(7/12/2010) Criptografía y Teoría de Juegos. Muestra de un par de protocolos de Rational Secret Sharing. (12/07/2010) Cryptography and Game Theory. Showing a few protocols of Rational Secret Sharing.

1. Introducci´n
o
Criptograf´ y Teor´ de Juegos
ıa ıa
Rational Secret Sharing
Mauricio Quezada Veas
mquezada@dcc.uchile.cl
Departamento de Ciencias de la Computaci´n
o
Universidad de Chile
7 de Diciembre de 2010
Criptograf´ y Teor´ de Juegos
ıa ıa

2. Introducci´n
o
Agenda
1 Introducci´n
o
Criptograf´ y Teor´ de Juegos
ıa ıa

3. Introducci´n
o
Compartici´n de Secreto
o
Suponga que existe un dealer D que desea compartir s ∈ Z entre
los participantes P1 , .., Pn , reparti´ndolo en trozos d1 , .., dn de tal
e
forma que:
1 El conocimiento de t o m´s trozos permita reconstruir s
a
2 El conocimiento de t − 1 o menos trozos no entregue
informaci´n sobre s
o
Criptograf´ y Teor´ de Juegos
ıa ıa

4. Introducci´n
o
Compartici´n de Secreto
o
Suponga que existe un dealer D que desea compartir s ∈ Z entre
los participantes P1 , .., Pn , reparti´ndolo en trozos d1 , .., dn de tal
e
forma que:
1 El conocimiento de t o m´s trozos permita reconstruir s
a
2 El conocimiento de t − 1 o menos trozos no entregue
informaci´n sobre s
o
Vimos c´mo el esquema de Compartici´n de Secreto de Adi
o o
Shamir nos permite satisfacer estas dos condiciones
Criptograf´ y Teor´ de Juegos
ıa ıa

5. Introducci´n
o
Esquema de Adi Shamir
Sea p un n´mero primo y s en Zp el secreto. Para compartir el
u
secreto entre n participantes de forma que t ≤ n de ellos puedan
reconstruirlo:
1 El dealer genera un polinomio al azar de grado t − 1
q(x) = a0 + a1 x + ... + at−1 xt−1
Tal que q(0) = a0 = s, y a1 , .., an son escogidos al azar en Zp
2 Cada trozo es de la forma di = q(i) ∀i ∈ [1..n], y es
entregado al participante i-´simo
e
Criptograf´ y Teor´ de Juegos
ıa ıa

6. Introducci´n
o
Esquema de Adi Shamir
Para reconstruir el secreto, basta interpolar el polinomio q teniendo
t o m´s valores de ´l.
a e
Usando interpolaci´n de Lagrange, dados los trozos
o
di ∈ ∆ ⊂ [1..n], |∆| = t
j
• Definiendo los coeficientes de Lagrange, λi = Πj∈∆,j=i j−i
• El secreto se calcula entonces como
s= si λi
i∈∆
Criptograf´ y Teor´ de Juegos
ıa ıa

7. Introducci´n
o
Consideraciones
Usualmente en Criptograf´ se asume que los participantes siguen
ıa
un comportamiento determinado:
1 Son completamente honestos, es decir, siguen el protocolo
al pie de la letra, o
2 son arbitrariamente maliciosos, donde su comportamiento
puede ser totalmente indeterminado
3 (tambi´n pueden ser honestos, pero curiosos)
e
Criptograf´ y Teor´ de Juegos
ıa ıa

8. Introducci´n
o
Ejemplo
¿Es eso realista?
Criptograf´ y Teor´ de Juegos
ıa ıa

9. Introducci´n
o
Ejemplo
Bueno...
Criptograf´ y Teor´ de Juegos
ıa ıa

10. Introducci´n
o
Adversarios Racionales
Uno puede considerar a los adversarios como racionales, donde
racional se define como la tendencia a buscar el propio beneficio.
Por ejemplo,
Criptograf´ y Teor´ de Juegos
ıa ıa

11. Introducci´n
o
Adversarios Racionales
Uno puede considerar a los adversarios como racionales, donde
racional se define como la tendencia a buscar el propio beneficio.
Por ejemplo,
• Un participante de votaci´n electr´nica puede preferir que su
o o
candidato gane, y atacar el sistema para lograrlo
Criptograf´ y Teor´ de Juegos
ıa ıa

