Rational Multiparty Computation

The field of rational cryptography considers the design of cryptographic protocols in the presence of rational agents seeking to maximize local utility functions. This departs from the standard secure multiparty computation setting, where players are assumed to be either honest or malicious. ^ We detail the construction of both a two-party and a multiparty game theoretic framework for constructing rational cryptographic protocols. Our framework specifies the utility function assumptions necessary to realize the privacy, correctness, and fairness guarantees for protocols. We demonstrate that our framework correctly models cryptographic protocols, such as rational secret sharing, where existing work considers equilibrium concepts that yield unreasonable equilibria. Similarly, we demonstrate that cryptography may be applied to the game theoretic domain, constructing an auction market not realizable in the original formulation. Additionally, we demonstrate that modeling players as rational agents allows us to design a protocol that destabilizes coalitions. Thus, we establish a mutual benefit from combining the two fields, while demonstrating the applicability of our framework to real-world market environments.^ We also give an application of game theory to adversarial interactions where cryptography is not necessary. Specifically, we consider adversarial machine learning, where the adversary is rational and reacts to the presence of a data miner. We give a general extension to classification algorithms that returns greater expected utility for the data miner than existing classification methods

Perfect Implementation of Normal-Form Mechanisms

Privacy and trust affect our strategic thinking, yet they have not been precisely modeled in mechanism design. In settings of incomplete information, traditional implementations of a normal-form mechanism ---by disregarding the players' privacy, or assuming trust in a mediator--- may not be realistic and fail to reach the mechanism's objectives. We thus investigate implementations of a new type.We put forward the notion of a perfect implementation of a normal-form mechanism M: in essence, an extensive-form mechanism exactly preserving all strategic properties of M, without relying on a trusted party or violating the privacy of the players.We prove that ANY normal-form mechanism can be perfectly implemented via envelopes and an envelope-randomizing device (i.e., the same tools used for running fair lotteries or tallying secret votes)

Rational cryptography: novel constructions, automated verification and unified definitions

Rational cryptography has recently emerged as a very promising field of research by combining notions and techniques from cryptography and game theory, because it offers an alternative to the rather inflexible traditional cryptographic model. In contrast to the classical view of cryptography where protocol participants are considered either honest or arbitrarily malicious, rational cryptography models participants as rational players that try to maximize their benefit and thus deviate from the protocol only if they gain an advantage by doing so. The main research goals for rational cryptography are the design of more efficient protocols when players adhere to a rational model, the design and implementation of automated proofs for rational security notions and the study of the intrinsic connections between game theoretic and cryptographic notions. In this thesis, we address all these issues. First we present the mathematical model and the design for a new rational file sharing protocol which we call RatFish. Next, we develop a general method for automated verification for rational cryptographic protocols and we show how to apply our technique in order to automatically derive the rational security property for RatFish. Finally, we study the intrinsic connections between game theory and cryptography by defining a new game theoretic notion, which we call game universal implementation, and by showing its equivalence with the notion of weak stand-alone security.Rationale Kryptographie ist kürzlich als ein vielversprechender Bereich der Forschung durch die Kombination von Begriffen und Techniken aus der Kryptographie und der Spieltheorie entstanden, weil es eine Alternative zu dem eher unflexiblen traditionellen kryptographischen Modell bietet. Im Gegensatz zur klassischen Ansicht der Kryptographie, nach der Protokollteilnehmer entweder als ehrlich oder willkürlich bösartig angesehen werden, modelliert rationale Kryptografie die Protokollteilnehmer als rationale Akteure, die versuchen ihren Vorteil zu maximieren und damit nur vom Protokoll abweichen, wenn sie dadurch einen Vorteil erlangen. Die wichtigsten Forschungsziele rationaler Kryptographie sind: das Design effizienterer Protokolle, wenn die Spieler ein rationale Modell folgen, das Design und die Implementierung von automatisierten Beweisen rationaler Sicherheitsbegriffe und die Untersuchung der intrinsischen Verbindungen zwischen spieltheoretischen und kryptographischen Begriffen. In dieser Arbeit beschäftigen wir uns mit all diesen Fragen. Zunächst präsentieren wir das mathematische Modell und das Design für RatFish, ein neues rationales Filesharing-Protokoll. Dann entwickeln wir eine allgemeine Methode zur automatischen Verifikation rationaler kryptographischer Protokolle und wir zeigen, wie man unsere Technik nutzen kann, um die rationale Sicherheitseigenschaft von RatFish automatisch abzuleiten. Abschließend untersuchen wir die intrinsische Verbindungen zwischen Spieltheorie und Kryptographie durch die Definition von game universal implementation, einem neuen spieltheoretischen Begriff, und wir zeigen die Äquivalenz von game universal implementation und weak stand-alone security

