混淆电路——不经意传输

不经意传输

不经意传输（Oblivious Transfer，OT）是一种密码学协议，它解决了以下问题：
我们假设 Alice 有两个数值$v_0$和$v_1$，Bob想知道其中的一个。通过执行 OT协议，Bob知道了$v_i$，但不知道$v_{1-i}$，同时，Alice不知道$i$。举一个例子，Alice这儿有两个产品的折扣码，Bob 想获得其中一个。但 Bob 又比较注重隐私，不想让 Alice 知道他选择了哪一个。这时候，他们就可以通过 OT 来完成交易。
现在我们来看一看基于 OT 的实现方式。我们考虑

1. Alice拥有值$v_0$，$v_1$和密钥$s$，$r_0$，$r_1$
2. Bob拥有值 i ∈ { 0 , 1 } i\in\{0,1\} i∈{0,1}和密钥$k$，Bob想获得$v_i$
3. Alice和Bob事先统一$g\in Z_p$，其中$g$是一个大整数，$p$是一个大质数

那么 OT 协议可以通过如下演绎

1. $Alice\to Bob:g^s$
   因为离散对数问题不存在高效解法，Bob知道$g$和$g^s$也无法破译$s$。
2. Bob基于$i$生成$L_i=\{\begin{array}{ll}{g}^k,& i=0\\ g^{s-k},& i=1\end{array}$
3. $Bob\to Alice:L_i$
   因为离散对数问题不存在高效解法，Alice知道$g$和$g^k$也无法破译$k$。因此，Alice无法知道Bob发来的是$g^k$还是$g^{s-k}$，也就无法知道$i$。
4. Alice生成$C_0$，$C_1$
   a. $C_0=(g^{r_0},(L_i{)}^{r_0}\oplus v_0)$
   b. $C_1=(g^{r_1},(\frac{g^s}{L_i}{)}^{r_1}\oplus v_1)$
   其中$\oplus$表示异或操作
5. $Alice\to Bob:C_0,C_1$
   因为离散对数问题不存在高效解法，Bob知道$g$，$g^{r_0}$，$g^{r_1}$也无法破译$r_0$，$r_1$。
6. Bob解密$v_i$
   a. 当$i=0$时，Bob可以通过以下方式获得$v_0$而获得不了$v_1$。
   $C_0[0{]}^k\oplus C_0[1]=(g^{r_0}{)}^k\oplus (L_i{)}^{r_0}\oplus v_0=(g^{r_0}{)}^k\oplus (g^k{)}^{r_0}\oplus v_0=v_0$
   $C_1[1]=(\frac{g^s}{L_i}{)}^{r_1}\oplus v_1=g^{(s-k)r_1}\oplus v_1$，因为Bob不知道$s$和$r_1$，所以Bob无法得到$v_1$。
   b. 当$i=1$时，Bob可以通过以下方式获得$v_1$而获得不了$v_0$。
   $C_1[0{]}^k\oplus C_1[1]=(g^{r_1}{)}^k\oplus (\frac{g^s}{L_i}{)}^{r_1}\oplus v_1=(g^{r_1}{)}^k\oplus (g^k{)}^{r_1}\oplus v_1=v_1$
   $C_0[1]=(g^{s-k}{)}^{r_0}\oplus v_0=g^{(s-k)r_0}\oplus v_0$，因为Bob不知道$s$和$r_0$，所以Bob无法得到$v_0$。

除了上述实现，OT 还有多种实现方法。