12. Introducci´n
o
Adversarios Racionales
Uno puede considerar a los adversarios como racionales, donde
racional se define como la tendencia a buscar el propio beneficio.
Por ejemplo,
• Un participante de votaci´n electr´nica puede preferir que su
o o
candidato gane, y atacar el sistema para lograrlo
• O preferir desencriptar textos cifrados sobre ciertos mensajes
por sobre otros
Criptograf´ y Teor´ de Juegos
ıa ıa

13. Introducci´n
o
Adversarios Racionales
Uno puede considerar a los adversarios como racionales, donde
racional se define como la tendencia a buscar el propio beneficio.
Por ejemplo,
• Un participante de votaci´n electr´nica puede preferir que su
o o
candidato gane, y atacar el sistema para lograrlo
• O preferir desencriptar textos cifrados sobre ciertos mensajes
por sobre otros
Para generalizar, consideraremos que un partipante P posee una
funci´n de utilidad u, y su objetivo ser´ maximizar su valor.
o a
Criptograf´ y Teor´ de Juegos
ıa ıa

14. Introducci´n
o
Teor´ de Juegos
ıa
Definici´n
o
La Teor´ de Juegos es un ´rea de la matem´tica que utiliza
ıa a a
modelos para estudiar interacciones en estructuras formalizadas de
incentivos y llevar a cabo procesos de decisi´n.
o
Criptograf´ y Teor´ de Juegos
ıa ıa

15. Introducci´n
o
Teor´ de Juegos
ıa
Definici´n
o
La Teor´ de Juegos es un ´rea de la matem´tica que utiliza
ıa a a
modelos para estudiar interacciones en estructuras formalizadas de
incentivos y llevar a cabo procesos de decisi´n.
o
En nuestro caso, un protocolo puede ser visto como un juego en el
cual los participantes tratan de maximizar su beneficio (actuando
seg´n sus incentivos).
u
Criptograf´ y Teor´ de Juegos
ıa ıa

16. Introducci´n
o
Teor´ de Juegos
ıa
Definici´n
o
La Teor´ de Juegos es un ´rea de la matem´tica que utiliza
ıa a a
modelos para estudiar interacciones en estructuras formalizadas de
incentivos y llevar a cabo procesos de decisi´n.
o
En nuestro caso, un protocolo puede ser visto como un juego en el
cual los participantes tratan de maximizar su beneficio (actuando
seg´n sus incentivos).
u
Pero no tan as´ pues el objetivo del protocolo puede ser distinto
ı,
del de los participantes!
Criptograf´ y Teor´ de Juegos
ıa ıa

17. Introducci´n
o
Compartici´n de Secreto
o
Ejemplo: La herencia
Un anciano millonario entrega a cada uno de sus hijos una pieza
del secreto en donde se encuentran todas sus riquezas. S´lo al
o
momento de su muerte los herederos podr´n reconstruir el secreto
a
y as´ conocer la ubicaci´n de las riquezas.
ı o
Sin embargo, los hijos son ambiciosos y cada uno quiere conocer la
ubicaci´n de la herencia sin que se enteren los dem´s.
o a
Criptograf´ y Teor´ de Juegos
ıa ıa

18. Introducci´n
o
Compartici´n de Secreto
o
Ejemplo: La herencia
Un anciano millonario entrega a cada uno de sus hijos una pieza
del secreto en donde se encuentran todas sus riquezas. S´lo al
o
momento de su muerte los herederos podr´n reconstruir el secreto
a
y as´ conocer la ubicaci´n de las riquezas.
ı o
Sin embargo, los hijos son ambiciosos y cada uno quiere conocer la
ubicaci´n de la herencia sin que se enteren los dem´s.
o a
¿C´mo puede el anciano asegurarse de que todos ellos
o
conozcan la ubicaci´n?
o
Criptograf´ y Teor´ de Juegos
ıa ıa