Cryptographic Protocols from Physical Assumptions

Moderne Kryptographie erlaubt nicht nur, personenbezogene Daten im Internet zu schützen oder sich für bestimmte Dienste zu authentifizieren, sondern ermöglicht auch das Auswerten einer Funktion auf geheimen Eingaben mehrerer Parteien, ohne dass dabei etwas über diese Eingaben gelernt werden kann (mit der Ausnahme von Informationen, die aus der Ausgabe und eigenen Eingaben effizient abgeleitet werden können). Kryptographische Protokolle dieser Art werden sichere Mehrparteienberechnung genannt und eignen sich für ein breites Anwendungsspektrum, wie z.B. geheime Abstimmungen und Auktionen. Um die Sicherheit solcher Protokolle zu beweisen, werden Annahmen benötigt, die oft komplexitätstheoretischer Natur sind, beispielsweise, dass es schwierig ist, hinreichend große Zahlen zu faktorisieren. Sicherheitsannahmen, die auf physikalischen Prinzipien basieren, bieten im Gegensatz zu komplexitätstheoretischen Annahmen jedoch einige Vorteile: die Protokolle sind meist konzeptionell einfacher, die Sicherheit ist unabhängig von den Berechnungskapazitäten des Angreifers, und die Funktionsweise und Sicherheit ist oft für den Menschen leichter nachvollziehbar. (Zum Beispiel forderte das Bundesverfassungsgericht: „Beim Einsatz elektronischer Wahlgeräte müssen die wesentlichen Schritte der Wahlhandlung und der Ergebnisermittlung vom Bürger zuverlässig und ohne besondere Sachkenntnis überprüft werden können.“ (BVerfG, Urteil des Zweiten Senats vom 03. März 2009)). Beispiele für solche Annahmen sind physikalisch getrennte oder unkorrumpierbare Hardware-Komponenten (vgl. Broadnax et al., 2018), Write-Only-Geräte für Logging, oder frei zu rubbelnde Felder, wie man sie von PIN-Briefen kennt. Auch die aus der Quantentheorie folgende Nicht-Duplizierbarkeit von Quantenzuständen ist eine physikalische Sicherheitsannahme, die z.B. verwendet wird, um nicht-klonbares „Quantengeld“ zu realisieren. In der vorliegenden Dissertation geht es neben Protokollen, die die Sicherheit und Isolation bestimmter einfacher Hardware-Komponenten als Vertrauensanker verwenden, im Besonderen um kryptographischen Protokolle für die sichere Mehrparteienberechnung, die mit Hilfe physikalischer Spielkarten durchgeführt werden. Die Sicherheitsannahme besteht darin, dass die Karten ununterscheidbare Rückseiten haben und, dass bestimmte Mischoperationen sicher durchgeführt werden können. Eine Anwendung dieser Protokolle liegt also in der Veranschaulichung von Kryptographie und in der Ermöglichung sicherer Mehrparteienberechnungen, die gänzlich ohne Computer ausgeführt werden können. Ein Ziel in diesem Bereich der Kryptographie ist es, Protokolle anzugeben, die möglichst wenige Karten benötigen – und sie als optimal in diesem Sinne zu beweisen. Abhängig von Anforderungen an das Laufzeitverhalten (endliche vs. lediglich im Erwartungswert endliche Laufzeit) und an die Praktikabilität der eingesetzten Mischoperationen, ergeben sich unterschiedliche untere Schranken für die mindestens benötigte Kartenanzahl. Im Rahmen der Arbeit wird für jede Kombination dieser Anforderungen ein UND-Protokoll – ein logisches UND zweier in Karten codierter Bits; dieses ist zusammen mit der Negation und dem Kopieren von Bits hinreichend für die Realisierung allgemeiner Schaltkreise – konstruiert oder in der Literatur identifiziert, das mit der minimalen Anzahl an Karten auskommt, und dies auch als Karten-minimal bewiesen. Insgesamt ist UND mit vier (für erwartet endliche Laufzeit (Koch, Walzer und Härtel, 2015; Koch, 2018)), fünf (für praktikable Mischoperationen oder endliche Laufzeit (Koch, Walzer und Härtel, 2015; Koch, 2018)) oder