SIAM Journal on Computing, Volume 50, Issue 1, Page 32-67, January 2021.
In the conditional disclosure of secrets (CDS) problem [Gertner et al., J. Comput. System Sci., 60 (2000), pp. 592--629] Alice and Bob, who hold inputs $x$ and $y$, respectively, wish to release a common secret $s$ to Carol (who knows both $x$ and $y$) if and only if the input $(x,y)$ satisfies some predefined predicate $f$. Alice and Bob are allowed to send a single message to Carol which may depend on their inputs and some joint randomness and the goal is to minimize the communication complexity while providing information-theoretic security. In this work, we initiate the study of CDS manipulation techniques and derive the following positive and negative results: (Closure) A CDS for $f$ can be turned into a CDS for its complement $\bar{f}$ with only a minor blow-up in complexity. More generally, for a (possibly nonmonotone) predicate $h$, we obtain a CDS for $h(f_1,\ldots,f_m)$ whose cost is essentially linear in the formula size of $h$ and polynomial in the CDS complexity of $f_i$. (Amplification) It is possible to reduce the privacy and correctness error of a CDS from constant to $2^{-k}$ with a multiplicative overhead of $O(k)$. Moreover, this overhead can be amortized over $k$-bit secrets. (Amortization) Every predicate $f$ over $n$-bit inputs admits a CDS for multibit secrets whose amortized communication complexity per secret bit grows linearly with the input length $n$ for sufficiently long secrets. In contrast, the best known upper-bound for single-bit secrets is exponential in $n$. (Lower-bounds) There exists a (nonexplicit) predicate $f$ over $n$-bit inputs for which any perfect (single-bit) CDS requires communication of at least $\Omega(n)$. This is an exponential improvement over the previously known $\Omega(\log n)$ lower-bound. (Separations) There exists an (explicit) predicate whose CDS complexity is exponentially smaller than its randomized communication complexity. This matches a lower-bound of Gay, Kerenidis, and Wee [Advances in Cryptology, Lecture Notes in Comput. Sci. 9216, Springer, New York, 2015, pp. 485--502] and, combined with another result of theirs, yields an exponential separation between the communication complexity of linear CDS and non-linear CDS. This is the first provable gap between the communication complexity of linear CDS (which captures most known protocols) and nonlinear CDS.

中文翻译：

---

有条件地披露秘密：放大，封闭，摊销，下界和分隔

SIAM计算杂志，第50卷，第1期，第32-67页，2021年1月。
在有条件的秘密公开（CDS）问题中[Gertner等人，J。Comput。System Sci。，60（2000），pp。592--629]分别持有输入$ x $和$ y $的Alice和Bob希望向Carol（他们都知道$ x仅当输入$（x，y）$满足某些预定义谓词$ f $时，才可以使用$和$ y $）。爱丽丝和鲍勃被允许向卡罗尔发送一条消息，该消息可能取决于他们的输入和某些联合随机性，目标是在提供信息论安全性的同时最大程度地减少通信复杂性。在这项工作中，我们开始对CDS操纵技术进行研究，并得出以下正面和负面结果：（关闭）仅需花费很少的费用，就可以将$ f $的CDS转换为其补充$ \ bar {f} $的CDS。复杂性爆炸。更一般而言，对于（可能是非单调的）谓词$ h $，我们获得了$ h（f_1，\ ldots，f_m）$的CDS，其成本在$ h $的公式大小中基本上是线性的，而在$ f_i $的CDS复杂度中是多项式的。（放大）可以将CDS的保密性和正确性误差从常数减小到$ 2 ^ {-k} $，乘积为$ O（k）$。而且，这种开销可以分摊到$ k $位的秘密中。（摊销）每个谓词$ f $超过$ n $位的输入都会允许CDS接收多位秘密，其每秘密位的摊销通信复杂度随着输入长度$ n $线性增长而足够长。相反，最知名的单位秘密上限是$ n $的指数形式。（下界）存在一个（非明确的）谓词$ f $超过$ n $位的输入，对于这些谓词，任何完美的（单位）CDS都需要至少$ \ Omega（n）$的通信。与先前已知的$ \ Omega（\ log n）$下界相比，这是指数级的改进。（分离）存在一个（显式）谓词，其CDS复杂度比其随机通信的复杂度小。这与下限的Gay，Kerenidis和Wee [在密码学方面的进展，在Comput中的讲义]相匹配。科学 9216，Springer，纽约，2015年，第485--502页]，并结合其另一个结果，得出线性CDS与非线性CDS的通信复杂度之间的指数分离。这是线性CDS（捕获了大多数已知协议）和非线性CDS的通信复杂性之间的第一个可证明的差距。（分离）存在一个（显式）谓词，其CDS复杂度比其随机通信的复杂度小。这与下限的Gay，Kerenidis和Wee [在密码学方面的进展，在Comput中的讲义]相匹配。科学 9216，Springer，纽约，2015年，第485--502页]，并结合其另一个结果，得出线性CDS与非线性CDS的通信复杂度之间的指数分离。这是线性CDS（捕获了大多数已知协议）和非线性CDS的通信复杂性之间的第一个可证明的差距。（分离）存在一个（显式）谓词，其CDS复杂度比其随机通信的复杂度小。这与下限的Gay，Kerenidis和Wee [在密码学方面的进展，在Comput中的讲义]相匹配。科学 9216，Springer，纽约，2015年，第485--502页]，并结合其另一个结果，得出线性CDS与非线性CDS的通信复杂度之间的指数分离。这是线性CDS（捕获了大多数已知协议）和非线性CDS的通信复杂性之间的第一个可证明的差距。在线性CDS和非线性CDS的通信复杂度之间产生指数分隔。这是线性CDS（捕获了大多数已知协议）和非线性CDS的通信复杂性之间的第一个可证明的差距。在线性CDS和非线性CDS的通信复杂度之间产生指数分隔。这是线性CDS（捕获了大多数已知协议）和非线性CDS的通信复杂性之间的第一个可证明的差距。