19. Introducci´n
o
Compartici´n de Secreto
o
¡Podemos usar Compartici´n de Secreto!
o
Notemos que
• Cada uno de los participantes desea conocer el secreto s de la
ubicaci´n del “tesoro”
o
• Pero adem´s prefieren que la menor cantidad de otros
a
participantes lo conozcan
Criptograf´ y Teor´ de Juegos
ıa ıa

20. Introducci´n
o
Compartici´n de Secreto
o
Usemos un esquema de compartici´n de secreto, por ejemplo el de
o
Shamir.
Criptograf´ y Teor´ de Juegos
ıa ıa

21. Introducci´n
o
Compartici´n de Secreto
o
Usemos un esquema de compartici´n de secreto, por ejemplo el de
o
Shamir.
Sin embargo, el esquema NO funciona. Considere que son
necesarios t participantes para reconstruir el secreto, y considere la
acci´n del participante P1 :
o
Criptograf´ y Teor´ de Juegos
ıa ıa

22. Introducci´n
o
Compartici´n de Secreto
o
Usemos un esquema de compartici´n de secreto, por ejemplo el de
o
Shamir.
Sin embargo, el esquema NO funciona. Considere que son
necesarios t participantes para reconstruir el secreto, y considere la
acci´n del participante P1 :
o
• Si menos de t − 1 trozos fueron revelados, entonces la acci´n
o
de P1 no tiene ning´n efecto y nadie reconstruye el secreto
u
Criptograf´ y Teor´ de Juegos
ıa ıa

23. Introducci´n
o
Compartici´n de Secreto
o
Usemos un esquema de compartici´n de secreto, por ejemplo el de
o
Shamir.
Sin embargo, el esquema NO funciona. Considere que son
necesarios t participantes para reconstruir el secreto, y considere la
acci´n del participante P1 :
o
• Si menos de t − 1 trozos fueron revelados, entonces la acci´n
o
de P1 no tiene ning´n efecto y nadie reconstruye el secreto
u
• Si m´s de t − 1 trozos fueron revelados, entonces todos
a
conocen el secreto y la acci´n de P1 nuevamente no tiene
o
efecto
Criptograf´ y Teor´ de Juegos
ıa ıa

24. Introducci´n
o
Compartici´n de Secreto
o
Usemos un esquema de compartici´n de secreto, por ejemplo el de
o
Shamir.
Sin embargo, el esquema NO funciona. Considere que son
necesarios t participantes para reconstruir el secreto, y considere la
acci´n del participante P1 :
o
• Si menos de t − 1 trozos fueron revelados, entonces la acci´n
o
de P1 no tiene ning´n efecto y nadie reconstruye el secreto
u
• Si m´s de t − 1 trozos fueron revelados, entonces todos
a
conocen el secreto y la acci´n de P1 nuevamente no tiene
o
efecto
• Si exactamente t − 1 trozos han sido revelados, entonces P1
puede conocer el secreto (usando su trozo), y a la vez, al no
revelar el suyo, evita que todos los dem´s conozcan el secreto!
a
Criptograf´ y Teor´ de Juegos
ıa ıa

25. Introducci´n
o
Juegos en forma normal
Definici´n (Juego en forma normal)
o
Un juego de n jugadores es de la forma Γ = ({Ai }n , {ui }n ),
i=1 i=1
donde cada jugador Pi tiene un conjunto de posibles acciones Ai y
una funci´n de utilidad ui : A1 × A2 × . . . × An → R.
o
• Todos los jugadores se mueven simult´neamente, donde Pi
a
escoge una acci´n ai ∈ Ai .
o
• El pago de Pi es ui (a1 , ..., an )
• El algoritmo (posiblemente probabil´ıstico) σi que dice
qu´ acci´n tomar por Pi es llamado una estrategia.
e o
Criptograf´ y Teor´ de Juegos
ıa ıa

