Naor-Pinkas茫然传输协议

最新推荐文章于 2024-06-03 11:15:00 发布
最新推荐文章于 2024-06-03 11:15:00 发布
阅读量1.4k 收藏
点赞数 3
分类专栏: 密码学 文章标签: 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34793644/article/details/113337973
版权

      茫然传输(0T)协议最早在1981年提出,作为密码学领域的一个基础协议,在安全两(多)方计算领域有着广泛应用。 

      OT协议是一个涉及两个参与方的协议,即发送方S和接收方R,安全性要求发送方不能知道接收方的选择信息,且接收方仅得到自己选择的值。

      在最初的1-out-of-2茫然传输(\small OT_{2}^{1})协议中,发送方有两个秘密输入\small (X_{0},X_{1}),接收方有一个选择比特\small \dpi{150} \small \sigma \in {0,1}。双 方执行完协议之后,接收方得到输出\small X_{\sigma }

     更一般性,\small OT_{2}^{1} 可扩展为1-out-of-n(\small OT_{n}^{1})和k-out-of-n(\small OT_{n}^{k})。

Naor-Pinkas茫然传输协议

   Naor和Pinkas通过三次公钥密码学操作实现了半诚实模型下的1-out-of-2茫然传输协议 。

   系统参数p、q为素数,且满足qp-1,Z_{_{q}}为q阶群,G_{q}Z_{p}^{*}q阶子群,gZ_{p}^{*}的生成元

   输入参数:发送者S输入字符串(X_{0},X_{1}),接受者R通过输入一个比特r,得到输出X_{r}

    (在此过程中,S无法确定R输入的比特r等于0或1,而R输入比特r,只能得到X_{r},无法得到\small X_{1-r}

   step1:S生成并公开随机数C\in Z_{q},生成随机数a,并计算g^{a},C_{a}

   step2: R选择随机数k(1\leq k\leqslant q),并计算PK_{r}=g^{k},PK_{1-r}=\frac{C }{g k},R将PK_{0}发送给S

   step3: S计算(PK_{0})^{a},(PK_{1})^{a}=\frac{C^a }{(PK_{0})^{a}},然后执行加密计算,并将加密结果(E_{0},E_{1})发送给R

                              E_{0}=(g^{a},H((PK_{0})^{a},0)\bigoplus X_{0})

                              E_{1}=(g^{a},H((PK_{1})^{a},1)\bigoplus X_{1})

    step4:R计算H((g^{a})^{k},r)得到H((PK_{r})^{a},r),然后计算下面等式得到X_{r}

                                         X_{_{r}}=E_{r,2}\bigoplus H((PK_{r})^{a},r)

   分析:如果R输入的比特r=0,那么

     Step2中PK_{0}=g^{k},PK_{1}=\frac{C }{g k}

     Step3中(PK_{0})^{a}=g^{ak},(PK_{1})^{a}=\frac{C^a }{(PK_{0})^{a}}=\frac{C^a }{g^{ak}},那么

                    E_{0}=(g^{a},H(g^{ak},0)\bigoplus X_{0})

                    E_{1}=(g^{a},H(\frac{C^a }{(g^{ak}},1)\bigoplus X_{1})

     Step4中:R拥有H((g^{a})^{k},0),因此可以计算X_{_{0}},而无法计算X_{1}

                \small X_{0}&=E_{0,2}\bigoplus H((PK_{0})^{a},0)

                     \small =H(g^{ak},0)\bigoplus X_{0}\bigoplus H(g^{ak},0)

