Abaixo apresentamos três exemplos de modelos de vazamentos que são frequente- mente considerados na literatura. Em particular, construimos um esquema explícito para o modelo que chamamos de vazamento independente (Capítulo 5). Todos os mo- delos apresentados aqui são modelos de “wire probing”, em que a saída da função de vazamento consiste dos valores em um conjunto de fios no circuito.
Vazamento independente. Vazamento independente é caracterizado pela possibili- dade de que cada fio no circuito vaze, cada um com uma probabilidade fixa p. Este modelo foi considerado em [DDF14] para provar resistência a vazamentos de um es- quema contra um modelo diferente, chamado vazamento ruidoso (o qual descrevere- mos posteriormente). Vazamento independente é chamado “wire probing” no trabalho citado.
Podemos formalizar vazamento independente da seguinte maneira. Seja n o nú- mero de fios no circuito. Rotulamos cada fio com um índice i onde 1 ≤ i ≤ n. Agora, seja w uma string binária de tamanho n e seja lw(x, y) o conjunto de valores dos fios
vazados quando o circuito tem(x, y)como entrada. Se wi =1, atribuimos a(lw)i(x, y)
o valor do i-ésimo fio, enquanto se wi = 0, atribuimos (lw)i(x, y) = ⊥. Para cada ro-
dada de interação, a probabilidade pwde que a função de vazamento lwfoi escolhida é
dada por pw=Pr(X = |w|), onde X segue uma distribuição binomial com parâmetros
n e p. O modelo de vazamento L é então L= {(lw, pw): w∈ {0, 1}n}. (Note que existe
apenas um pedido de vazamento possível.)
Vazamento adversarial. Uma variante do modelo de vazamento independente é con- siderar o cenário onde o adversário escolhe um número t de fios para vazar. Este mo- delo é frequentemente chamado o t-wire probing model (e chamado t-threshold-probing em [DDF14]) e foi considerado inicialmente em [ISW03]. Intuitivamente, o modelo é uma versão mais forte do vazamento independente: para vazamento independente com probabilidade de vazamento p em um circuito com n fios, t = np vazam em mé- dia. No entanto, o fato de que, para vazamento adversarial, o adversário escolhe os fios a vazar torna a tarefa de proteger o circuito mais difícil.
Formalmente, o tratamento também é similar. O conjunto de funções de vazamento {lw}é o mesmo que no caso de vazamento independente, mas agora há vários pedidos
de vazamento possíveis, um para cada função. Dado um pedido de vazamento, a função é escolhida de maneira determinística, então temos pw =1 para cada lw. Isto é,
o modelo de vazamento L é definido como L = {{(lw, 1)}: w ∈ {0, 1}n,|w| ≤t}.
Vazamento ruidoso. Nesta variante, considerada em [FRR+10, PR13, DDF14], todos os valores dos fios vazam, mas o adversário recebe uma versão ruidosa dos valores. Isto é, cada bit é virado com probabilidade p (o nível de ruído). Formalizamos esta no- ção definindo funções de vazamento lwonde lw(x, y)é o valor de todos fios no circuito,
exceto pelos fios i com wi =1, cujos valores são virados. As probabilidades pwsão da-
das por pw =Pr(X = |w|)onde X segue uma distribuição binomial com parâmetros n
e 1−p. O modelo de vazamento é dado por L= {(lw, pw): w ∈ {0, 1}n}. Note que ao
contrário do modelo de vazamento independente, o adversário não aprende quais fios vazam.
Convertendo vazamento independente a vazamento ruidoso. Uma maneira alter- nativa de interpretar os modelos de vazamento independente e ruidoso é visualizar o vazamento como a saída de um canal. Mais precisamente, para vazamento indepen- dente com probabilidade de vazamento p, podemos ver a função de vazamento como o envio do valor de cada fio por um canal do tipo erasure, onde cada valor é eliminado com probabilidade 1−p. A saída do canal é então dada para o adversário. Similar- mente, para vazamento ruidoso com nível de ruído p, o valor de cada fio é enviado por um canal binário simétrico com probabilidade de erro p, e a saída é dada ao adversário. Dada esta observação, podemos mostrar que um protocolo que é resistente a vaza- mento independente também é resistente a vazamento ruidoso, para algum nível de ruído. Temos o seguinte resultado.
