【研究】Security and Composition of Cryptographic Protocols: A Tutorial (R.Canetti)
追記していく
UCの概念を直感的に学んでみましょうよ、という論文(配布資料と言った方が正しい?)
時折証明を織り交ぜつつ、しかし大体は概念の説明。
まずは簡単にtwo-partyでnon-reactiveなプロトコルがstand-aloneで実行されている場合を考えましょう、次にmulti-party・reactiveに拡張しましょう、non-concurrentに対してcomposableな形にしましょう、concurrentな結合にも安全にしましょう…
正直言って理解できてない気がする。
motivation:
大きいプロトコルの安全性をモジュールの安全性に帰着させたい。
この性質、この性質…とやっていくと色々矛盾が生じる。
→まず安全性の定式化としてtrusted party paradigmを使ってみたらどうか?
「プロトコル(実際に動かすプロトコル)に対してを使って攻撃して得られる情報」「理想機能(理想機能なので必要以上の情報は漏れない)に対して(自分の机の上みたいなもの)を使って攻撃して得られる情報」
multi-party,reactive,uncomposable:
ごく少数のITIから構成(ぶっちゃけinitial ITIだけいい)。
identity tapeの導入・invocation命令の追加により、ITIを増やしていく。その際ユニークなIDを付与する。
→数え上げがいらず、unbounded number ITIsも可能