26. Introducci´n
o
Equilibrio de Nash
Sea a = (a1 , ..., an ) y a−i = (a1 , ..., ai−1 , ai+1 , ..., an )
Definici´n (Equilibrio de Nash)
o
Sea Γ = ({Ai }n , {ui }n ) un juego en forma normal, y sea
i=1 i=1
A = Ai × . . . × An . Una tupla a = (a1 , . . . , an ) ∈ A es un
Equilibrio de Nash (estrat´gico, o “pure-strategy”) si para todo i y
e
para cualquier ai ∈ A se tiene que ui (ai , a−i ) ≤ ui (a).
En otras palabras, para cada participante Pi , seguir las acciones a
es la mejor respuesta ante las acciones a−i de los otros
particpantes.
Teorema de Nash
El resultado m´s famoso de John Nash en la Teor´ de Juegos
a ıa
establece que todo juego estrat´gico finito tiene al menos un
e
Equilibrio de Nash
Criptograf´ y Teor´ de Juegos
ıa ıa

27. Introducci´n
o
Compartici´n de Secreto
o
Luego, asumiendo que al momento de reconstruir hay t∗ ≥ t
participantes
1 Para cualesquiera t, n, t∗ , es un NE el NO revelar el trozo del
secreto
2 Si t∗ > t es un NE para todos los t∗ participantes revelar su
parte. Sin embargo, tambi´n es preferible el NO hacerlo (ya
e
que la utilidad no cambia). Luego es m´s probable el NO
a
revelar.
3 Si t∗ = t, entonces tampoco es un NE revelar, ya que cada
uno de los t∗ participantes puede desviarse y no revelar su
parte.
Criptograf´ y Teor´ de Juegos
ıa ıa

28. Introducci´n
o
Protocolos para Rational Secret Sharing
Veremos 2 protocolos que s´ satisfacen las restricciones impuestas
ı
aun bajo adversarios racionales
Protocolo (n = 3, t = 3) de Halpern y Teague
Criptograf´ y Teor´ de Juegos
ıa ıa

29. Introducci´n
o
Protocolos para Rational Secret Sharing
Veremos 2 protocolos que s´ satisfacen las restricciones impuestas
ı
aun bajo adversarios racionales
Protocolo (n = 3, t = 3) de Halpern y Teague
1 Al principio de cada iteraci´n, el dealer ejecuta un esquema de
o
Shamir y reparte los trozos a cada participante
Criptograf´ y Teor´ de Juegos
ıa ıa

30. Introducci´n
o
Protocolos para Rational Secret Sharing
Veremos 2 protocolos que s´ satisfacen las restricciones impuestas
ı
aun bajo adversarios racionales
Protocolo (n = 3, t = 3) de Halpern y Teague
1 Al principio de cada iteraci´n, el dealer ejecuta un esquema de
o
Shamir y reparte los trozos a cada participante
2 Durante la iteraci´n, cada participante Pi lanza una moneda
o
cargada ci , tal que Pr[ci = 1] = α
Criptograf´ y Teor´ de Juegos
ıa ıa

31. Introducci´n
o
Protocolos para Rational Secret Sharing
Veremos 2 protocolos que s´ satisfacen las restricciones impuestas
ı
aun bajo adversarios racionales
Protocolo (n = 3, t = 3) de Halpern y Teague
1 Al principio de cada iteraci´n, el dealer ejecuta un esquema de
o
Shamir y reparte los trozos a cada participante
2 Durante la iteraci´n, cada participante Pi lanza una moneda
o
cargada ci , tal que Pr[ci = 1] = α
3 Los participantes/jugadores calculan c∗ = ci
Criptograf´ y Teor´ de Juegos
ıa ıa

32. Introducci´n
o
Protocolos para Rational Secret Sharing
Veremos 2 protocolos que s´ satisfacen las restricciones impuestas
ı
aun bajo adversarios racionales
Protocolo (n = 3, t = 3) de Halpern y Teague
1 Al principio de cada iteraci´n, el dealer ejecuta un esquema de
o
Shamir y reparte los trozos a cada participante
2 Durante la iteraci´n, cada participante Pi lanza una moneda
o
cargada ci , tal que Pr[ci = 1] = α
3 Los participantes/jugadores calculan c∗ = ci
4 Si c∗ = ci = 1, entonces Pi revela su parte.
Criptograf´ y Teor´ de Juegos
ıa ıa