sechs Karten (für endliche Laufzeit und gleichzeitig praktikable Mischoperationen (Kastner et al., 2017)) möglich und optimal. Für die notwendigen Struktureinsichten wurden so-genannte „Zustandsdiagramme“ mit zugehörigen Kalkülregeln entwickelt, die eine graphenbasierte Darstellung aller möglichen Protokolldurchläufe darstellen und an denen Korrektheit und Sicherheit der Protokolle direkt ablesbar sind (Koch, Walzer und Härtel, 2015; Kastner et al., 2017). Dieser Kalkül hat seitdem eine breite Verwendung in der bereichsrelevanten Literatur gefunden. (Beweise für untere Schranken bzgl. der Kartenanzahl werden durch den Kalkül zu Beweisen, die zeigen, dass bestimmte Protokollzustände in einer bestimmten kombinatorischen Graphenstruktur nicht erreichbar sind.) Mit Hilfe des Kalküls wurden Begriffe der Spielkartenkryptographie als C-Programm formalisiert und (unter bestimmten Einschränkungen) mit einem „Software Bounded Model Checking“-Ansatz die Längenminimalität eines kartenminimalen UND-Protokolls bewiesen (Koch, Schrempp und Kirsten, 2019). Darüber hinaus werden konzeptionell einfache Protokolle für den Fall einer sicheren Mehrparteienberechnung angegeben, bei der sogar zusätzlich die zu berechnende Funktion geheim bleiben soll (Koch und Walzer, 2018), und zwar für jedes der folgenden Berechnungsmodelle: (universelle) Schaltkreise, binäre Entscheidungsdiagramme, Turingmaschinen und RAM-Maschinen. Es wird zudem untersucht, wie Karten-basierte Protokolle so ausgeführt werden können, dass die einzige Interaktion darin besteht, dass andere Parteien die korrekte Ausführung überwachen. Dies ermöglicht eine (schwach interaktive) Programm-Obfuszierung, bei der eine Partei ein durch Karten codiertes Programm auf eigenen Eingaben ausführen kann, ohne etwas über dessen interne Funktionsweise zu lernen, das über das Ein-/Ausgabeverhalten hinaus geht. Dies ist ohne derartige physikalische Annahmen i.A. nicht möglich. Zusätzlich wird eine Sicherheit gegen Angreifer, die auch vom Protokoll abweichen dürfen, formalisiert und es wird eine Methode angegeben um unter möglichst schwachen Sicherheitsannahmen ein passiv sicheres Protokoll mechanisch in ein aktiv sicheres zu transformieren (Koch und Walzer, 2017). Eine weitere, in der Dissertation untersuchte physikalische Sicherheitsannahme, ist die Annahme primitiver, unkorrumpierbarer Hardware-Bausteine, wie z.B. einen TAN-Generator. Dies ermöglicht z.B. eine sichere Authentifikation des menschlichen Nutzers über ein korrumpiertes Terminal, ohne dass der Nutzer selbst kryptographische Berechnungen durchführen muss (z.B. große Primzahlen zu multiplizieren). Dies wird am Beispiel des Geldabhebens an einem korrumpierten Geldautomaten mit Hilfe eines als sicher angenommenen zweiten Geräts (Achenbach et al., 2019) und mit möglichst schwachen Anforderungen an die vorhandenen Kommunikationskanäle gelöst. Da das angegebene Protokoll auch sicher ist, wenn es beliebig mit anderen gleichzeitig laufenden Protokollen ausgeführt wird (also sogenannte Universelle Komponierbarkeit aufweist), es modular entworfen wurde, und die Sicherheitsannahme glaubwürdig ist, ist die Funktionsweise für den Menschen transparent und nachvollziehbar. Insgesamt bildet die Arbeit durch die verschiedenen Karten-basierten Protokolle, Kalküle und systematisierten Beweise für untere Schranken bzgl. der Kartenanzahl, sowie durch Ergebnisse zur sicheren Verwendung eines nicht-vertrauenswürdigen Terminals, und einer Einordnung dieser in eine systematische Darstellung der verschiedenen, in der Kryptographie verwendeten physikalischen Annahmen, einen wesentlichen Beitrag zur physikalisch-basierten Kryptographie

