基于Oblivious PRFs的不经意传输协议（OT）

Oblivious PRFs

OPRF protocol

令$F$是定义在$(K,X,Y)$上的带密钥的安全$PRF$。协议的双方是发送者（拥有$k$）和接收者（拥有$x$），协议有如下性质，

1. 接收者可以学习到$y:=F(k,x)$
2. 接收者无法学习到其他点$x^{\prime }\ne x$的函数值。
3. 发送者无法学习到关于$x$的任何信息。

一种基于CDH的实例

$K=Z_q$，$G$是生成元为$g$的素数$q$阶循环群。令$F:K\times X\to Y$是如下形式的$PRF$，
$$F(k,x):=H^{\prime }(x,H(x{)}^k)$$
其中$H:X\to G$，$H^{\prime }:X\times G\to Y$都是基于$ROM$的Hash函数。

发送者的私钥为$k{\leftarrow }_R{Z}_q$，公钥为$u=g^k\in G$。接收者要计算点$x\in X$的函数值。协议如下：

1. 接收者选择 $\rho {\leftarrow }_R{Z}_q\backslash \{0\}$ 和 $\tau {\leftarrow }_R{Z}_q$，计算$v\leftarrow H(x{)}^{\rho }\cdot g^{\tau }\in G$，发送$v$给发送者
2. 发送者计算$w\leftarrow v^k\in G$，发送$w$给接收者
3. 接收者计算$y\leftarrow H^{\prime }(x,(w\cdot u^{-\tau }{)}^{1/\rho })\in Y$

安全性：在恶意发送者存在的情况下，$\tau$是均匀的导致$v\in G$是均匀的，上述协议是安全的。在恶意接收者存在的情况下，在one more Diffie-Hellman assumption下（敌手学习某些$(v,w:=v^{\alpha })$对，然后挑战者发送一些$v$，敌手同时正确计算出所有的$w=v^{\alpha }$的概率可忽略），上述协议是安全的。

基于OPRF的OT协议

令$F$是定义在$(K_{prf},[n],K)$上的的$PRF$，令$\Pi$是计算$F$的OPRF协议，再令$(E,D)$是定义在$(K,M,C)$上的对称加密方案。

发送者拥有$m_1,\cdots ,m_n\in M$，接收者希望获得$m_i$。OT协议的流程为：

1. 发送者选择$k{\leftarrow }_R{K}_{prf}$，自行计算$k_i\leftarrow F(k,i)$，然后计算$c_i{\leftarrow }_{R}E(k_i,m_i)$，最后发送$C:=(c_1,\cdots ,c_n)$给接收者
2. 接收者根据索引$i$，利用协议$\Pi$和发送者交互，计算出$k_i=F(k,i)$，最后输出$m_i\leftarrow D(k_i,c_i)$

上述协议中，发送者只需执行$1$次第一步，接收者可以执行$l$次第二步来获取至多$l$个不同的消息。

安全性：在恶意发送者存在的情况下，根据OPRF协议的安全性，发送者无法学习到关于$i$的任何信息，上述OT协议是安全的。在恶意接收者存在的情况下，根据OPRF协议的安全性，接收者至多解密$l$个消息（这里$l$是协议第二步的执行次数），上述OT协议是安全的。