OT 擴展論文:為什麼是G米+1≰m×AND乙G米+1≰米×一個ñD乙G_{m+1} nleq m times AND_B?
我正在閱讀這篇論文,其中 Beaver 展示瞭如何通過在亂碼電路中實現偽隨機數生成器來獲取少量不經意傳輸 (OT) 並將它們擴展到任意數量的 OT。很酷。
然後他繼續表明,雖然這在各方計算有界的情況下有效,但當各方不受計算限制時,實際上不可能進行 OT 擴展。
這就是我卡住的地方。我不明白他對引理 7 的證明。“Bob 應用 1”是什麼意思?什麼是 $ x $ 和 $ y $ ? (我認為它們是 Alice 和 Bob 各自對 $ AND $ 門,但這在上下文中似乎沒有意義。)
一、什麼是 $ AND_B $ ? $ AND_B $ 是非對稱 AND 協議,其中 Alice 和 Bob 各有一個比特 $ x $ 和 $ y $ ,最後 Alice 總是什麼都沒學到(得到輸出 0)而 Bob 學習 $ x \land y $ . 在引理 4 中它說 $ AND_B $ 可以通過 1 次呼叫來實現 $ (^2_1)OT $ .
那麼什麼是 $ G_{m+1} $ ? $ G_{m} $ 是一個協議,其中 Alice 有一個 $ m $ -位長字元串 $ x $ , Bob 有一點 $ y $ . 最後,Alice 總是什麼都沒學到(得到輸出 $ 0^m $ – $ m $ -bit 字元串,全為 0),Bob 得到 $ 0^m $ 如果 $ y=0 $ 或者 $ x $ 如果 $ y=1 $ . 引理 6 說 $ G_{m} $ 可以通過 $ m $ 呼叫 $ AND_B $ . 很簡單:對於 $ i $ -th 呼叫 $ AND_B $ ,愛麗絲使用 $ x_i $ , 這 $ i $ -th 位 $ x $ ,作為輸入 $ AND_B $ , Bob 使用 $ y $ 作為輸入獲得 0 或 $ x_i $ . 後 $ m $ 呼叫,鮑勃得到 $ 0^m $ 或者 $ x $ .
引理 7 然後顯示 $ G_{m+1} $ 無法實現 $ m $ 呼叫 $ AND_B $ (在計算上無限的對手存在的情況下)。現在 $ x $ 是 Alice 的輸入,它是 $ m+1 $ 位串和 $ y $ 是鮑勃的輸入,有點。一件事立即清楚的是,如果愛麗絲和鮑勃繼續做他們上面所做的事情,鮑勃就不可能得到所有 $ m+1 $ 比特是安全的,因為總是有最後一個比特不能安全地傳輸給 Bob。
所以他們必須以不同的方式做事。但是怎麼做?一種可能性是,而不是總是使用 $ y $ 作為輸入 $ AND_B $ , Bob 可以使用 $ y’\ne y $ 作為輸入,有一些機率。證明的第一部分只是試圖說“不,Bob 必須始終使用 $ y $ “。在證明中,“Bob 應用 1 | y=0”意味著 Bob 使用 $ y’=1 $ 作為呼叫的輸入 $ AND_B $ 雖然 $ y=0 $ . 有 3 種情況,在第一種情況下 Bob 從呼叫中一無所獲——所以這樣做沒有意義;在第二種情況下,Bob 得到了他不應該知道的東西(侵犯了 Alice 的隱私);在第三種情況下,它是安全的,Bob 得到了他應得的,但他必須使用 $ 1 $ 什麼時候 $ y=1 $ 和 $ 0 $ 什麼時候 $ y=0 $ . 總之,鮑勃不能做任何不同的事情。
那麼愛麗絲可以做一些不同的事情嗎?愛麗絲可以對她的資訊進行編碼 $ x $ 進入某事 $ (\tau,\sigma) $ 這樣 $ \tau $ 給予 $ Bob $ 明確,並且 $ \sigma $ 是 $ m $ - 有點長。因此,如果 $ y=1 $ , Bob 可以收到 $ \sigma $ 使用 $ m $ - 呼叫 $ AND_B $ . 然後 Bob 可以解碼 $ x $ 回用 $ (\tau,\sigma) $ . 然而, $ \tau $ 不獨立於 $ x $ ,從而給 $ \tau $ Bob 將洩露有關資訊 $ x $ 什麼時候 $ y=0 $ . 請注意,愛麗絲不能給 $ \tau $ 只有當 $ y=1 $ 因為這意味著愛麗絲知道 $ y $ . 因此,Alice 不能做這種編碼的事情,必須像以前一樣行動。
現在因為 Bob 和 Alice 不能做任何不同的事情,所以沒有辦法 $ G_{m+1} $ 可以通過 $ m $ 呼叫 $ AND_B $ .