Rot13 表示数字

Question

编辑：现在是 http://messymatters.com/sealedbids 的主要运动博客帖子

rot13 的想法是隐藏文本，例如防止剧透。它并不是为了加密安全，而只是为了确保只有确定要阅读它的人才能阅读它。

对于涉及密封投标的应用程序，我想对数字做类似的事情。大致上，我想将我的号码发送给某人，并相信他们会选择自己的号码，不受我的影响，但是当他们准备好时，他们应该能够透露我的号码（纯粹是客户端）。他们不应要求我或任何第三方提供进一步的意见。

（补充：请注意接受者被信任不会作弊的假设。）

它不像 rot13 那样简单，因为某些数字（例如 1 和 2）会经常出现，以至于您可能会记得，例如，34.2 确实是 1。

这是我正在寻找的具体内容：

将实数映射到实数（或字符串）的函数 seal()。它应该不是确定性的—— seal(7) 不应该每次都映射到同一个东西。但是相应的函数 unseal() 应该是确定性的—— unseal(seal(x)) 应该等于所有 x 的 x。我不希望 seal 或 unseal 调用任何 web 服务甚至获取系统时间（因为我不想假设同步时钟）。 （补充：可以假设所有出价都低于某个最大值，每个人都知道，比如一百万。）

完整性检查：

> seal(7)
482.2382   # some random-seeming number or string.
> seal(7)
71.9217    # a completely different random-seeming number or string.
> unseal(seal(7))
7          # we always recover the original number by unsealing.

Answer 1

您可以将您的数字作为 4 字节浮点数与另一个随机浮点数打包成双精度并发送。然后客户端只需要获取前四个字节。在python中：

import struct, random
def seal(f):
   return struct.unpack("d",struct.pack("ff", f, random.random() ))[0]
def unseal(f):
   return struct.unpack("ff",struct.pack("d", f))[0]

>>> unseal( seal( 3))
3.0
>>> seal(3)
4.4533985422978706e-009
>>> seal(3)
9.0767582382536571e-010

Answer 2

这是一个受 Svante 回答启发的解决方案。

M = 9999  # Upper bound on bid.
seal(x) = M * randInt(9,99) + x
unseal(x) = x % M

完整性检查：

> seal(7)
716017
> seal(7)
518497
> unseal(seal(7))
7

这需要调整以允许负出价：

M = 9999  # Numbers between -M/2 and M/2 can be sealed.
seal(x) = M * randInt(9,99) + x
unseal(x) = 
  m = x % M; 
  if m > M/2 return m - M else return m

这个解决方案的一个好处是接收者解码是多么微不足道 - 只需 9999 的 mod（如果是 5000 或更多，那么它是一个负出价，所以再减去 9999）。隐藏的出价最多为 6 位数，这也很好。 （这对于我的想法来说非常安全——如果出价可能超过 5000 美元，那么我会使用更安全的方法。当然，这种方法中的最高出价可以设置为你想要的最高值。）

平信徒须知

在 9 到 99 之间选择一个数字，然后乘以 9999，然后加上您的出价。 这将产生一个 5 或 6 位数字来编码您的出价。 要打开它，除以 9999，减去小数点左边的部分，然后乘以 9999。 （这被儿童和数学家分别称为“除以 9999 时求余数”或“除以 9999”。）

这适用于小于 9999 的非负出价（如果这还不够，请使用 99999 或任意数量的数字）。 如果您想允许负出价，那么神奇的 9999 数字需要是最大可能出价的两倍。 并且在解码时，如果结果大于9999的一半，即5000或更多，则减去9999得到实际（负）出价。

再次请注意，这是在荣誉系统中：技术上没有什么可以阻止您在看到对方的号码时立即打开它。

Answer 3

如果您依赖用户的诚实并且只处理整数出价，那么您只需要使用随机数进行简单的 XOR 操作，C# 中的示例：

static Random rng = new Random();

static string EncodeBid(int bid)
{
    int i = rng.Next();
    return String.Format("{0}:{1}", i, bid ^ i);
}

static int DecodeBid(string encodedBid)
{
    string[] d = encodedBid.Split(":".ToCharArray());
    return Convert.ToInt32(d[0]) ^ Convert.ToInt32(d[1]);
}

