混淆电路论文学习笔记——part3

阅读论文（Foundation of Garbled Circuits）

一、往期回顾

混淆电路论文学习笔记——part1
混淆电路论文学习笔记——part2
前面两部分我们主要介绍了混淆方案的一些基本的概念以及几个安全性概念之间的关系，这部分主要记录一下论文给出的满足隐私性的混淆方案一以及同时满足满足隐私性，不经意性，认证性的混淆方案二。

二、混淆方案一代码

1、电路混淆函数Gb

1. $Gb(f,x):$
2. $(n,m,q,A^{\prime },B^{\prime },G)\leftarrow f$
3. for i ∈ { 1 , 2 , ⋯   , n + q − m } i \in \{1,2,\cdots,n+q-m\} i∈{1,2,⋯,n+q−m} do t i ↞ { 0 , 1 } ， X i 0 = { 0 , 1 } k − 1 t i , X i 1 = { 0 , 1 } k − 1 t i ‾ t_i \twoheadleftarrow \{0,1\}，X_i ^0=\{0,1\}^{k-1}t_i,X_i^1=\{0,1\}^{k-1}\overline{t_i} ti​↞{0,1}，Xi0​={0,1}k−1ti​,Xi1​={0,1}k−1ti​​
4. for i ∈ { n + q − m + 1 , ⋯   , n + q } i \in\{n+q-m+1,\cdots,n+q\} i∈{n+q−m+1,⋯,n+q} do X i 0 = { 0 , 1 } k − 1 0 , X i 1 = { 0 , 1 } k − 1 1 X_i ^0=\{0,1\}^{k-1}0,X_i^1=\{0,1\}^{k-1}1 Xi0​={0,1}k−10,Xi1​={0,1}k−11
5. for { g , i , j } ∈ { n + 1 , … , n + q } × { 0 , 1 } × { 0 , 1 } \{g,i,j\}\in\{n+1,\dots,n+q\}\times\{0,1\}\times\{0,1\} {g,i,j}∈{n+1,…,n+q}×{0,1}×{0,1} do
6. \qquad $a\leftarrow A(g),b\leftarrow B(g)$
7. \qquad $A\leftarrow X_a^i,\mathrm{a}\leftarrow lsb(a),B\leftarrow X_b^j,\mathrm{b}\leftarrow lsb(b),T\leftarrow g||\mathrm{a}||\mathrm{b},P[g,\mathrm{a},\mathrm{b}]\leftarrow {\mathbb{E}}_{A,B}^T(X_g^{G_g(i,j)})$
8. $F\leftarrow (n,m,q,A^{\prime },B^{\prime },P)$
9. $e\leftarrow (X_1^0,X_1^1,\cdots ,X_n^0,X_n^1)$
10. $d=\epsilon$
11. return $(F,e,d)$

代码解释：
代码中 ↞ { } \twoheadleftarrow\{\} ↞{}表示从集合中随机选择一个元素对变量进行赋值操作
$X_i^0$表示线路i与语义0对应的token。同理，$X_i^1$表示线路i与语义1对应的token，它们的最后一比特表示token类型。
代码中$lsb(a)$函数表示取二进制字符串$a$的最后1 bit。即，获得$a$ token对应的类型。
代码中${\mathbb{E}}_{A,B}^T()$表示双密钥加密，其中A，B为两个密钥，T为初始向量。
$\epsilon$表示空，即NULL
Gb函数的功能:把$f$电路具体展开成三元组$(F,e,d)$.
代码第三行和第四行把原来函数$f$的输入对应成token形式。对应规则：若该线路不是输出线路，则token类型和语义的对应是随机的。否则就把、让类型和语义相同。
代码第五，六，七行把原来门电路功能通过新的函数实现，新的函数的输入是线路对应的token类型。

2、编码函数En

1. En$(e,x)$:
2. $(X_1^0,X_1^1,\cdots ,X_n^0,X_n^1)\leftarrow e$
3. $x_1,\cdots ,x_n\leftarrow x$
4. $X\leftarrow X_1^{x1}\cdots X_n^{x_n}$
5. return X

3、解码函数De

1. De(d,y):
2. $Y_1\cdots Y_n\leftarrow Y$
3. $y\leftarrow y_1\cdots y_n\leftarrow lsb(Y_1)\cdots lsb(Y_n)$
4. return y

4、求值函数ev

1. ev$(f,x)$:
2. $(n,m,q,A,B,G)\leftarrow f$
3. $x_1\cdots x_n\leftarrow x$
4. for g ∈ { n + 1 , ⋯   , n + q } g \in \{n+1,\cdots,n+q\} g∈{n+1,⋯,n+q}: then
5. $a\leftarrow A(g),b\leftarrow B(g),y_g\leftarrow G(x_a,x_b)$
6. return $y_{n+q-m+1\cdots y_{n+q}}$

5、求值函数Ev

1. Ev$(F,X)$
2. $(n,m,q,A^{\prime },B^{\prime },P)\leftarrow F$
3. $X_1\cdots X_n\leftarrow X$
4. for g ∈ { n + 1 ⋯ n + q } g \in\{ n+1\cdots n+q\} g∈{n+1⋯n+q}
5. $a\leftarrow A^{\prime }(g),A\leftarrow X_a,\mathrm{a}\leftarrow lsb(a)$
6. $b\leftarrow B^{\prime }(g),B\leftarrow X_b,\mathrm{b}\leftarrow lsb(b)$
7. $T\leftarrow g||\mathrm{a}||\mathrm{b},Y_g\leftarrow {\mathbb{D}}_{\mathrm{a},\mathrm{b}}^T(P[g,\mathrm{a},\mathrm{b}])$
8. return $Y_{n+q-m+1}\cdots Y_{n+q}$

上面五个函数就构成了混淆方案一。
结论：如果我们采用的双密钥加密函数是安全的，那么混淆方案一就是安全的（证明相对繁琐，因此这里就不进行给出）。

三、关于混淆方案一的讨论

混淆方式一只满足隐私性，而不满足不经意性和认证性

1、关于混淆方案一不满足不经意性的讨论

因为模拟不经意性相比于不可区分不经意性要要更加强一些，因此我们这里讨论模拟不经意性。
模拟不经意性游戏是输入$f,x$，输出$F,X$。由于我们方案中d为NULL，因此我们获得了X之后，可以通过F(X)直接算出Y，然后通过Y，我们可以直接得到y。由于在不经意性游戏中我们并不要求模拟器生成的F，X，计算出来最终的y和输入f，x计算出来的y一致。因此我们可以对比最终y和我们初始输入的f，x计算结果对比即可知道挑战比特b。

1、关于混淆方案一不满足认证性的讨论

由于方案一中$d$为NULL，我们可以通过$Y$计算出$y$，因此我们只需要选择和$F（X）$token类型不同的Y就可以轻松的破解认证性。

四、混淆方案二

我们通过上面讨论可以知道混淆方案一不满足不经意性和认证性的原因就是因为混淆方案一的d设置为NULL。因此要解决这个问题，我们自然而然就应该想到把混淆方案的d设置为和e一样的形式。这样我们就得到了混淆方案二。混淆方案二具体代码我们这里就不进行给出了。