揭秘Rabin提出的不经意传输（Oblivious Transfer）技术：秘密交换的奇妙之道

不经意传输（Oblivious Transfer Protocol ,OT）

1 Rabin 1981，The EOS(Exchange of Secrets) Protocol

1.1 假设

假设Alice拥有公钥$K_A$、私钥$S{K}_A$和Bob拥有公钥$K_B$、私钥$S{K}_B$，这将用于加密和数字签名。Alice和Bob之间传送的消息都使用私钥签名。另外，Alice拥有秘密值$S_A$，Bob拥有秘密值$S_B$，不失一般性，假设秘密值都为单个bit。$S_B$ 是Alice想要访问某个文件的密码 (称为：Alice的文件)，而$S_A$ 则是Bob的文件。

1.2 步骤

（1）Alice选择两个大质数$p$，$q$并创建一个一次性密钥$n_A=p\cdot q$，并发送$n_A$给Bob。

（2）Bob随机选择一个$x\le n_A$，并计算$c=x^{2}mod{n}_A$。然后，给Alice发送$E_{K_B}(x)$和$c$。$E_{K_B}(x)$即使用公钥$K_B$对$x$进行加密的密文，$c$是$x$在$mod{n}_A$下的平方根。

（3）Alice利用$p$，$q$，$n_A$计算$x_1^2=cmod{n}_A$得到$x_1$。然后，发送$x_1$给Bob。

（4）Bob计算$(x-x_1,n_A)$的最大公因数$d$，$d$有$\frac{1}{2}$的概率是$p$或者$q$。也就是说，Bob有$\frac{1}{2}$的概率可以知道因数分解$n_a=p\cdot q$。但是，Alice并不知道Bob的$x$的真实值，所以也不知道Bob是否知道$n_A$的分解。（为什么 $d$ 有$\frac{1}{2}$的概率是$p$或者$q$见1.6.1节）

以上这种传输信息的模式，即发送者不知道接受者是否接收到信息的模式，称为不经意传输（oblivious transfer, OT）。

（5）定义：
$$v_B=\{\begin{array}{lr}0& if(x-x_1,n_A)=porq,\\ 1& otherwise\end{array}$$
因此，当$v_B=0$时当且仅当在上述不经意传输后，Bob知道了$n_A$的因数分解。

Bob计算${ϵ}_B=S_B\oplus v_B$并发送给Alice。

（6）Alice将她的秘密值$S_A$作为中心比特放在一条随机消息$m_A$中。然后，使用任何需要因数$p$和$q$的公钥系统将$m_A$加密，即$d_A=E_{n_A}(m_A)$，并发送给Bob。

同理，Alice作为接受者，Bob作为发送者，Bob收到${ϵ}_A$，Alice收到$d_B$。

1.3 定理

以上协议执行，双方无法交换秘密值的概率为$\frac{1}{4}$。具体解释如下：

Alice有$\frac{1}{2}$的概率可以获得$n_B$的因数，Bob也有$\frac{1}{2}$的概率获得$n_A$的因数。

有以下四种情况：

第一，双方都不能获得相应一次性密钥的因数，故无法解密获得随机消息，也因此无法获得秘密值。

第二，Alice知道$n_B$的因数，而Bob不知道$n_A$的因数。因此，Alice可以解密获得随机消息$m_B$并因此获得秘密值$S_B$。随后，Alice将使用该秘密访问文件。Bob得知文件被访问，清楚Alice获得了$n_B$的因数，故${ϵ}_A=S_A\oplus v_A=S_A\oplus 0=S_A$。则Bob也获得了秘密值。

第三，Bob知道$n_A$的因数，Alice不知道$n_B$的因数，与二同理，最终双方可以交换秘密值。

第四，双方都获得了相应一次性密钥的因数，获得了秘密值。

1.4 安全性

（1）这一协议适用于半诚实模型，若在Alice或者Bob其中一方是恶意的，则协议无法运行。

在这里，半诚实是指协议参与方会遵守协议的执行，但是对其他方的数据好奇，想推断知道更多的信息；而恶意是指协议参与方可能不遵循协议的执行。比如说：Alice是恶意的，发送${ϵ}_A$和$m_A$并不包含秘密值，则Bob永远无法读取自己的文件。

