不经意传输（oblivious transfer）

定义

oblivious transfer(OT)是一个两方协议，输入的一方叫做发送者，产生两个等长的秘密$m_0,m_1$,输出的一方叫做接收者。接收者输入一个bit b，返回给他$m_b$.发送者没有返回值。
$(O{T}_1^2)$发送方有两个秘密，想将其中之一发给接收方，接收方得到了其中一个秘密，但是发送方不知道接收方收到了哪个秘密。
$（O{T}_1^n）$发送方有n个秘密，想将其中之一发给接收方，接收方得到了其中一个秘密，但是发送方不知道接收方收到了哪个秘密。
平行执行k次$（O{T}_1^n）$，叫做$O{T}_k^n$协议。

基本构造

生成一个循环群$G:Z_p^{\ast }$,g是G的生成元。函数H是一个将G中的元素映射到一个与秘密m等长的比特串。令 b ∈ { 0 , 1 } , b ˉ = 1 − b b \in \{0,1\},\bar{b}=1-b b∈{0,1},bˉ=1−b.$(即b=0,\bar{b}=1;b=1,\bar{b}=0)$
1.发送方产生随机数$c\leftarrow G$,将其发送给接收方。
2.接收方随机选择 a ← { 0 , . . . , ∣ G ∣ − 1 } a \leftarrow \{0,...,|G|-1\} a←{0,...,∣G∣−1},计算$h_b=g^a,h_{\bar{b}}=c\cdot h_b^{-1}$,将$h_0,h_1$发送给接收方
3.发送方检查$h_0{h}_1=c$,失败则结束，正确则继续。随机产生$r_0,r_1\leftarrow G$.计算$g^{r_0},g^{r_1},c_0=H(h_o^{r_0})⨁m_0,c_1=H(h_1^{r_1})⨁m_1$，将这四个值发给接收者。
4.接收者计算$m_b=c_b⨁H((g^{r_b}{)}^a)$

例子永远滴神：
1.发送方产生c
2.接收方产生随机数a。选择b=0.$h_0=g^a,h_1=c\cdot h_0^{-1}$，发送给接收方
3.发送方检查$h_0{h}_1=h_0{h}_0^{-1}c=c$成立。计算$g^{r_0},g^{r_1},c_0=H(h_o^{r_0})⨁m_0,c_1=H(h_1^{r_1})⨁m_1$
4.接收者计算$m_0=c_0⨁H((g^{r_0}{)}^a)=H(h_o^{r_0})⨁m_0⨁H((g^{r_0}{)}^a)=H((g^{r_0}{)}^a)⨁H((g^{r_0}{)}^a)⨁m_0=m_0$
当用户选择了$b=0$但是想去计算$m_1$时：我们看$c_1=H(h_1^{r_1})⨁m_1=H((c\cdot h_0^{-1}{)}^{r_1})⨁m_1$。即使用户能计算$(c\cdot h_0^{-1})$,但是$r_1$是发送方随机选取的，这是一个CDH问题，所以不能恢复。