1-out-of-N 不經意轉移的“共享”變體
在傳統的
1-out-of-nOT中,我們假設Alice有一個數組 $ A={x_1,{\cdots},x_n} $ 並且Bob有 $ idx=i\in{1,{\cdots},n} $ . 跑完OT後,Bob靠 $ x_i $ 沒有別的,什麼都Alice學不到 $ i $ .所以,我的問題是:N 中 1 無意識轉移是否存在“共享”變體?
我們認為數組和查詢的索引在和之間是秘密共享的
Alice(Bob例如,附加秘密共享)。即Alice持有數組的份額 $ A_{Alice} $ 和查詢索引的份額 $ idx_{Alice} $ ;Bob持有數組的份額 $ A_{Bob} $ 和查詢的索引 $ idx_{Bob} $ . 執行 OT 後,Alice得到 $ [x_{idx}]{Alice} $ 並Bob得到 $ [x{idx}]{Bob} $ , 在哪裡 $ ([x{idx}]{Alice}+[x{idx}]{Bob})modN=x{idx} $ .更新:
受 CCS2021 論文 Oblivious Linear Group Actions and Applications的啟發,他們在第 5.1 節中提出了一種基於排列的協議“Oblivious Selection”(稱為 OT 的“共享”變體)。但在每次選擇之前,我們必須對數組進行排列。所以我提出了上面的問題:是否有其他協議可以在共享索引處從共享數組中不經意地選擇一個元素?
雖然我不會將其稱為 OT 的共享變體,但您提出的功能確實可以通過一次呼叫 1-out-of- 來實現 $ (|\mathbb{F}|^n\cdot n) $ OT 因為 OT 是完整的。這裡 $ \mathbb{F} $ 是領域 $ A $ 的條目。
首先,考慮一個 2 方功能,其中 Bob 接收一個功能 $ f(x,y) $ , $ x $ 被愛麗絲和 $ y $ 鮑勃。讓 $ a,b $ 分別是 Alice 和 Bob 的輸入。Alice 設置數組 $ A $ 這樣 $ A[i] = f_i(a) = f(a,i) $ . 然後他們使用一個 OT,Bob 收到 $ A[b] = f_b(a) = f(a,b) $ 按要求。
現在到你的功能。讓 Alice 隨機抽樣 $ r $ , 並考慮函式$$ f\left(\left(A_{Alice}, idx_{Alice}\right), \left(A_{Bob}, idx_{Bob}\right)\right) = A_{Alice}[idx_{Alice} + idx_{Bob}] + A_{Bob}[idx_{Alice} + idx_{Bob}] - r $$ 為簡單起見,我省略了模數。
如上所述,他們使用單個 OT 呼叫讓 Bob 接收 $ [x_{idx}] -r $ . 與 $ r $ 愛麗絲持有的,他們秘密分享 $ [x_{idx}] $ .
我不會將其稱為共享 OT,因為它完全不同。例如,Alice 和 Bob 扮演相似的角色,而在正常 OT 中,他們有不同的角色(一個有一個數組,一個選擇一個條目)。
愛麗絲選擇一個均勻隨機的私鑰列表 $ {a_i} $ . 她計算出對應的公鑰列表 $ {A_i} $ 作為 $ {a_iG} $ . 然後她聲明了一個對應的公鑰雜湊列表 $ {P_i} $ 計算為 $ {hash(A_i)} $ .
$ G $ 是曲線上的一個眾所周知的基點,並且 $ hash() $ 是一個密碼安全的散列函式。
Bob 也是這樣做的,所以 Bob 擁有私鑰 $ {b_i} $ , 有公鑰 $ {B_i} $ , 並聲明公鑰雜湊 $ {Q_i} $ .
在這個階段,Alice 和 Bob 可以決定合作確定 Diffie-Hellman 共享秘密列表 $ {S_i} $ 作為 $ {a_iB_i} $ 或者 $ {b_iA_i} $ . 但是,他們不這樣做。
不失一般性,如果 Alice 想在 index 處學習共享秘密 $ j $ 沒有鮑勃發現 $ j $ 或共享秘密:
愛麗絲選擇一個均勻隨機的致盲因子 $ r $ , 並發送 $ X=rA_j+jH $ 給鮑勃。 $ H $ 是曲線上的第二個眾所周知的基點,其中 $ h $ 不知道這樣 $ hG==H $ .
Bob 將列表發回給 Alice $ {Z_i} $ = $ {b_i(X-iH)} $ .
愛麗絲現在只能解盲並學習共享秘密 $ S_j $ 通過計算 $ r^{-1}Z_j $ . 她無法了解任何其他共享秘密,因為 $ H $ Bob 的響應列表的組成部分只會在一個特定索引處抵消。
由於這個 Diffie-Hellman 秘密 $ S_j $ 將等於 $ a_jB_j $ ,然後 Alice 可以驗證 Bob 的雜湊 $ Q_j $ 通過檢查匹配 $ Q_j\overset{?}{=}hash(a_j^{-1}S_j) $ .