收入。

阻止这种不当行为的标准方法是引入一种惩罚（slashing）机制。例如，如果一个举报人在链上发布了一个受信任方的解密密钥，那么该方将被 slash。希望是 slashing 的风险会阻止受信任方出售他们的密钥份额。

**不幸的是，这行不通**。问题在于，一个聪明的解密方 quorum 不会按原样将他们的密钥出售给搜索者。相反，他们可以通过利用现有门限解密系统的一个属性来规避 slashing。即，_t_ 方可以协同构建一个无法追溯到任何一方的主密钥。因此，_t_ 方，如果他们愿意被贿赂，可以将这个主密钥出售给搜索者，而不用担心 slashing。他们出售给搜索者的信息不会泄露他们的身份。这为各方提供了无风险的利润。

**怎么办？** 我们需要的是这样一种门限解密系统：无论一个 quorum 的参与者如何组合他们的密钥，总有一种方法可以将结果数据追溯到至少其中一个，或者可能是所有参与者。我们通过将各方出售给搜索者的数据视为一个 _解密算法_ 来对此进行建模，我们将其表示为 _D_( _⋅_)。当这个算法被赋予一个格式良好的密文 _c_ 作为输入时，它会输出 _c_ 的解密结果。这个算法 _D_( _⋅_) 通常被称为解码器。上述的各方将主密钥出售给搜索者的策略是这种通用范例的一个特例；他们出售的解码器通过简单地将主密钥应用于给定的密文 _c_ 来操作。这样的解码器无法追溯到创建它的任何一方。我们在此强调，一个有经验的 quorum 的参与者可以选择使用更聪明的策略来构建解码器 _D_。事实上，他们可能会尝试混淆 _D_ 的实现，使其尽可能难以理解 _D_ 的工作原理。

在[我们的工作](https://eprint.iacr.org/2023/1724)中，我们设计了新的门限解密系统，这些系统配备了一种密码学的**追踪** 算法，该算法具有以下属性。假设 _t_ 个或更多的参与者聚集在一起并生成了一个可用的无状态解码器 _D_。然后我们的追踪算法将 _D_ 作为一个黑盒进行交互，并输出至少一个创建 _D_ 的群体的成员。追踪算法通过向解码器 _D_ 输入格式错误的密文来工作。解码器将成功解密一些密文，并无法解密其他密文。成功和失败的模式使得我们的追踪算法能够可靠地识别出创建 _D_ 的群体中的至少一方。

我们的出发点是一种被称为[叛徒追踪](https://en.wikipedia.org/wiki/Traitor_tracing)的密码学技术。这里 _n_ 个参与者各自持有一个秘密解密密钥，并且每个参与者都可以**独立地**解密一个格式良好的密文。可以想象一下 DVD 播放器，每个 DVD 播放器都应该能够独立地解密加密的 DVD 光盘。但是，如果一个参与者子集 _J⊆_\[ _n_\] 串通起来创建一个可以解密格式良好的密文的盗版解码器 _D_( _⋅_)，那么就可以仅使用对解码器 _D_ 的黑盒访问，将 _D_ 追踪到 _J_ 的至少一个成员。多年来，叛徒追踪受到了很多关注，并且已经开发了多种方案。

在我们的工作中，我们开发了**门限解密的叛徒追踪**的概念，其中现在 _t_ 个或更多的参与者的子集**必须**协同工作才能创建一个盗版解码器 _D_( _⋅_)。我们的动机是保护门限解密的真实部署，在这种部署中，存在强大的经济动机来贿赂受信任方，以出售一个可用的解码器 _D_( _⋅_)。我们提出了用于门限解密的叛徒追踪的多种构造，其中密文和公钥都很短，因此在链上发布这些数据的成本很低。特别是，我们系统中的密文只是四个群元素，与 _n_ 和 _t_ 无关。我们将细节以及未来工作的许多方向留给[完整的论文](https://eprint.iacr.org/2023/1724)。

我们希望这种方法能帮助阻止门限解密系统中的不当行为，并帮助在实际应用中保护它们的安全性。

>- 原文链接： [medium.com/%40boneh/how-...](https://medium.com/%40boneh/how-to-slash-misbehavior-in-threshold-decryption-0888af5ae3b6)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

Dan Boneh, Aditi Partap, 和 Lior Rotem

当参与者是理性行为者时，当前的门限解密系统是不安全的。正如我们在下面解释的，解密方可能会被贿赂以出售他们的密钥，而没有问责。因此，旨在保护门限解密系统的解密方可以通过将他们的解密密钥出售给出价最高者，或所有出价者，来获得无风险的回报。这首先就违背了加密的目的。

在这篇文章中，我们提出了一种解决这个问题的方法。完整的细节可以在我们的论文中找到。但让我们从头开始。什么是门限解密？

在门限解密系统中，存在一个公钥，任何人都可以使用它来加密数据。相应的秘密解密密钥在 n 个受信任的参与者之间秘密共享，因此任何 t 个受信任的参与者的 quorum 都可以解密给定的密文。更准确地说，解密工作如下：