                     \small =X_{0}

     R输入的比特r=1,同理

孙绿如叶~
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
茫然传输(Oblivious Transfer)
jason_cuijiahui的博客
05-02 9205
转自 1-out-2 OT Oblivious Transfer(茫然传输)简称OT,是一种基本密码学原语,被广泛的用于安全多方计算等领域。 OT最早在1981年被 Michael O. Rabin提出[1],在Rabin的OT协议中,发送者S发送一个信息m给接收者R,接收者R以1/2的概率接受信息m。所以在协议交互的结束的时候,S并不知道R是否接受了消息。该方案是基于RSA加密体系构造的。 19...
NaorPinkasOT:基于 Naor-Pinkas OT 构造的通用 1-out-N OT 实现
07-12
诺平卡斯 基于 Naor-Pinkas OT 构造的通用 1-out-N OT 实现。 详见第 3.1 节。 细节 没有修改,全部基于论文。 每轮重用相同的常量,通过输入散列函数一个随机元素。 基于素数阶群Gq,Gq是Zp的子素群,p-1是q的倍数 去做 向散列函数输入一个随机元素。 ecc 版本 学分到
不经意传输
weixin_47063945的博客
10-25 4631
不经意传输 主要内容 历史 1:1模型 1981由Michael O.Rabin提出,Alice发送一条消息给接收着Bob,而Bob以1/2的概率接收到信息,在结束后Alice并不知道Bob是否接收到了信息,而Bob能确信地知道自己是否收到了信息。 2:1模型 1985年由 Shimon Even, Oded Goldreich, 和Abraham Lempel ,Alice每次发两条信息(m1、m2)给Bob,Bob提供一个输入,并根据输入获得输出信息,在协议结束后,Bob得到了自己想要
密码学】【多方安全计算】不经意传输(Oblivious Transfer,OT)
最新发布
m0_61869253的博客
06-03 721
不经意传输(oblivioustransfer)是一个密码学协议,在这个协议中,消息发送者从一些待发送的消息中发送数据给接收者,但事后对发送了哪一条消息仍然oblivious(不知道),同时接受者对自己想要接受外的数据一无所知,这个协议也叫茫然传输协议。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
一个单服务器辅助的高效n取k茫然传输协议
03-08
一个单服务器辅助的高效n取k茫然传输协议
 一种新的无条件安全不经意多项式估值协议
01-30
不经意多项式估值协议是一种双方计算协议,已有的无条件安全不经意多项式估值协议只是进行了安全分析,而不是严格的证明。本文通过巧妙设计提出两种新的高效不经意多项式估值协议,分别适用于多项式为奇度数和偶度数...
useful-crypto-resources:一个有用的与加密相关的资源以及我最喜欢的东西的地方
05-08
Danny Dolev,Cynthia Dwork,Moni Naor撰写的犯罪 尼尔·科布利茨(Neal Koblitz) Neal Koblitz和Alfred J. Menezes的 认证加密 的作者:Daniel J. Bernstein 通过Tomer Ashur,Orr Dunkelman和Atul Luykx的来 ...
Manual Channel Authentication Protocol-开源
06-30
此应用程序通过从所有传输的字节创建一个短密码来验证来自网络的数据,这些字节可以手动比较。 基于 Moni Naor、Gil Segev 和 Adam Smith 的论文。 见 www.wisdom.weizmann.ac.il/~gils/papers/TightBounds.pdf
不经意传输(OT)协议的发展历程
07-18
对不经意传输协议的发展历程进行梳理,对每种不经意传输协议举例说明。
安全多方计算——不经意/茫然传输(Oblivious Transfer)构造方法小结
weixin_45131630的博客
06-02 1733
目录OT简介概念应用构造方法Bellare-Micali(1990)Naor-Pinka(2001)Hazay-Lindell(2010) OT简介 概念 应用 构造方法 Bellare-Micali(1990) Naor-Pinka(2001) Hazay-Lindell(2010)