（2）如果协议未实现秘密交换，多轮执行该程序是不可能的。

假设协议多轮执行，一个参与者，比如Alice，可能在第一轮之后就获得了秘密值$S_B$，但故意在第二轮之后才访问她的文件。Bob在这两轮中都没有获得$n_A$，也就没有获得秘密值$S_A$。Alice在第二轮结束后访问文件，Bob无法得知是第一轮$v_A=0$还是第二轮，因此可能无法访问文件。

1.5 改进

对协议进行修改，在Bob从Alice处收到$n_A$后，Bob将选择$x,y\le n_A$，并发送$x^{2}mod{n}_A$和$y^{2}mod{n}_A$给Alice，而Alice发送$x_{1}mod{n}_A$和$y_{1}mod{n}_A$给Bob。协议其余部分不变。

修改后，Bob将有$\frac{3}{4}$的概率获得$n_A=p\cdot q$。（$\frac{3}{4}$如何求得见1.6.2节）

Alice从Bob处收到$n_B$同理。

综上，该协议不能实现秘密交换而终止协议的概率为$\frac{1}{16}$。

注意：这里的改善存在一个限制，超过该限制协议的增强将会失效。解释如下：

当经过协议的改进得到$Pr[v_B=1]\sim \frac{1}{32,000}$时，有：
$$\begin{gathered} Pr[{ϵ}_B=S_B]=Pr[{ϵ}_B=S_B|v_B=0]\cdot Pr[v_B=0]+Pr[{ϵ}_B=S_B|v_B=1]\cdot Pr[v_B=1] \\ Pr[{ϵ}_B=S_B]=1\cdot (1-\frac{1}{32,000})+0=1-\frac{1}{32,000} \end{gathered}$$
备注：原论文中是$Pr[v_B=0]\sim \frac{1}{32,000}$，个人认为是笔误。
因此，改进到一定程度，${ϵ}_B$有很大概率是$S_B$，Alice可以使用${ϵ}_B$直接访问自己的文件，而不继续执行协议。

1.6 附录

1.6.1 为什么 $d$ 有$\frac{1}{2}$的概率是$p$或者$q$？

（1）对于Alice：

Alice已知$n_A=p\cdot q$和Bob发送来的$c$，求该同余式$c=x_1^{2}mod{n}_A$可转化为求：
$$\begin{gathered} x_1^2=cmodp \\ {x}_1^2=cmodq \end{gathered}$$
即$c$是$p$和$q$的二次剩余。

构造等式获得一次同余方程组：
$$\begin{gathered} r^2=x_1^2=cmodp\Rightarrow r=x_1=\sqrt{c}modp \\ {s}^2=x_1^2=cmodq\Rightarrow s=x_1=\sqrt{c}modq \end{gathered}$$
由欧拉准则可知：对于奇质数$p$，

$a$是模$p$的二次剩余的充要条件为：$a^{\frac{p-1}{2}}\equiv 1modp$

$a$是模$p$的非二次剩余的充要条件为：$a^{\frac{p-1}{2}}\equiv -1modp$

本文选取很大的质数$p$和$q$，故一定是奇质数。因此，有：
$$c^{\frac{p-1}{2}}\equiv 1modp$$
代入同余方程可得：
$$r^2=c=c\cdot c^{\frac{p-1}{2}}=c^{\frac{p+1}{2}}=(c^{\frac{p+1}{4}}{)}^{2}modp$$
因此：
$$r=\pm c^{\frac{p+1}{4}}modp$$
同理，可得：
$$s=\pm c^{\frac{p+1}{4}}modq$$
不妨设$k=c^{\frac{p+1}{4}}$，

则$r=\pm kmodp$和$s=\pm kmodq$

将其$r$和$s$代入同余方程组
$$\begin{gathered} x_1=rmodp \\ {x}_1=smodq \end{gathered}$$
得到四种情况：

