[IKNP03] Extending Oblivious Transfers Efficiently

论文简介

论文题目： Extending Oblivious Transfers Efficiently
作者： Yuval Ishai, Joe Kilian, Kobbi Nissim, and Erez Petrank
论文出处： CRYPTO [2003]

方案（半诚实）

方案的一些解释

步骤三中$q^i$的解释

• $q^i$表示矩阵$Q$的第$i$列。

• $q^i=(s_i\cdot r)\oplus t^i$

  • When $S_i=0$, $q^i=(0\cdot r)\oplus t^i=0\oplus t^i=t^i$.
  • When $S_i=1$, $q^i=(1\cdot r)\oplus t^i=r\oplus t^i$.

步骤三中$q_j$的解释

• $q_j$表示矩阵$Q$的第$j$行；$q_j^i$表示矩阵第$i$列第$j$行。根据$q^i$将Q展开可得。

• $Q=\begin{array}{c}\left[\begin{array}{ccccc}{q}_1^1& q_0^2& q_1^3& ...& q_1^k\\ q_2^1& q_1^2& q_2^3& ...& q_2^k\\ q_3^1& q_3^2& q_3^3& ...& q_3^k\\ ⋮& ⋮& ⋮& & ⋮\\ q_m^1& q_m^2& q_m^3& ...& q_m^k\end{array}\right]\end{array}=\begin{array}{c}\left[\begin{array}{ccccc}(s_1\cdot r_1)\oplus t_1^1& (s_2\cdot r_1)\oplus t_1^2& (s_3\cdot r_1)\oplus t_1^3& ...& (s_k\cdot r_1)\oplus t_1^k\\ (s_1\cdot r_2)\oplus t_2^1& (s_2\cdot r_2)\oplus t_2^2& (s_3\cdot r_2)\oplus t_2^3& ...& (s_k\cdot r_2)\oplus t_2^k\\ (s_1\cdot r_3)\oplus t_3^1& (s_2\cdot r_3)\oplus t_3^2& (s_3\cdot r_3)\oplus t_3^3& ...& (s_k\cdot r_3)\oplus t_3^k\\ ⋮& ⋮& ⋮& & ⋮\\ (s_1\cdot r_m)\oplus t_m^1& (s_2\cdot r_m)\oplus t_m^2& (s_3\cdot r_m)\oplus t_m^3& ...& (s_k\cdot r_m)\oplus t_m^k\end{array}\right]\end{array}$

• 很显然，可以总结出，$q_j=(r_j\cdot s)\oplus t_j$

步骤四解释（正确性证明）

• 当$r_j=0$时，$q_j=(r_j\cdot s)\oplus t_j=t_j$，
  $$\begin{array}{rl}{z}_j& =y_{j0}\oplus H(j,t_j)\\ & =x_{j0}\oplus H(j,q_j)\oplus H(j,t_j)\\ & =x_{j0}\oplus H(j,t_j)\oplus H(j,t_j)\\ & =x_{j0}\end{array}$$
• 当$r_j=1$时，$q_j=s\oplus t_j$，
  $$\begin{array}{rl}{z}_j& =y_{j1}\oplus H(j,t_j)\\ & =x_{j1}\oplus H(j,q_j\oplus s)\oplus H(j,t_j)\\ & =x_{j1}\oplus H(j,s\oplus t_j\oplus s)\oplus H(j,t_j)\\ & =x_{j0}\oplus H(j,t_j)\oplus H(j,t_j)\\ & =x_{j1}\end{array}$$