シミュレーションベースのプルーフでのゲームベースのプルーフの使用

シミュレーションベースのセキュリティは、ゲームベースのセキュリティよりも自然で強力なセキュリティの定義を提供します。シミュレーションベースのアプローチが、ゲームベースの証明を部分的に使用して、プロトコルの一部のセキュリティを証明するのを見てきました。たとえば、プロトコルのセキュリティを評価するために、プロトコルの実行中に交換されるラウンドの複雑さまたはメッセージ全体について、ゲームベースのアプローチが取られますが、フレームワーク（私の研究ではUCフレームワーク）に関するプロトコル自体のセキュリティは理想/現実のパラダイム（つまり、シミュレーションベースのアプローチ）で証明されています。

質問：プロトコル設計がシミュレーションアプローチに準拠する必要がある場合、ゲームベースのアプローチを使用して、プロトコルの一部またはプロトコル全体のセキュリティを証明できるのはどのような場合ですか？このアプローチは、シミュレーションベースのフレームワークに関するプロトコル全体のセキュリティに関連しない限り、どのような理由でもいつでも使用できますか？

例を通して説明しましょう：私はUCフレームワーク（シミュレーションベース）上のグループキー交換プロトコルを研究していますが、プロトコルはCCAセキュア（敵対者とオラクルの間のゲームによって証明された）またはCCA2である暗号化スキームを使用しています安全（ゲームベースのアプローチでも実証済み）、署名は実存的に偽造不可（ゲームベースのアプローチでも）である必要があり、最後にプロトコルの通信コストが計算され、プロトコルセキュリティの分析は、敵対者とシミュレータ。最後に、プロトコルがUC規制に準拠していることを証明するための証明が行われます。

この問題を扱った1つの論文は、ゲームとダッタ他による実現可能な理想的な機能の不可能性ですが、問題を完全に一般的に扱っているようには見えません。サブプロトコルの特定のゲームベースのセキュリティプロパティに基づいて、プロトドル全体のシミュレーションベースのセキュリティを保証する一般的なステートメントを知りません（もちろん、ゲームベースの定義がシミュレーションベースのセキュリティを示唆している場合を除き、 Canettiによる構成定理が適用されます）。

ただし、ゲームベースのセキュリティからシミュレーションベースのセキュリティを取得できる特定のインスタンスは存在します。私の見解で最もわかりやすい例は、FeigeとShamirによるNPの定数ラウンドのゼロ知識（ZK）引数（例：FeigeのPhDを参照）であり、目撃者識別（WI）および目撃者非表示（WH）サブプロトコルに基づいています。 。WIとWHはどちらも（ほぼ間違いなく）ゲームベースの定義ですが、プロトコル全体がZKであることが証明できます（これは、少なくともインタラクティブなプロトコルでは、すべてのシミュレーションベースの定義の母です）。