不经意传输（Oblivious Transfer）

半诚实敌手

双方协议（Two-party protocol）：二输入二输出的（随机）过程，可以描述为计算PPT函数 f : { 0 , 1 } ∗ × { 0 , 1 } ∗ → { 0 , 1 } ∗ × { 0 , 1 } ∗ f:\{0,1\}^* \times \{0,1\}^* \rightarrow \{0,1\}^* \times \{0,1\}^* f:{0,1}∗×{0,1}∗→{0,1}∗×{0,1}∗，令双方各自的输入为$x,y$，计算$f(x,y)=(f_1(x,y),f_2(x,y))$，双方各自获得输出的随机变量$f_1(x,y),f_2(x,y)$，计算函数$f$的协议记做$\pi$

半诚实敌手（semi-honest adversaries）：精确地执行协议，但尝试学习接收到的信息和自身状态信息以外的更多信息。

计算不可区分（Computational Indistinguishability）：两个概率集合 X = { X ( a , n ) } a ∈ { 0 , 1 } ∗ , n ∈ N X=\{X(a,n)\}_{a\in\{0,1\}^*,n\in N} X={X(a,n)}a∈{0,1}∗,n∈N​和 Y = { Y ( a , n ) } a ∈ { 0 , 1 } ∗ , n ∈ N Y=\{Y(a,n)\}_{a\in\{0,1\}^*,n\in N} Y={Y(a,n)}a∈{0,1}∗,n∈N​计算不可区分，记做$X\stackrel{c}{\equiv }Y$，如果任意的非均匀多项式时间算法$D$都存在可忽略函数$\mu (\cdot )$，对于任意的$a,n$都有
$$|Pr[D(X(a,n))=1]-Pr[D(Y(a,n))=1]|\le \mu (n)$$
一般地，在计算安全的语境下， a ∈ { 0 , 1 } ∗ a\in\{0,1\}^* a∈{0,1}∗是输入，$n\in N$是安全参数。

半诚实敌手下的计算安全：存在PPT的模拟器$S_1,S_2$，使得
{ S 1 ( 1 n , x , f 1 ( x , y ) ) ,    f ( x , y ) } x , y , n ≡ c { v i e w 1 π ( x , y , n ) ,    o u t p u t π ( x , y , n ) } x , y , n { S 2 ( 1 n , x , f 2 ( x , y ) ) ,    f ( x , y ) } x , y , n ≡ c { v i e w 2 π ( x , y , n ) ,    o u t p u t π ( x , y , n ) } x , y , n \begin{aligned} \{S_1(1^n,x,f_1(x,y)),\,\,f(x,y)\}_{x,y,n} \overset{c}{\equiv} \{view_1^\pi(x,y,n),\,\,output^\pi(x,y,n)\}_{x,y,n}\\ \{S_2(1^n,x,f_2(x,y)),\,\,f(x,y)\}_{x,y,n} \overset{c}{\equiv} \{view_2^\pi(x,y,n),\,\,output^\pi(x,y,n)\}_{x,y,n}\\ \end{aligned} {S1​(1n,x,f1​(x,y)),f(x,y)}x,y,n​≡c{view1π​(x,y,n),outputπ(x,y,n)}x,y,n​{S2​(1n,x,f2​(x,y)),f(x,y)}x,y,n​≡c{view2π​(x,y,n),outputπ(x,y,n)}x,y,n​​
$vie{w}_i^{\pi }(x,y,n)$是第$i$方的视图，等于$(w,r^i,m_1^i,\cdots ,m_t^i)$， w ∈ { x , y } w \in \{x,y\} w∈{x,y}是输入，$r^i$是随机带，$m_j^i$是接收到的消息。

$outpu{t}^{\pi }(x,y,n)=(outpu{t}_1^{\pi }(x,y,n),outpu{t}_2^{\pi }(x,y,n))$是联合输出，这里$outpu{t}_i^{\pi }(x,y,n)$是第$i$方的输出。

注意，这里要求的是：“模拟器$S_i$的输出与函数$f$的输出的联合分布”与“真实视图$vie{w}_i$和$(outpu{t}_1,outpu{t}_2)$的联合分布”不可区分，并非仅仅模拟器$S_i$的输出与真实视图$vie{w}_i$不可区分。

陷门置换

陷门置换族（a family of trapdoor permutations）是一族双射函数，在没有陷门信息的前提下，随机选取的函数对于随机值难以求逆。它可以描述为函数的四元组$(I,S,F,F^{-1})$：

1. $I(1^n)$：选择$n$比特随机索引$\alpha$，取出置换函数$f_{\alpha }$以及对应的陷门$\tau$
2. $S(\alpha )$：在函数$f_{\alpha }$的定义域中按某分布随机采样，在随机带为$r$的情况下输出表示为$S(\alpha ;r)$
3. $F(\alpha ,x):=f_{\alpha }(x)$，正向置换
4. $F^{-1}(\tau ,y):=f_{\alpha }^{-1}(y)$，逆向置换

增强陷门置换族（enhanced trapdoor permutations）：对于任意的非均匀PPT敌手$A$，总是存在可忽略函数$\mu$，对于任意的$n$满足
$$Pr[A(1^n,\alpha ,r)=f_{\alpha }^{-1}(S(\alpha ;r))]\le \mu (n)$$
这里，即使给定采样的随机带$r$，求逆依然困难。

硬核谓词（hard-core predicate）：我们说$B$是增强陷门置换族的硬核，如果对于任意的非均匀PPT敌手$A$，总是存在可忽略函数$\mu$，对于任意的$n$满足
$$Pr[A(1^n,\alpha ,r)=B(\alpha ,f_{\alpha }^{-1}(S(\alpha ;r)))]\le \frac{1}{2}+\mu (n)$$

不经意传输

不经意传输（Oblivious Transfer）是双方协议，其中$P_1$拥有两个秘密$b_0,b_1$，$P_2$想要其中的一个秘密$b_{\sigma }$，同时要保证$P_2$无法学习到另一个秘密$b_{1-\sigma }$的信息。

双方都持有增强陷门置换$(I,S,F,F^{-1})$和它的硬核$B$，OT协议如下：

1. $P_1$执行$I(1^n)$获得$(\alpha ,\tau )$，发送$\alpha$给$P_2$
2. $P_2$执行$S(\alpha )$两次，得到$x_{\sigma }$和$y_{1-\sigma }$（因为置换函数的值域等于定义域），然后计算$y_{\sigma }=F(\alpha ,x_{\sigma })$，发送$y_0,y_1$给$P_1$
3. $P_1$使用陷门$\tau$计算$x_0=F^{-1}(\alpha ,y_0)$和$x_1=F^{-1}(\alpha ,y_1)$，然后用它们的硬核遮蔽秘密$b_0,b_1$，即${\beta }_0=B(\alpha ,x_0)\oplus b_0$和${\beta }_1=B(\alpha ,x_1)\oplus b_1$，然后将${\beta }_0,{\beta }_1$发送给$P_2$
4. $P_2$计算得到秘密$b_{\sigma }=B(\alpha ,x_{\sigma })\oplus {\beta }_{\sigma }$

安全性：上述OT协议是在半诚实敌手下计算安全的。证明很长，需要构造两个模拟器$S_1,S_2$，证明联合分布不可区分。详见书籍How to Simulate It.

注意，半诚实敌手这个条件很弱。假如OT协议中，$P_2$采样$x_0$和$x_1$，然后将$y_i=F(\alpha ,x_i)$发送给$P_1$，那么最终$P_2$可以轻易地获得两个秘密$b_0$和$b_1$