通用的半诚恳公钥OT协定
之前曾经介绍过Naor-Pinkas不经意传输协定,Naor-Pinkas不经意传输协定基于离散对数艰难问题,这次介绍一个通用的基于公钥的半诚恳平安的不经意传输协定和Beaver的非黑盒结构。
有一个发送方Alice和一个接管方Bob,这个协定的前提条件是可能在公钥空间里随机采样取得一个公钥。而不是先取得私钥,再通过私钥产生公钥。
简略的说就是可能随机生成一个和公钥格局雷同的随机数。Alice在协定中的输出为机密值\( 𝑥_0,𝑥_1 \),Bob在协定的输出为抉择比特𝑏∈{0,1} 。
协定开始时,Bob首先生成一个公私钥对(\( 𝑝𝑘_{Bob},𝑠𝑘_{Bob} \)),并在公钥空间里进行随机采样,再生成一个随机公钥\( 𝑝𝑘′_{Bob} \),Bob依据本人输出的抉择比特b,如果抉择比特𝑏=0,那么Bob将(\( 𝑝𝑘_{Bob}, 𝑝𝑘′_{Bob} \))发送给Alice;如果抉择比特𝑏=1,那么Bob将(\( 𝑝𝑘′_{Bob}, 𝑝𝑘_{Bob} \))发送给Alice。
将Alice从Bob那收到的公钥记为(\( 𝑝𝑘_0,𝑝𝑘_1 \)),Alice收到Bob发来的公钥对后,向Bob发送两个密文(\( 𝑒_0,𝑒_1 \)),其中
$$
𝑒_0=𝐸𝑛𝑐_{𝑝𝑘0}(𝑥_0),𝑒_1=𝐸𝑛𝑐_{𝑝𝑘1}(𝑥_1)
$$
\( 𝐸𝑛𝑐_y(𝑥) \)指用加密算法Enc和加密秘钥y加密x。
Bob 接管到(\( 𝑒_0,𝑒_1 \))后,应用本人的私钥\( 𝑠𝑘_{Bob} \)解密密文\( 𝑒_𝑏 \)。
该不经意传输协定基于半诚恳的,即Bob和Alice都不会违反协定,恪守协定的规定,Bob产生的公钥\( 𝑝𝑘′_{Bob} \)是随机产生的,Bob无奈得悉公钥\( 𝑝𝑘′_{Bob} \)所对应的私钥。
如果Bob是歹意的用户,不恪守协定规定,先产生一个私钥\( 𝑠𝑘′_{Bob} \)后再依据\( 𝑠𝑘′_{Bob} \)产生对应的公钥\( 𝑝𝑘′_{Bob} \),则Alice发送过去的(\( 𝑒_0,𝑒_1 \))Bob均可解密,所以协定前提是半诚恳的。
Bob不晓得\( 𝑝𝑘′_{Bob} \)所对应的私钥,也就只能解密(\( 𝑒_0,𝑒_1 \))其中之一,无奈解密Alice应用\( 𝑝𝑘′_{Bob} \)加密的\( 𝑥_{1-b} \)。
Beaver的非黑盒结构
之前介绍过的多个混同电路估值协定都须要应用到不经意传输协定,Beaver提出了一种自举姚氏混同电路协定(bootstrapping Yao’s GC protocol),能够用大量的公钥密码学操作生成多项式数量级的不经意传输协定。
假如Alice是发送方,Bob是接管方。有一个布尔电路C,该电路可能实现不经意传输函数F,函数F的输出是加密过的Bob的抉择比特串以及Alice的机密值对,输入是OT协定的执行后果。有一个伪随机函数𝐺(𝑥),能够将𝑘比特的输出𝑥扩大到𝑚比特。
Bob产生𝑚比专长的抉择比特串𝑏,和𝑘比专长的随机比特串𝑟,利用伪随机函数𝐺(𝑟)来将𝑟扩大到𝑚比专长,之后Bob向Alice发送𝐺(𝑟)⨁𝑏。
Alice收到𝐺(𝑟)⨁𝑏后,将收到的𝐺(𝑟)⨁𝑏和本人持有的机密值对
$$
{(𝑥_{10},𝑥_{11}),(𝑥_{20},𝑥_{21}),…,(𝑥_{m0},𝑥_{m1})}
$$
作为函数F的输出。之后Bob再向函数F输出𝑟,函数F会通过由Bob输出的𝑟计算出𝐺(𝑟)后对𝐺(𝑟)⨁𝑏进行解密失去𝑏,再利用抉择比特串𝑏从Alice的机密值对中进行抉择,并输入抉择后果。
即对于函数F而言,它只须要Bob的𝑘比特的输出𝑟。函数F的实现能够通过混同电路,在Alice因为不晓得𝑟,因而无奈解密出𝑏。Alice计算函数F对应的布尔电路后,对其进行混同。
之后Alice将混同电路以及𝐺(𝑟)⨁𝑏和\( {(𝑥_{10},𝑥_{11}),(𝑥_{20},𝑥_{21}),…,(𝑥_{m0},𝑥_{m1})} \)对应的导线加密值发送给 Bob,Bob则通过𝑘次OT协定获取对应的输出导线的加密值,进行电路估值。
若𝐺(𝑟)⨁𝑏曾经在协定开始之前发送给了Alice,那么 Bob在协定中须要输出的只有𝑘比特随机比特串𝑟,因为混同电路的输出比特数量和须要执行的OT次数相关联,Alice事后生成混同电路后发送给Bob,Bob通过𝑘次OT获取输出𝑟的各个比特对应的混同秘钥,进行电路估值。
若不应用这种构造间接进行OT协定,因为抉择比特串𝑏是𝑚比专长,因而须要𝑚个OT协定。通过这种结构胜利将𝑚个OT协定降为了𝑘个OT协定。
发表回复