Multi-photon entanglement and applications in quantum information

Since the awareness of entanglement was raised by Einstein, Podolski, Rosen and Schrödinger in the beginning of the last century, it took almost 55 years until entanglement entered the laboratories as a new resource. Meanwhile, entangled states of various quantum systems have been investigated. Sofar, their biggest variety was observed in photonic qubit systems. Thereby, the setups of today's experiments on multi-photon entanglement can all be structured in the following way: They consist of a photon source, a linear optics network by which the photons are processed and the conditional detection of the photons at the output of the network. In this thesis, two new linear optics networks are introduced and their application for several quantum information tasks is presented. The workhorse of multi-photon quantum information, spontaneous parametric down conversion, is used in different configurations to provide the input states for the networks. The first network is a new design of a controlled phase gate which is particularly interesting for applications in multi-photon experiments as it constitutes an improvement of former realizations with respect to stability and reliability. This is explicitly demonstrated by employing the gate in four-photon experiments. In this context, a teleportation and entanglement swapping protocol is performed in which all four Bell states are distinguished by means of the phase gate. A similar type of measurement applied to the subsystem parts of two copies of a quantum state, allows further the direct estimation of the state's entanglement in terms of its concurrence. Finally, starting from two Bell states, the controlled phase gate is applied for the observation of a four photon cluster state. The analysis of the results focuses on measurement based quantum computation, the main usage of cluster states. The second network, fed with the second order emission of non-collinear type II spontaneous parametric down conversion, constitutes a tunable source of a whole family of states. Up to now the observation of one particular state required one individually tailored setup. With the network introduced here many different states can be obtained within the same arrangement by tuning a single, easily accessible experimental parameter. These states exhibit many useful properties and play a central role in several applications of quantum information. Here, they are used for the solution of a four-player quantum Minority game. It is shown that, by employing four-qubit entanglement, the quantum version of the game clearly outperforms its classical counterpart. Experimental data obtained with both networks are utilized to demonstrate a new method for the experimental discrimination of different multi-partite entangled states. Although theoretical classifications of four-qubit entangled states exist, sofar there was no experimental tool to easily assign an observed state to the one or the other class. The new tool presented here is based on operators which are formed by the correlations between local measurement settings that are typical for the respective quantum state.Fast 55 Jahre vergingen bis die Entdeckung des Phänomens der Verschränkung durch Einstein, Podolski, Rosen und Schrödinger Ende des zwanzigsten Jahrhunderts Einzug in die Labore hielt. Mittlerweile wurde eine Vielfalt von verschränkten Zuständen untersucht; die größte davon in Systemen photonischer Qubits. Alle modernen Experimente zu viel-Photonen Verschränkung lassen sich in drei wesentliche Bestandteile untergliedern: Eine Photonenquelle, ein Netzwerk aus linearen optischen Komponenten welches die Photonen verarbeitet, und eine bedingte Detektion der Photonen am Ausgang des Netzwerks. Die vorliegende Arbeit führt zwei neue Netzwerke ein und präsentiert deren Anwendungen in verschiedenen Problemstellungen der Quanteninformation. Als