不经意传输--Efficient k-out-of-n Oblivious Transfer Schemes with Adaptive and Non-Adaptive Queries

Efficient k-out-of-n Oblivious Transfer Schemes with Adaptive and Non-Adaptive Queries

https://www.iacr.org/archive/pkc2005/33860173/33860173.pdf

Oblivious Transfer(OT)

一个 oblivious transfer（不经意传输）协议包括两个实体，发送者 $S$ 和接收者 $R$。$S$ 拥有一些消息并且 $R$ 想要通过与 $S$ 的交互得到一些消息。安全需求是：$S$ 想要 $R$ 从他发送的消息中获取消息，$R$ 并不想 $S$ 知道它选择的是哪个消息。常见的的协议，1-out-of OT(${\mathrm{OT}}_1^2$)，在这个方案中，$S$ 拥有两个消息 $m_1$ 和 $m_2$，并希望 $R$ 能得到其中的一个。此外，$S$ 仍然 oblivious $R$ 的选择。后续，研究人员扩展了 $n$ 个消息的情况 ${\mathrm{OT}}_2^1$ 到 1-out-of-n OT($O{T}_1^n$) 。

Security model. 假设 $S$ 拥有 $n$ 个消息 $m_1,m_2,...,m_n$，$R$ 的 $k$ 个选择为 ${\sigma }_1,{\sigma }_2,...,{\sigma }_k$。对于半诚实的发送者的情况。我们说如果 $x$ 在 $C$ 中，不在 $C^{\prime }$ 中，那么 $C$ 和 $C^{\prime }$ 是不同的。一个 $O{T}_n^k$ 方案针对半诚实的接收者应满足一下要求：

1. 接收者的隐私-不可区分性：对于任意两个不同的选择集合 C = { σ 1 , σ 2 , . . . , σ k } C=\{\sigma_1,\sigma_2,...,\sigma_k\} C={σ1​,σ2​,...,σk​} 和 C ′ = { σ 1 ′ , σ 2 ′ , . . . , σ k ′ } C'=\{\sigma_1',\sigma_2',...,\sigma_k'\} C′={σ1′​,σ2′​,...,σk′​}，对于发送方来说是无法区分这两个集合那个是接受者的选择。
2. 发送者的安全-不可区分性：对于任何选择的集合 C = { σ 1 , σ 2 , . . . , σ k } C=\{\sigma_1,\sigma_2,...,\sigma_k\} C={σ1​,σ2​,...,σk​}，未被选择的消息应该和随机的消息不可区分。

具有抗恶意接收者的 $O{T}_n^k$ 的安全要求为：

1. 接收者的隐私：与半诚实的发送者的情况一样
2. 发送者的隐私：与理想模型相比：在理想模型中，发送方发送所有消息，接收方将它的选择都发送给 TTP，TTP 会将选择的消息给接收者。这是实现 $O{T}_n^k$ 方案最安全的方法。在理想世界中，接收者 $R$ 不能从发送者 $S$ 获得额外的信息。如果在实际的 $O{T}_k^n$ 方案中的任意接收方 $R$，在理想模型中有另一个 PPTM $R^{\prime }$（称为 simulator），使得 $R$ 和 $R^{\prime }$ 的输出结果无法区分，则实现了发送方的安全性。

Elagmal Encryption

Setup

1. 选择一个大素数 $p$，选择一个模数 $q$。
2. 满足 $q$ 是 $p-1$ 的一个因子，且 $q$ 也是一个足够大的素数
3. 选择一个整数 $g$ $(1<g<p)$，作为群 $\mathbb{G}$ 生成元
4. 随机选择一个私钥 $x$ $(1\le x\le q-1)$
5. 计算公钥 $y=g^x$ mod p

Encrypt

1. 随机选择一个整数 $k$
2. 计算 $c_1=g^k$ mod p, $c_2=m{y}^k$ mod p
3. 发送密文 $c=(c_1,c_2)$

Decrypt

1. $m=c_2\cdot c_1^{-x}$ mod p

$O{T}_n^k$: k-out-of-n OT against semi-honest receiver

系统参数：$(g,h,G_q)$
$S$ 有消息：$m_1,m_2,...,m_n$
$R$ 的选择：${\sigma }_1,{\sigma }_2,...,{\sigma }_k$