33. Introducci´n
o
Protocolos para Rational Secret Sharing
Veremos 2 protocolos que s´ satisfacen las restricciones impuestas
ı
aun bajo adversarios racionales
Protocolo (n = 3, t = 3) de Halpern y Teague
1 Al principio de cada iteraci´n, el dealer ejecuta un esquema de
o
Shamir y reparte los trozos a cada participante
2 Durante la iteraci´n, cada participante Pi lanza una moneda
o
cargada ci , tal que Pr[ci = 1] = α
3 Los participantes/jugadores calculan c∗ = ci
4 Si c∗ = ci = 1, entonces Pi revela su parte.
5 c∗
Si = 1 y no han sido revelados los trozos, o exactamente 2
trozos fueron revelados, el protocolo aborta.
Criptograf´ y Teor´ de Juegos
ıa ıa

34. Introducci´n
o
Protocolos para Rational Secret Sharing
Veremos 2 protocolos que s´ satisfacen las restricciones impuestas
ı
aun bajo adversarios racionales
Protocolo (n = 3, t = 3) de Halpern y Teague
1 Al principio de cada iteraci´n, el dealer ejecuta un esquema de
o
Shamir y reparte los trozos a cada participante
2 Durante la iteraci´n, cada participante Pi lanza una moneda
o
cargada ci , tal que Pr[ci = 1] = α
3 Los participantes/jugadores calculan c∗ = ci
4 Si c∗ = ci = 1, entonces Pi revela su parte.
5 c∗
Si = 1 y no han sido revelados los trozos, o exactamente 2
trozos fueron revelados, el protocolo aborta.
6 En otro caso, contin´a a la siguiente iteraci´n
u o
Criptograf´ y Teor´ de Juegos
ıa ıa

35. Introducci´n
o
Protocolo (n = 3, t = 3) de Halpern y Teague
Para ver que el protocolo funciona, asuma que P1 , P2 siguen el
protocolo y considere si P3 deber´ desviarse o no.
ıa
Criptograf´ y Teor´ de Juegos
ıa ıa

36. Introducci´n
o
Protocolo (n = 3, t = 3) de Halpern y Teague
Para ver que el protocolo funciona, asuma que P1 , P2 siguen el
protocolo y considere si P3 deber´ desviarse o no.
ıa
• Primero, no hay incentivo para P3 de “cargar” la moneda c3
para que sea 0 con alta probabilidad, ya que si c3 = 0,
entonces P1 o P2 no revelar´ su parte.
a
Criptograf´ y Teor´ de Juegos
ıa ıa

37. Introducci´n
o
Protocolo (n = 3, t = 3) de Halpern y Teague
Para ver que el protocolo funciona, asuma que P1 , P2 siguen el
protocolo y considere si P3 deber´ desviarse o no.
ıa
• Primero, no hay incentivo para P3 de “cargar” la moneda c3
para que sea 0 con alta probabilidad, ya que si c3 = 0,
entonces P1 o P2 no revelar´ su parte.
a
• Tampoco lo es que cargue c3 hacia 1, ya que, aunque logre
que el secreto sea reconstruido antes, no tendr´ efecto en la
a
utilidad de P3 .
Criptograf´ y Teor´ de Juegos
ıa ıa

38. Introducci´n
o
Protocolo (n = 3, t = 3) de Halpern y Teague
Para ver que el protocolo funciona, asuma que P1 , P2 siguen el
protocolo y considere si P3 deber´ desviarse o no.
ıa
• Primero, no hay incentivo para P3 de “cargar” la moneda c3
para que sea 0 con alta probabilidad, ya que si c3 = 0,
entonces P1 o P2 no revelar´ su parte.
a
• Tampoco lo es que cargue c3 hacia 1, ya que, aunque logre
que el secreto sea reconstruido antes, no tendr´ efecto en la
a
utilidad de P3 .
• Si c∗ = 0 o c3 = 0, no hay incentivo para desviarse.
Criptograf´ y Teor´ de Juegos
ıa ıa

