普遍的な構成可能性

普遍的構成可能性(UC) ^{[ 1 ]}のフレームワークは、暗号プロトコルを分析するための汎用モデルです。これは非常に強力なセキュリティ特性を保証します。プロトコルは、同じまたは他のプロトコルの他のインスタンスと任意に構成されても安全なままです。セキュリティはプロトコル エミュレーションの意味で定義されます。直感的には、環境 (観察者) が実行を区別できない場合、プロトコルは別のプロトコルをエミュレートしていると言われます。文字通り、プロトコルは他のプロトコルをシミュレートできます (コードにアクセスすることなく)。セキュリティの概念は暗黙的に導き出されます。プロトコルが定義により安全であると仮定します。別のプロトコルがプロトコルをエミュレートし、そのエミュレーションとプロトコルの実行を区別できる環境がない場合、エミュレートされたプロトコルはプロトコルと同じくらい安全です。 ${\displaystyle P_{1}}$${\displaystyle P_{2}}$${\displaystyle P_{1}}$${\displaystyle P_{2}}$${\displaystyle P_{1}}$

理想的な機能とは、プロトコル参加者全員と完全に安全なチャネルを介して通信できる信頼できる当事者が、望ましいプロトコル結果を計算するプロトコルです。このような信頼できる当事者を利用できない暗号プロトコルは、プロトコルが誠実なユーザーに対して信頼できる当事者の行動をエミュレートでき、かつ、攻撃者がプロトコルを攻撃することで学習するビューが、理想的な機能とのみ相互作用するシミュレータによって計算できるものと区別できない場合、理想的な機能を実現していると言えます。

普遍的構成可能性の計算モデルは、互いの通信テープに書き込むことで相互に活性化できる対話型チューリングマシンのモデルです。対話型チューリングマシンはマルチテープチューリングマシンの一種であり、暗号学における通信ネットワークの計算的側面をモデル化するためによく用いられます。

ベアUCフレームワークにおける通信モデルは非常に基本的なものです。送信側のメッセージは攻撃者に渡され、攻撃者はこれらのメッセージを任意のメッセージに置き換えて受信側に届けることができます。これはDolev-Yao脅威モデル（すべての当事者が対話型チューリングマシンとしてモデル化される計算モデルに基づく）でもあります。

機密性、真正性、同期、匿名性といった付加的な特性を持つすべての通信モデルは、それぞれの理想的な機能を用いてモデル化されます。理想的な通信機能は、メッセージを入力として受け取り、メッセージを出力として生成します。敵対者の（より限定的な）力は、敵対者がこの理想的な機能と相互作用する（限定的な）能力を通してモデル化されます。 ${\displaystyle {\mathcal {A}}}$

理想的な認証チャネルとは、IDを持つ相手からのメッセージを入力として受け取り、同じメッセージをIDと共に受信者と攻撃者に出力する機能です。攻撃者が非同期通信を遅延させる力をモデル化するために、この機能はまず攻撃者にメッセージを送信し、応答として送信指示を受け取った場合にのみメッセージを配信します。 ${\displaystyle {\mathcal {F}}_{\mathsf {Auth}}}$${\displaystyle m}$${\displaystyle P}$${\displaystyle P}$${\displaystyle {\mathcal {F}}_{\mathsf {Auth}}}$${\displaystyle {\mathcal {A}}}$${\displaystyle m,P}$

理想的なセキュアチャネルでは、理想的な機能は送信者のIDを受信者と攻撃者の両方に出力し、メッセージは受信者にのみ公開されます。これは、セキュアチャネルが認証済みかつプライベートであるという要件をモデル化しています。転送される情報に関する漏洩をモデル化すると、 はメッセージに関する情報（例：メッセージの長さ）を攻撃者に公開する可能性があります。非同期通信はと同じ遅延メカニズムによってモデル化されます。 ${\displaystyle {\mathcal {F}}_{\mathsf {Sec}}}$${\displaystyle {\mathcal {F}}_{\mathsf {Sec}}}$${\displaystyle {\mathcal {F}}_{\mathsf {Auth}}}$

匿名通信と仮名通信の技術的手段や背後にある物理的な仮定は大きく異なりますが、^{[ 2 ]}理想的な機能を用いたこれらのチャネルのモデル化は類似しています。オニオンルーティングや匿名P2Pも参照してください。同様の機能は、ブロードキャスト通信や同期通信にも定義できます。

理想的な匿名チャネルでは、理想的な機能は、ID を持つパーティからのメッセージを入力として受け取り、受信者と敵対者に ID を開示せずに同じメッセージを出力します。${\displaystyle {\mathcal {F}}_{\mathsf {匿名}}}$${\displaystyle m}$${\displaystyle P}$${\displaystyle P}$

理想的な仮名チャネルでは、参加当事者はまず理想的な機能を用いて固有の仮名を登録します。転送を行うには、メッセージと受信者の仮名を入力として受け取ります。理想的な機能は仮名の所有者を検索し、送信者の身元を明かすことなく メッセージを転送します。${\displaystyle {\mathcal {F}}_{\mathsf {擬似}}}$${\displaystyle {\mathcal {F}}_{\mathsf {擬似}}}$${\displaystyle m}$${\displaystyle nym}$${\displaystyle m,nym}$

これらの形式化は、そのようなチャネルを実装する具体的なシステムの実装の詳細を抽象化します。純粋な形では、理想的な機能が実現不可能であることが判明する可能性があります。より多くの情報を敵対者に漏らすことで（匿名性の程度）、機能を緩和する必要があるかもしれません。一方、通信チャネルは物理的なものになることもあります。^{[ 3 ] [ 4 ]}例えば、モバイルデバイスは、識別子を含まないメッセージを送信する前に常に位置を変更することで、匿名チャネルを実現できます。

暗号の標準モデルには、普遍的に構成可能なビットコミットメントプロトコルは存在しません。直感的には、理想的なモデルでは、シミュレータはコミットする値を環境の入力から抽出する必要があると考えられます。しかし、実際のプロトコルでは、受信者がコミットされた値を抽出し、プロトコルのセキュリティを破ってしまう可能性があります。この不可能性は他の機能にも当てはまります。

上記の不可能性の結果を回避するには、追加の仮定が必要です。共通参照文字列モデルや信頼できる認証局の仮定といった追加のセットアップと信頼の仮定も、UCの理想的な機能を使用してモデル化されます。

• リアクティブシミュレーション可能性^{[ 5 ]}は、ユニバーサルコンポーザビリティモデルと同時に開発された類似のモデルである。
• 抽象/構成的暗号^{[ 6 ] [ 7 ]}は、暗号プロトコルの構成可能な分析のためのより最近の汎用モデルである。
• GNUC および IITM モデルは、他の研究者 (特にVictor Shoupおよび Ralf Kuesters) による普遍的な構成可能性の再定式化であり、 Ran Canettiによる標準モデルの新しいバージョンに影響を与えました。

• 抽象化
• バロウズ・アバディ・ニーダム論理
• ハイブリッド議論
• 数学モデル
• 安全なマルチパーティ計算