用途：

int bid = 500;
string encodedBid = EncodeBid(bid); // encodedBid is something like 54017514:4017054 and will be different each time
int decodedBid = DecodeBid(encodedBid); // decodedBid is 500

将解码过程转换为客户端结构应该很简单。

Answer 4

有最高出价吗？如果是这样，您可以这样做：

设max-bid 为最高出价，a-bid 为您要编码的出价。将max-bid 乘以一个相当大的随机数（如果你想在最后一步使用base64 编码，max-rand 应该是(2^24/max-bid)-1，min-rand 可能是其中的一半），然后加上a-bid。对此进行编码，例如通过base64。

然后收件人只需解码并找到余数模 max-bid。

Answer 5

您想做的事情（Commitment scheme）不可能仅在客户端进行。您能做的最好的事情就是使用共享密钥进行加密。

如果客户不需要你的合作来显示号码，他们可以修改程序来显示号码。您还不如只是发送它而不显示它。

要正确执行此操作，您可以发送出价的安全哈希 + 随机盐。这会让你承诺你的出价。其他客户可以以同样的方式承诺他们的出价。然后你们各自分享你的出价和盐。

[edit] 因为你信任另一个客户：

Sender:
Let M be your message
K = random 4-byte key
C1 = M xor hash(K) //hash optional: hides patterns in M xor K
//(you can repeat or truncate hash(K) as necessary to cover the message)
//(could also xor with output of a PRNG instead)
C2 = K append M //they need to know K to reveal the message
send C2 //(convert bytes to hex representation if needed)

Receiver:
receive C2
K = C2[:4]
C1 = C2[4:]
M = C1 xor hash(K)

Answer 6

如果您想让它起作用，您是否知道您需要比原来更大的“密封”数字集？

所以你需要以某种方式限制你的真实数字，或者存储你没有显示的额外信息。

Answer 7

一个简单的方法是写这样的消息：

“我的出价是：14.23 美元：aduigfurjwjnfdjfugfojdjkdskdfdhfddfuiodrnfnghfifyis”

所有这些垃圾都是随机生成的，并且每次都不同。

向对方发送消息的 SHA256 哈希值。让他们向您发送他们出价的哈希值。然后，一旦你们都有哈希值，发送完整的消息，并确认他们的出价与他们给你的哈希值一致。

这提供了比您需要的更强有力的保证 - 实际上，在您向他们发送完整消息之前，他们不可能计算出您的出价。但是，没有您描述的 unseal() 函数。

这个简单的方案具有完全零知识方案所没有的各种弱点。例如，如果他们通过向您发送随机数而不是散列来欺骗您，那么他们可以在不透露自己的情况下计算出您的出价。但你没有要求防弹。这可以防止意外和（我认为）无法检测到的作弊，并且只使用一个常用的命令行实用程序，外加一个随机数生成器（骰子就可以）。

如您所说，如果您希望他们能够在没有您进一步输入的情况下恢复您的出价，并且您愿意相信他们只会在他们发布出价后这样做，那么只需使用任何旧的对称密码进行加密（gpg --symmetric，也许）和键，“rot13”。这将防止意外作弊，但允许无法察觉的作弊。

Answer 8

我突然想到的一个想法是，你的算法可能基于数学 用于安全密钥共享。

如果你想给 Bob 和 Alice 两个人各半个密钥，那么 只有当它们组合在一起时，它们才能打开任何钥匙锁，你是怎么做到的？解决这个问题的方法来自数学。假设您在 x/y 坐标系中有两个点 A (-2,2) 和 B (2,0)。

               |
       A       +
               |
               C
               |
---+---+---+---|---+---B---+---+---+---
               |
               +
               |
               +