1. 请求者将密文发送给所有 n 个受信任的参与者，

2. 同意解密的参与者应用他们的密钥来获得一个解密份额，然后将它发回给请求者，并且

3. 请求者可以组合任意 t 个有效的解密份额来获得明文。

关键是，攻击者如果破坏少于 t 个解密方，就无法了解目标密文的解密情况。要了解更多关于门限解密的信息，请参考应用密码学研究生教材（第22章）。

门限解密被广泛应用于各种应用中。一些区块链使用它来实现一个加密的内存池，其中交易被加密，直到一个区块被最终确定。这旨在减少抢先交易和其他 MEV 问题。门限解密也被应用于私有投票系统和密封投标拍卖。在所有这些应用中，数据首先被加密的原因是确保在特定时间之前，数据不会以明文形式提供。例如，在密封投标拍卖中，加密用于确保投标在投标窗口关闭之前保持隐藏。在 n 个受信任的参与者之间共享密钥确保即使 t-1 个参与者是不诚实的，并且提前解密了数据，数据仍然保持隐藏，直到指定的时间。在指定的时间，任何 t 个诚实的参与者都可以解密数据。

问题是，一个想要通过提前解密密文来获得优势的搜索者可以向一些 t 个受信任的参与者提供贿赂，以出售他们的解密密钥。一旦搜索者获得 t 个密钥份额，它就可以在舒适的家中解密任何它选择的密文。从解密方的角度来看，这种行为只是提供了额外的收入。

不幸的是，这行不通。问题在于，一个聪明的解密方 quorum 不会按原样将他们的密钥出售给搜索者。相反，他们可以通过利用现有门限解密系统的一个属性来规避 slashing。即，t 方可以协同构建一个无法追溯到任何一方的主密钥。因此，t 方，如果他们愿意被贿赂，可以将这个主密钥出售给搜索者，而不用担心 slashing。他们出售给搜索者的信息不会泄露他们的身份。这为各方提供了无风险的利润。

怎么办？ 我们需要的是这样一种门限解密系统：无论一个 quorum 的参与者如何组合他们的密钥，总有一种方法可以将结果数据追溯到至少其中一个，或者可能是所有参与者。我们通过将各方出售给搜索者的数据视为一个 解密算法 来对此进行建模，我们将其表示为 D( ⋅)。当这个算法被赋予一个格式良好的密文 c 作为输入时，它会输出 c 的解密结果。这个算法 D( ⋅) 通常被称为解码器。上述的各方将主密钥出售给搜索者的策略是这种通用范例的一个特例；他们出售的解码器通过简单地将主密钥应用于给定的密文 c 来操作。这样的解码器无法追溯到创建它的任何一方。我们在此强调，一个有经验的 quorum 的参与者可以选择使用更聪明的策略来构建解码器 D。事实上，他们可能会尝试混淆 D 的实现，使其尽可能难以理解 D 的工作原理。

在我们的工作中，我们设计了新的门限解密系统，这些系统配备了一种密码学的追踪算法，该算法具有以下属性。假设 t 个或更多的参与者聚集在一起并生成了一个可用的无状态解码器 D。然后我们的追踪算法将 D 作为一个黑盒进行交互，并输出至少一个创建 D 的群体的成员。追踪算法通过向解码器 D 输入格式错误的密文来工作。解码器将成功解密一些密文，并无法解密其他密文。成功和失败的模式使得我们的追踪算法能够可靠地识别出创建 D 的群体中的至少一方。

我们的出发点是一种被称为叛徒追踪的密码学技术。这里 n 个参与者各自持有一个秘密解密密钥，并且每个参与者都可以独立地解密一个格式良好的密文。可以想象一下 DVD 播放器，每个 DVD 播放器都应该能够独立地解密加密的 DVD 光盘。但是，如果一个参与者子集 J⊆[ n] 串通起来创建一个可以解密格式良好的密文的盗版解码器 D( ⋅)，那么就可以仅使用对解码器 D 的黑盒访问，将 D 追踪到 J 的至少一个成员。多年来，叛徒追踪受到了很多关注，并且已经开发了多种方案。

在我们的工作中，我们开发了门限解密的叛徒追踪的概念，其中现在 t 个或更多的参与者的子集必须协同工作才能创建一个盗版解码器 D( ⋅)。我们的动机是保护门限解密的真实部署，在这种部署中，存在强大的经济动机来贿赂受信任方，以出售一个可用的解码器 D( ⋅)。我们提出了用于门限解密的叛徒追踪的多种构造，其中密文和公钥都很短，因此在链上发布这些数据的成本很低。特别是，我们系统中的密文只是四个群元素，与 n 和 t 无关。我们将细节以及未来工作的许多方向留给完整的论文。

我们希望这种方法能帮助阻止门限解密系统中的不当行为，并帮助在实际应用中保护它们的安全性。

原文链接： medium.com/%40boneh/how-...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。

如何在阈值解密中减少不当行为

0 条评论

文章目录