Lema 1. Seja π um ε-compilador resistente a vazamentos contra vazamento independente com
probabilidade de vazamento p. Então π é um ε-compilador resistente a vazamentos contra vazamento ruidoso para qualquer nível de ruído p0que satisfaça(1−p)/2< p0 <1/2. Demonstração. Como notado na Observação 1, apenas precisamos mostrar a primeira condição na Definição 3. Sejam Ri,Rn os recursos ideais com pedidos de vazamento
dados pelos modelos de vazamento independente e ruidoso, respectivamente. Como observado, estes modelos possuem somente um pedido de vazamento possível, que denotamos respectivamente por lie ln. Mostraremos como construir um simulador σn
tal que πARn = σnπARi. Como por hipótese πARi ≈ε σiS para algum simulador σi,
temos πARn ≈ε (σnσi)S.
Obtemos vazamento ruidoso a partir de vazamento independente enviando as saí- das do canal erasure através de um canal que torna o canal composto um canal biná-
rio simétrico. Seja p0 = p(1−q) + (1−p)/2 onde 0 < q < 1/2. Para o modelo de vazamento independente, cada bit de saída na função de vazamento é a saída de um canal binário de erasure com probabilidade de apagamento 1− p, isto é, o canal U caracterizado pelas probabilidades condicionais U(x|x) = p, U(⊥|x) = 1−p para x ∈ {0, 1}. Para o modelo de vazamento ruidoso, cada bit de saída é a saída de um canal binário simétrico com probabilidade de erro 1−p0, isto é, o canal W dado por W(x|x) = p0, W(1⊕x|x) = 1−p0 para x ∈ {0, 1}. Agora, seja V o canal com espaço de entrada {0, 1,⊥} e espaço de saída {0, 1} dado por V(x|x) = 1−q, V(1⊕x|x) = q, V(x|⊥) =1/2 para x∈ {0, 1}. Concatenando U e V, obtemos W.
Assim, dado um simulador σi para Ri, construimos um simulador σn para Rn da
seguinte maneira. σn envia entradas x da interface externa à interface interna e envia
saídas f(x, y)da interface interna à interface externa. Ao receber lnna interface externa,
σn envia li à interface interna. Ao receber um vazamento l0 na interface interna, σc
envia todos os bits l0i através do canal V e envia para a interface externa a string l0n, que consiste de todos os bits dados como saída pelo canal. Assim, podemos gerar vazamento ruidoso executando vazamento independente através de σn. Isto mostra
queRn =σnRi.
Componentes livres de vazamento. Muitas das construções para resistência a va- zamento exigem que uma pequena componente do circuito seja confiável ou livre de vazamento, isto é, uma componente cujos fios internos não vazam para Eva. Para a nossa construção, isto inclui fios de saída da componente. Incorporamos esta exigên- cia em nossa definição de resistência a vazamento adicionando a restrição de que a função de vazamento l não pode depender de quaisquer fios de uma componente livre de vazamentos, incluindo os fios que saem dela.
A única componente livre de vazamentos que usamos neste trabalho é uma fonte de bits aleatórios: uma porta que não toma nenhuma entrada e dá como saída um bit uniformemente distribuído (que, por hipótese, não vaza ao adversário). Esta compo- nente é utilizada na tradução de um circuito quântico a um circuito clássico. Deixamos em aberto a questão de se esta restrição é realmente necessária em geral. Notamos que nossa restrição é diferente da restrição utilizada em [FRR+10]: exigimos apenas bits uniformemente distribuídos, enquanto a transformação no trabalho citado exige bits distribuídos de acordo com uma distribuição arbitrária (embora fixa). Por outro lado, os fios de saída da componente livre de vazamentos usada por eles podem vazar, enquanto neste trabalho exigimos que componentes livres de vazamento não vazam antes de interagir com outras componentes.