如果你在它们之间画一条直线，它将恰好在一个点 C (0,1) 处穿过 y 轴。 如果你只知道 A 点或 B 点之一，就不可能知道它会在哪里交叉。 因此，您可以让点 A 和 B 成为共享键，当它们组合时将显示 y 值 的交叉点（即本例中的 1），然后该值通常用作 真正的钥匙。

对于您的投标应用，您可以让 seal() 和 unseal() 交换 C 点和 B 点之间的 y 值 （确定性），但 A 点会不时变化。

这种方式密封（B点的y值）将根据A点给出完全不同的结果， 但是 unseal(seal(y-value of point B)) 应该返回 B 的 y 值，这就是您所要求的。

PS 不需要将 A 和 B 放在 y 轴的不同侧，但从概念上来说，以这种方式考虑要简单得多（我建议也以这种方式实现）。

通过这条直线，您可以在几个人之间共享密钥，这样只有两个人 他们需要解锁任何东西。可以使用直线以外的曲线类型来创建其他 密钥共享属性（即需要 3 个密钥中的 3 个等）。

Answer 9

伪代码：

编码：

value = 2000
key = random(0..255); // our key is only 2 bytes

// 'sealing it'
value = value XOR 2000;

// add key
sealed = (value << 16) | key

解码：

key = sealed & 0xFF
unsealed = key XOR (sealed >> 16)

这行得通吗？

Answer 10

由于您似乎假设其他人在他们自己出价之前不想知道您的出价，并且可以相信不会作弊，您可以尝试可变旋转方案：

from random import randint

def seal(input):
    r = randint(0, 50)
    obfuscate = [str(r)] + [ str(ord(c) + r) for c in '%s' % input ]
    return ':'.join(obfuscate)

def unseal(input):
    tmp = input.split(':')
    r = int(tmp.pop(0))
    deobfuscate = [ chr(int(c) - r) for c in tmp ]
    return ''.join(deobfuscate)

# I suppose you would put your bid in here, for 100 dollars
tmp = seal('$100.00') # --> '1:37:50:49:49:47:49:49' (output varies)
print unseal(tmp) # --> '$100.00'

在某些时候（我想我们可能已经通过了）这会变得很愚蠢，因为它非常简单，你应该只使用简单的加密，消息接收者总是知道密钥——也许是这个人的用户名。

Answer 11

如果出价是相当大的数字，那么与一些预定的随机数进行按位异或怎么样？然后再次异或将检索原始值。
只要客户端和服务器都知道，您可以随意更改数字。

Answer 12

您可以设置不同的基数（例如 16、17、18 等），并跟踪您使用哪个基数“密封”出价...

当然，这是假设大数（> 至少是您使用的基数）。如果它们是十进制，您可以删除该点（例如，27.04 变为 2704，然后您将其转换为基数 29...）

您可能希望使用基数 17 到 36（只是因为有些人可能会识别十六进制并能够在他们的脑海中翻译它......）

这样，您将拥有 G4 或 Z3 或 KW 之类的数字（取决于您要密封的数字）...

Answer 13

这里有一个廉价的方式来搭载 rot13：

假设我们有一个生成类似“fdjk alqef lwwqisvz”的函数 gibberish() 和一个将数字 x 转换为单词的函数 words(x)，例如 words(42) 返回“四十二”（没有连字符） .

然后定义

seal(x) = rot13(gibberish() + words(x) + gibberish())

和

unseal(x) = rot13(x)

当然 unseal 的输出不是一个实际的数字，只对人类有用，但这可能没问题。 您可以使用 word-to-number 函数让它变得更复杂一些，它也会丢弃所有乱码（定义为任何不是数字词之一的东西——我认为少于一百个） .

完整性检查：

> seal(7)
fhrlls hqufw huqfha frira afsb ht ahuqw ajaijzji
> seal(7)
qbua adfshua hqgya ubiwi ahp wqwia qhu frira wge
> unseal(seal(7))
sueyyf udhsj seven ahkua snsfo ug nuhdj nwnvwmwv

我知道这很愚蠢，但如果你只有 rot13 可用，这是一种“手动”操作的方法。