39. Introducci´n
o
Protocolo (n = 3, t = 3) de Halpern y Teague
Para ver que el protocolo funciona, asuma que P1 , P2 siguen el
protocolo y considere si P3 deber´ desviarse o no.
ıa
• Primero, no hay incentivo para P3 de “cargar” la moneda c3
para que sea 0 con alta probabilidad, ya que si c3 = 0,
entonces P1 o P2 no revelar´ su parte.
a
• Tampoco lo es que cargue c3 hacia 1, ya que, aunque logre
que el secreto sea reconstruido antes, no tendr´ efecto en la
a
utilidad de P3 .
• Si c∗ = 0 o c3 = 0, no hay incentivo para desviarse.
• Si c∗ = c3 = 1, P3 no sabe si c1 = c2 = 1 o 0, por lo que si
P3 no revela su parte se arriesga a no conocer el secreto.
Criptograf´ y Teor´ de Juegos
ıa ıa

40. Introducci´n
o
Protocolo (n = 3, t = 3) de Halpern y Teague
• El protocolo puede extenderse para n ≥ 3 y t ≥ 2
• Sin embargo, establecen que es imposible para n = 2
• Asumen demasiadas restricciones sobre el modelo
Criptograf´ y Teor´ de Juegos
ıa ıa

41. Introducci´n
o
Protocolo (n ≥ 2, t ≥ 2) de Gordon y Katz
Suponga que el dealer tiene un secreto s que pertence a un
conjunto S ⊂ F , y que los participantes conocen S.
Protocolo de Gordon y Katz
Criptograf´ y Teor´ de Juegos
ıa ıa

42. Introducci´n
o
Protocolo (n ≥ 2, t ≥ 2) de Gordon y Katz
Suponga que el dealer tiene un secreto s que pertence a un
conjunto S ⊂ F , y que los participantes conocen S.
Protocolo de Gordon y Katz
1 Al comienzo de cada iteraci´n, el dealer invoca el esquema de
o
Shamir sobre s con probabilidad β
Criptograf´ y Teor´ de Juegos
ıa ıa

43. Introducci´n
o
Protocolo (n ≥ 2, t ≥ 2) de Gordon y Katz
Suponga que el dealer tiene un secreto s que pertence a un
conjunto S ⊂ F , y que los participantes conocen S.
Protocolo de Gordon y Katz
1 Al comienzo de cada iteraci´n, el dealer invoca el esquema de
o
Shamir sobre s con probabilidad β
2 Y, con probabilidad 1 − β, invoca Shamir sobre s ∈ F S
ˆ
Criptograf´ y Teor´ de Juegos
ıa ıa

44. Introducci´n
o
Protocolo (n ≥ 2, t ≥ 2) de Gordon y Katz
Suponga que el dealer tiene un secreto s que pertence a un
conjunto S ⊂ F , y que los participantes conocen S.
Protocolo de Gordon y Katz
1 Al comienzo de cada iteraci´n, el dealer invoca el esquema de
o
Shamir sobre s con probabilidad β
2 Y, con probabilidad 1 − β, invoca Shamir sobre s ∈ F S
ˆ
3 Luego los trozos son distribuidos a los participantes
Criptograf´ y Teor´ de Juegos
ıa ıa

45. Introducci´n
o
Protocolo (n ≥ 2, t ≥ 2) de Gordon y Katz
Suponga que el dealer tiene un secreto s que pertence a un
conjunto S ⊂ F , y que los participantes conocen S.
Protocolo de Gordon y Katz
1 Al comienzo de cada iteraci´n, el dealer invoca el esquema de
o
Shamir sobre s con probabilidad β
2 Y, con probabilidad 1 − β, invoca Shamir sobre s ∈ F S
ˆ
3 Luego los trozos son distribuidos a los participantes
4 Los participantes comunican sus trozos entre s´
ı,
reconstruyendo un secreto s (si alguno se niega, se aborta el
protocolo)
Criptograf´ y Teor´ de Juegos
ıa ıa

46. Introducci´n
o
Protocolo (n ≥ 2, t ≥ 2) de Gordon y Katz
Suponga que el dealer tiene un secreto s que pertence a un
conjunto S ⊂ F , y que los participantes conocen S.
Protocolo de Gordon y Katz
1 Al comienzo de cada iteraci´n, el dealer invoca el esquema de
o
Shamir sobre s con probabilidad β
2 Y, con probabilidad 1 − β, invoca Shamir sobre s ∈ F S
ˆ
3 Luego los trozos son distribuidos a los participantes
4 Los participantes comunican sus trozos entre s´
ı,
reconstruyendo un secreto s (si alguno se niega, se aborta el
protocolo)
5 Si s ∈ S, entonces es el verdadero secreto y fue reconstruido,
sino (es el falso), continuan a la siguiente iteraci´n.
o
Criptograf´ y Teor´ de Juegos
ıa ıa