第一，$x_1=+kmodp$或$x_1=+kmodq$；

第二，$x_1=-kmodp$或$x_1=-kmodq$；

第三，$x_1=+kmodp$或$x_1=-kmodq$；

第四，$x_1=-kmodp$或$x_1=+kmodq$。

使用中国剩余定理求解同余方程组，得$x_{1}mod{n}_A$并发送给Bob。

（2）对于Bob：

记 $d=gcd(x-x_1,n_A)$（gcd为求最大公因数），则有：
$$d=gcd(x-x_1,n_A)=gcd(x-x_1,p\cdot q)$$
引入一个定义：对于$0\le y_1,y_2<n=p\cdot q$，$y_1\sim y_2$表示为$y_1^2=y_2^2\mathrm{mod}n$。
若$y_2=rmodp$和$y_2=smodq$，那么有$y_1=\pm rmodp$和$y_1=\pm smodq$，即$y_1=\pm y_{2}modp$和$y_1=\pm y_{2}modq$。

显然，在$mod{n}_A$下，$x\sim x_1$，所以有以下四种情况：

第一，$x=x_{1}modp$和$x=x_{1}modq$；

第二，$x=-x_{1}modp$和$x=-x_{1}modq$；

第三，$x=x_{1}modp$和$x=-x_{1}modq$；

第四，$x=-x_{1}modp$和$x=x_{1}modq$。

对于第一种情况，知道：$x-x_1=0modp$和$x-x_1=0modq$。也就是说$x-x_1$是由若干个$p$和$q$的乘积组成，因此$d=p\cdot q$；

对于第二种情况，知道：$x-x_{1}modp=-2x_{1}modp$ 和 $x-x_{1}modq=-2x_{1}modq$。因为$x_1$是$\pm kmodporq$下的值，则$x_1\ge 0$，因此$-2x_1$在$modp$和$modq$下一定小于$p$和$q$，不含有$p$或者$q$的倍数。

对于第三种情况，知道：$x-x_1=0modp$。也就是说，$x-x_1$是若干个$p$的乘积组成，因此$d=p$。

对于第四种情况，知道：$x-x_1=0modq$。也就是说，$x-x_1$是若干个$q$的乘积组成，因此$d=q$。

综上所述， $d$ 有$\frac{1}{2}$的概率是$p$或者$q$。

1.6.2 $\frac{3}{4}$如何求得?

对于Bob来说，引入$x$和$y$后，得知$n_A=p\cdot q$的选择增多，利用排列组合的思想，有：
$$\frac{4+4+2+2}{4\times 4}=\frac{3}{4}$$
进一步解释，$d_1=gcd(x-x_1,n_A)$或者$d_2=gcd(y-y_1,n_A)$有一个最大公因数是$p$或者$q$的都可以使Bob知道$n_A$的分解。因此，$x_1$有四种解的情况，$y_1$也有四种解的情况，两两组合$4\times 4$种所有的可能性，其中$x_1$有两种可能使Bob得知$n_A$的分解，同理$y_1$也是，两两组合中有其中一个能使Bob得知$n_A$的分解即或的关系就可以使Bob得知$n_A$的分解，那么便有分子的12种组合。

用概率的计算，可以有：
$$Pr[Bobknows{n}_A=p\cdot q]=1-Pr[notBobknows{n}_A=p\cdot q]=1-\frac{1}{2}\times \frac{1}{2}=\frac{3}{4}$$

1.7 参考文献

[1] Rabin, M.O. (2005). How To Exchange Secrets with Oblivious Transfer. IACR Cryptol. ePrint Arch., 2005, 187.

[2] 王，巴德.(2022)Rabin加密原理.https://zhuanlan.zhihu.com/p/533927542

[3] Rabin, M.O. (1979). DIGITALIZED SIGNATURES AND PUBLIC-KEY FUNCTIONS AS INTRACTABLE AS FACTORIZATION. Technical Report. Massachusetts Institute of Technology, USA.