Photonenquelle dient hierbei der Prozeß der spontanen parametrischen Fluoreszenz in unterschiedlichen Konfigurationen. Das erste Netzwerk ist ein neuartiges Kontroll-Phasengatter das sich gegenüber früheren Realisierungen vor allem durch seine hohe Stabilität auszeichnet. Wie anhand mehrerer Beispiele gezeigt wird, eignet es sich besonders für den Einsatz in mehr-Photonen Experimenten. Mit Hilfe des Gatters werden alle vier Bell Zustände in einem Teleportations- und "entanglement swapping" Experiment unterschieden. Ein ähnlicher experimenteller Aufbau erlaubt ferner die direkte Messung der Verschränkung zweier Kopien eines Zustands in Form der "Concurrence". Ausgehend von zwei Bell Zuständen wird das Gatter darüberhinaus zur Beobachtung eines Vier-Photonen "Cluster Zustands" verwendet. Die Analyse der Ergebnisse konzentriert sich dabei auf die Hauptanwendung von Cluster Zuständen, das meßbasierte Quantenrechnen. Das zweite Netzwerk bildet, zusammen mit der Emission zweiter Ordnung der parametrischen Fluoreszenz als Input, eine einstellbare Quelle verschiedenster Zustände. Während die Beobachtung eines Zustands bisher einen individuell maßgeschneiderten Versuchsaufbau benötigte, können mit dem neuen Netzwerk viele verschiedene Zustände innerhalb desselben Aufbaus beobachtet werden. Dies erfordert lediglich die Veränderung eines einzelnen, leicht zugänglichen experimentellen Parameters. Die so erzeugten Zustände besitzen eine Reihe nützlicher Eigenschaften und spielen eine zentrale Rolle in vielen Anwendungen. Hier werden sie zur Lösung eines vier-Parteien Quanten "Minority" Spiels verwendet. Es wird gezeigt, dass die Quanten Version des Spiels durch den Einsatz von vier-Qubit Verschränkung sein klassisches Pendant an Möglichkeiten deutlich übertrifft. Mit Hilfe experimenteller Daten beider Netzwerke wird eine neue Methode der Unterscheidung vier-Qubit verschränkter Zustände vorgestellt. Obwohl theoretische Klassifizierungen verschränkter Zustände existieren, gab es bisher keine einfache experimentelle Methode einen beobachteten Zustand der einen oder anderen Klasse zuzuordnen. Das hier vorgestellte Konzept ermöglicht eine experimentelle Klassifizierung basierend auf Operatoren die aus zustandsabhängigen Korrelationsmessungen bestimmt werden

Models of Political Economy

Models of Political Economy will introduce students to the basic methodology of political economics. It covers all core theories as well as new developments including: decision theory game theory mechanism design games of asymmetric information. Hannu Nurmi's text will prove to be invaluable to all students who wish to understand this increasingly technical field

LIPIcs, Volume 251, ITCS 2023, Complete Volume

LIPIcs, Volume 251, ITCS 2023, Complete Volum

On Unconditionally Secure Multiparty Computation for Realizing Correlated Equilibria in Games

In game theory, a trusted mediator acting on behalf of the players can enable the attainment of correlated equilibria, which may provide better payoffs than those available from the Nash equilibria alone. We explore the approach of replacing the trusted mediator with an unconditionally secure sampling protocol that jointly generates the players actions. We characterize the joint distributions that can be securely sampled by malicious players via protocols using error free communication. This class of distributions depends on whether players may speak simultaneously (cheap talk) or must speak in turn (polite talk). In applying sampling protocols toward attaining correlated equilibria with rational players, we observe that security against malicious protocols may be much stronger than necessary. We propose the concept of secure sampling by rational players, and show that many more distributions are feasible given certain utility functions. However, the payoffs attainable via secure sampling by malicious players are a dominant subset of the rationally attainable payoffs