47. Introducci´n
o
Protocolo (n ≥ 2, t ≥ 2) de Gordon y Katz
Veremos que funciona para t = n = 2
Sin p´rdida de generalidad, asuma que P2 sigue el protocolo y
e
veamos si P1 puede desviarse en la primera iteraci´n:
o
• La unica posibilidad de desviarse de P1 es no revelar su parte,
´
en este caso, ´ste conoce el secreto (mientras que P2 no) con
e
probabilidad β, pero con probabilidad 1 − β nunca lo har´.
a
Criptograf´ y Teor´ de Juegos
ıa ıa

48. Introducci´n
o
Protocolo (n ≥ 2, t ≥ 2) de Gordon y Katz
Sea U + la utilidad de P1 si descubre el secreto pero P2 no. U si
ambos lo descubren, y U − si ninguno lo hace. Tenemos que
U + > U > U −.
Tenemos que, si P1 sigue el protocolo, su utilidad esperada es U .
Si P1 se desv´ su utilidad esperada es β· U + + (1 − β)· U − ,
ıa,
as´ que mientras
ı
U > β· U + + (1 − β)· U −
entonces P1 siempre seguir´ el protocolo, para un β apropiado.
a
Criptograf´ y Teor´ de Juegos
ıa ıa

49. Introducci´n
o
Conclusiones
• Aun existen muchas variantes sobre supuestos en Criptograf´
ıa,
donde cada una tiene una aplicaci´n espec´
o ıfica o una forma
particular de abordarla
Criptograf´ y Teor´ de Juegos
ıa ıa

50. Introducci´n
o
Conclusiones
• Aun existen muchas variantes sobre supuestos en Criptograf´
ıa,
donde cada una tiene una aplicaci´n espec´
o ıfica o una forma
particular de abordarla
• Vimos como la Teor´ de Juegos se complementa muy bien
ıa
con algunos protocolos, haciendo posible nuevos supuestos
Criptograf´ y Teor´ de Juegos
ıa ıa

51. Introducci´n
o
Conclusiones
• Aun existen muchas variantes sobre supuestos en Criptograf´
ıa,
donde cada una tiene una aplicaci´n espec´
o ıfica o una forma
particular de abordarla
• Vimos como la Teor´ de Juegos se complementa muy bien
ıa
con algunos protocolos, haciendo posible nuevos supuestos
• Los esquemas de compartici´n de secreto son la base para
o
construcciones m´s complejas, como la Evaluaci´n “Justa” de
a o
Funciones Seguras (Computaci´n Multipartita Racional)
o
Criptograf´ y Teor´ de Juegos
ıa ıa

52. Introducci´n
o
Conclusiones
• Aun existen muchas variantes sobre supuestos en Criptograf´
ıa,
donde cada una tiene una aplicaci´n espec´
o ıfica o una forma
particular de abordarla
• Vimos como la Teor´ de Juegos se complementa muy bien
ıa
con algunos protocolos, haciendo posible nuevos supuestos
• Los esquemas de compartici´n de secreto son la base para
o
construcciones m´s complejas, como la Evaluaci´n “Justa” de
a o
Funciones Seguras (Computaci´n Multipartita Racional)
o
• Y finalmente el millonario se podr´ morir tranquilo.
a
Criptograf´ y Teor´ de Juegos
ıa ıa

53. Introducci´n
o
Referencias
A. Shamir. How to Share a Secret. Comm. ACM, 1979.
J. Katz. Bridging Game Theory and Cryptography: Recent
Results and Future Directions.
J. Halpern y V. Teague. Rational Secret Sharing and
Multiparty Computation. 36th Annual ACM Symposium on
Theory of Computing. 2004.
S. Dov Gordon y J. Katz. Rational Secret Sharing, Revisited.
2006.
Y. Dodis y T. Rabin. Cryptography and Game Theory.
Criptograf´ y Teor´ de Juegos
ıa ıa