MPC系列-不经意传输
qq_38798147的博客
12-05 2261
不经意传输(Oblivious transfer,OT,也称茫然传输)是在构建安全多方计算时经常需要使用的一个模块。 情景:Bob有一组数据,alice从中抽取其中一个数据查看。[Alice不想让bob知道抽取的是哪组数据。bob只想给alice一个数据] ...
茫然传输经典协议
Albery的博客
03-24 1546
茫然传输(OT) Naor-Pinkas茫然传输协议     Naro和Pinkas通过三次公钥密码学操作实现了半诚实模型下的1-out-of-2茫然传输协议。     输入信息:发送者输入两个长度为lll比特的字符串(x0,x1)(x_{0},x_{1})(x0​,x1​),接收者输入一个选择比特rrr。     系统参数:设qqq,ppp均为素数,且满足q∣p−1q|p-1q∣p−1。Z...
IKNP 的改进:G-OT、C-OT、R-OT
weixin_44885334的博客
09-28 1840
Asharov 等人对 IKNP 的通信量复杂度做了优化, 1. Base-OT:基于DDH假设,每个 OT 都使用相同的$u=g^r$,$n$越大,平均通信量越小。 2. G-OT:先用 Base-OT 传输$\kappa \times \kappa$的小矩阵$K_0,K_1$的列。用它们作为密钥的随机性,利用 PRG 扩展为 OT 密钥来传输矩阵$T,U$。特殊地设置$T$的每一列,使得$T$的密文为$0$,因此这一部分的通信量减半。 3. C-OT:基于 G-OT,根据矩阵$Q$加密两条消息。特殊地
【隐私计算笔谈】MPC系列专题(八):OT协议(二)
Matrix_element的博客
06-23 2435
【隐私计算笔谈】MPC系列专题(八):OT协议(二) 作者 | 胡震恺 崔泓睿 郁昱 文章目录【隐私计算笔谈】MPC系列专题(八):OT协议(二)通用的半诚实公钥OT协议Beaver的非黑盒构造推荐阅读【隐私计算笔谈】MPC系列专题(一):安全多方计算应用场景一览【隐私计算笔谈】MPC系列专题(二):模型和Shamir秘密共享机制【隐私计算笔谈】MPC系列专题(三):不经意传输与混淆电路【隐私计算笔谈】MPC系列专题(四):GMW协议和BGW协议【隐私计算笔谈】MPC系列专题(五):Beaver三元组和BM
【隐私计算笔谈】MPC系列专题(三):不经意传输与混淆电路
Matrix_element的博客
06-04 5890
【隐私计算笔谈】MPC系列专题(三):不经意传输与混淆电路 文章目录【隐私计算笔谈】MPC系列专题(三):不经意传输与混淆电路不经意传输混淆电路推荐阅读 不经意传输 不经意传输( Oblivious transfer,OT,也有翻译是茫然传输 )是在构建安全多方计算时经常需要使用的一个模块。 在双方参与的不经意传输中,一方“Bob”输入一组数据,另一方“Alice”输入一个选择,从Bob输入的数据中选取一个。Alice只获得其所选择的数据,无法得知 Bob输入的其他数据。Bob无法知道Alice选择获得
【隐私计算笔谈】MPC系列专题(九):OT协议(三)
Matrix_element的博客
06-24 1772
【隐私计算笔谈】MPC系列专题(九):OT协议(三) 作者 | 胡震恺 崔泓睿 郁昱 文章目录【隐私计算笔谈】MPC系列专题(九):OT协议(三)OT扩展协议推荐阅读【隐私计算笔谈】MPC系列专题(一):安全多方计算应用场景一览【隐私计算笔谈】MPC系列专题(二):模型和Shamir秘密共享机制【隐私计算笔谈】MPC系列专题(三):不经意传输与混淆电路【隐私计算笔谈】MPC系列专题(四):GMW协议和BGW协议【隐私计算笔谈】MPC系列专题(五):Beaver三元组和BMR协议【隐私计算笔谈】MPC系列专题
改进的Cramer-Shoup公钥加密系统:抵抗密钥泄漏选择密文攻击
Naor和Segev在Crypto09会议上提出了一种基于Cramer-Shoup密码系统(CS-PKE)的防泄漏变种,称为KL-CS-PKE,这是目前最实用的IND-CCA2(不可区分的适应性选择密文攻击)防泄漏PKE方案。然而,KL-CS-PKE的缺点在于它的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值