1. $R$ 选择两个多项式 $f(x)=a_0+a_{1}x+...+a_{k-1}{x}^{k-1}+x^k$ 和 $f^{\prime }(x)=b_0+b_{1}x+...+b_{k-1}{x}^{k-1}+x^k$ 其中 $a_0,a_1,...,a_{k-1}\in Z_q$ 和 $b_0+b_{1}x+...+b_{k-1}{x}^{k-1}=(x-{\sigma }_1)(x-{\sigma }_2)...(x-{\sigma }_k)$ mod q
2. $R\to S$：$A_0=g^{a_0}{h}^{b_0},A_1=g^{a_1}{h}^{b_1},...,A_{k-1}=g^{a_{k-1}}{h}^{b_{k-1}}$
3. $S$ 计算 $c_i=(g^{k_i},m_i{B}_i^{k_i})$ 其中 $k_i\in Z_p^{\ast }$ 和 $B_i=g^{f(i)}{h}^{f^{\prime }(i)}=A_0{A}_1^i...A_{k-1}^{i^{k-1}}$ mod p，$i=1,2,...,n$
4. $S\to R$：$c_1,c_2,...,c_n$
5. 令 $c_i=(U_i,V_i)$，$R$ 为每一个 ${\sigma }_i$ 计算 $m_{{\sigma }_i}=V_{{\sigma }_i}/U_{{\sigma }_i}^{f({\sigma }_i)}$

k-out-of-n OT against semi-honest receiver

发送方 $S$ 有 $n$ 个秘密信息 $m_1,m_2,...,m_n$。我们假设消息空间为 $G_q$，半诚实的接受者 $R$ 想要获取 $m_{{\sigma }_1},m_{{\sigma }_2},...,m_{{\sigma }_k}$

系统参数为 $g,h$ 是 $G_q$ 的两个生成元，$(g,h,G_q)$ 是公共参数。

接收者 $R$ 首先构造 $k$ 阶多项式 $f^{\prime }(x)=b_0+b_{1}x+...+b_{k-1}{x}^{k-1}+x^k$，$f^{\prime }(x)$ 满足 f ′ ( i ) = 0 , i ∈ { σ 1 , . . . , σ k } f'(i)=0,i\in\{\sigma_1,...,\sigma_k\} f′(i)=0,i∈{σ1​,...,σk​}，即 $b_0+b_{1}x+...+b_{k-1}{x}^{k-1}=(x-{\sigma }_1)(x-{\sigma }_2)...(x-{\sigma }_k)$。$R$ 选择另外随机数构造 $k$ 阶多项式 $f(x)=a_0+a_{1}x+...+a_{k-1}{x}^{k-1}+x^k$ 来隐藏接受者选择的多项式 $f^{\prime }(x)$。将被隐藏的选择 $A_0=g^{a_0}{h}^{b_0},A_1=g^{a_1}{h}^{b_1},...,A_{k-1}=g^{a_{k-1}}{h}^{b_{k-1}}$ 发送给发送者 $S$。

当 $S$ 接收到这些查询后，他首先计算 $B_i$： $$B_i=g^{f(i)}{h}^{f^{\prime }(i)}=A_0{A}_1^i...A_{k-1}^{i^{k-1}}(gh{)}^{i^k}=g^{a_0}{h}^{b_0}{g}^{a_{1}i}{h}^{b_{1}i}{g}^{a_2{i}^2}{h}^{b_2{i}^2},...,g^{a_{k-1}{i}^{k-1}}{h}^{b_{k-1}{i}^{k-1}}(gh{)}^{i^k}=g^{a_0+a_{1}i+a_2{i}^2+...+a_{k-1}{i}^{k-1}+i^k}{h}^{b_0+b_{1}i+b_2{i}^2+...+b_{k-1}{i}^{k-1}+i^k}$$即通过计算 $A_0{A}_1^i...A_{k-1}^{i^{k-1}}(gh{)}^{i^k}$ mod p 得到 $B_i$。因为 $f(x)$ 是一个随机多项式，$S$ 并不知道 i 在取何值时$f^{\prime }(i)=0,i=1,2,...,n$。那么 $S$ 将 $B_i$ 视为公钥并且通过 Elgamal 加密每个 $m_i$ 给 $R$。加密后的消息 $c_1,c_2,...,c_n$ 给 $R$。
$$c_i=(U_i,V_i)=(g^{k_i},m_i(g^{f(i)}{h}^{f^{\prime }(i)}{)}^{k_i})$$
对于每一个 c i , i ∈ { σ 1 , σ 2 , . . . , σ k } c_i,i\in\{\sigma_1,\sigma_2,...,\sigma_k\} ci​,i∈{σ1​,σ2​,...,σk​}，因为 $B_i=g^{f(i)}{h}^{f^{\prime }(i)}=g^{f(i)}{h}^0=g^{f(i)}$，$R$ 可以得到这些消息通过私钥 $f(i)$ 来解密。如果 i ∉ { σ 1 , σ 2 , . . . , σ k } i\notin \{\sigma_1,\sigma_2,...,\sigma_k\} i∈/{σ1​,σ2​,...,σk​}，因为 $R$ 在拥有 $g^{k_i},f(i),f^{\prime }(i)$ 的知识情况下，不能计算出 $(g^{f(i)}{h}^{f^{\prime }(i)}{)}^{k_i}$，消息 $m_i$ 对 $R$ 是未知的。

正确性：令 $c_i=(U_i,V_i)$，我们可以检验所选的消息 $m_{{\sigma }_i},i=1,2,...,k$ ：
$$V_{{\sigma }_i}/U_{{\sigma }_i}^{f({\sigma }_i)}=m_{{\sigma }_i}\cdot (g^{f({\sigma }_i)}{h}^{f^{\prime }({\sigma }_i)}{)}^{k_{{\sigma }_i}}/g^{k_{{\sigma }_i}f({\sigma }_i)}=m_{{\sigma }_i}\cdot (g^{f({\sigma }_i)\cdot 1}{)}^{k_{{\sigma }_i}}/g^{k_{{\sigma }_i}f({\sigma }_i)}=m_{{\sigma }_i}$$

k-out-of-n OT against malicious receiver

一个恶意的接受者可能不会诚实地遵守协议。例如，在上个方案中，一个恶意的接收者可能发送一些不规矩的 A_i ，这样他就能够获得额外的信息，比如两个消息的线性组合（即使我们不知道如何进行这种攻击）。所以，我们提出了第二种方案，可以对抗恶意的接收者情况。

系统参数： ( g , H 1 , H 2 , G q ) , H 1 : { 0 , 1 } ∗ → G q , H 2 : G q → { 0 , 1 } l (g,H_1,H_2,G_q), H_1:\{0,1\}^* \rightarrow G_q,H_2:G_q\rightarrow \{0,1\}^l (g,H1​,H2​,Gq​),H1​:{0,1}∗→Gq​,H2​:Gq​→{0,1}l ；$S$ 拥有消息：$m_1,m_2,...,m_n$；$R$ 的选择为 ${\sigma }_1,{\sigma }_2,...,{\sigma }_k$。

1. $R$ 计算 $w_{{\sigma }_j}=H_1({\sigma }_j),A_j=w_{{\sigma }_j}{g}^{a_j}$，其中 $a_j\in Z_q^{\ast },j=1,2,...,k$
2. $R\to S:A_1,A_2,...,A_k$
3. $S$ 计算 $y=g^x,x\in Z_q^{\ast },D_j=(A_j{)}^x,w_i=H_1(i),c_i=m_i\oplus H_2(w_i^x),i=1,2,...,n;j=1,2,...,k$
4. $S\to R:y,D_1,D_2,...,D_k,c_1,c_2,...,c_n$
5. $R$ 计算 $K_j=D_j/y^{a_j}$，那么 $m_{{\sigma }_j}=c_{{\sigma }_j}{H}_2(K_j),j=1,2,...,k$

正确性：
$$c_{{\sigma }_j}\oplus H_2(K_j)=m_{{\sigma }_j}\oplus H_2(w_{{\sigma }_j}^x)\oplus H_2(w_{{\sigma }_j}^x)=m_{{\sigma }_j}$$