IKNP 的改进：G-OT、C-OT、R-OT

参考文献：

1. M. Naor and B. Pinkas. Efficient oblivious transfer protocols. In ACM-SIAM Symposium On Discrete Algorithms, SODA ’01, pages 448–457. Society for Industrial and Applied Mathematics, 2001.
2. Asharov G, Lindell Y, Schneider T, et al. More efficient oblivious transfer and extensions for faster secure computation[C]//Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security. 2013: 535-548.
3. IKNP: https://blog.csdn.net/weixin_44885334/article/details/126733495

Base OT

最知名的半诚实敌手下安全的 OT 协议是 Naor-Pinkas 协议（找不到免费论文 ╥﹏╥ ）

Asharov 等人提出了一种新的基于 DDH 假设的 1-out-of-2 $n\times O{T}_l$ 协议。在椭圆曲线群下，它比 Naor-Pinkas 协议的 RO 模型下的协议慢$1$倍，比标准模型下的协议快$3$倍；并行的$n$越大，平局每次 OT 的代价就越小。

安全参数$\kappa$，素数$q$为$\kappa$比特。算法如下：

General OT

IKNP 平均每次 OT 操作，仅仅需要$3$次 Hash 运算（发送方$2$次加密运算，接收方$1$次解密运算），在计算复杂度上似乎已经是最优了。

但是，IKNP 协议需要构造$m\times \kappa$的矩阵，其中$\kappa =80$很小，而$m$取决于 MPC 电路的规模可以达到数十万。IKNP 需要在 OT 之前，预先确定$m$的上界，然后在执行 OT 时，发送巨大的矩阵。因此，通信复杂度过高，尤其是互联网的发展速度远不及 CPU 的发展速度的今天，通信往往是制约 MPC 的瓶颈。

Asharov 等人的思路是：先用 OT 发送$\kappa \times \kappa$的小矩阵$K_0=[k_1^0|\cdots |k_{\kappa }^0],K_1=[k_1^1|\cdots |k_{\kappa }^1]$，然后将它们的每一列作为随机种子（seed）输入到 PRG 中，扩展为$m\times \kappa$的大矩阵，将它们作为 OT 的密钥，来发送$(t^i,t^i\oplus r)$，

1. 接收方持有$k_i^0,k_i^1$，然后利用 OT 发送
   $$(v_i^0,v_i^1)=(G(k_i^0)\oplus t^i,G(k_i^1)\oplus (t^i\oplus r))$$

2. 发送方持有$s_i$对应的密钥随机性$k_i^{s_i}$，收到$v_i^{s_i}$后，计算
   $$q^i=G(k_i^{s_i})\oplus v_i^{s_i}=\{\begin{array}{rlr}{t}^i,& & s_i=0\\ t^i\oplus r,& & s_i=1\end{array}$$

Asharov 等人发现，因为$t^i$只是个随机数，如果不再随机选择$t^i$，而是直接设置$t^i=G(k_i^0)$，那么$v_i^0=0$就不用发送（类似于减少 Yao’s GC 通信量的 GRR3 技术），接收方只需发送：
$$u^i:=v_i^1=G(k_i^1)\oplus (t^i\oplus r)=G(k_i^0)\oplus G(k_i^1)\oplus r$$

那么相较于 IKNP 通信量减半。发送方可以直接计算出
$$q^i=\{\begin{array}{rlrl}G(k_i^0)& =t^i,& & s_i=0\\ G(k_i^1)\oplus u^i& =t^i\oplus r,& & s_i=1\end{array}$$

然后发送方用秘密$s$以及矩阵$Q\in \{0,1{\}}^{m\times \kappa }$的每一行来加密消息对$(x_i^0,x_i^1)$，接收方不知道$s$因此只能解密一个消息。另外因为 PRG 是可以连续扩张的，$r$也可以用 PRG 来连续生成，因此$q^i$的长度可以任意扩展，以执行不固定的$m$数量的 OT 协议。

由于密钥随机性$K_0,K_1$与 OT 要传输的消息$(x_i^0,x_i^1)$完全独立，因此可以将传输$K_0,K_1$的 OT 协议作为 Initial OT Phase，之后的使用$K_0,K_1$作为密钥发送$(x_i^0,x_i^1)$的过程作为 OT extension Phase，协议如下：

在构造矩阵$Q$的过程中，G-OT 协议的通信量减半！

Correlated OT

C-OT 专用于加速使用 Free XOR 技术的 Yao’ GC

输入线$w$上的两个线标签为$k_w^0,k_w^1\oplus R$，其中$R$是全局随机数。在使用 OT 协议时，两个密文为：
$$y_j^0=k_w^0\oplus H(q_j),y_j^1=k_w^1\oplus H(q_j\oplus s)$$

Asharov 等人再次发现，因为$k_w^0$仅仅是个随机数，如果不再随机选择$k_w^0$，而是直接设置$k_w^0=H(q_j)$，那么$y_j^0=0$就不用发送，发送方只需发送一个密文
$$y_j:=y_j^1=k_w^1\oplus H(q_j\oplus s)=R\oplus H(q_j)\oplus H(q_j\oplus s)$$
通信量减半。接收方可以根据$r_j$直接计算出：
$$k_w^{r_j}=\{\begin{array}{rlrl}H(t_j)& =k_w^0,& & r_j=0\\ y_j\oplus H(t_j)& =k_w^1,& & r_j=1\end{array}$$

注意，由于设置的线标签$k_w^0=H(q_j)$与$Q$有关，因此需要先执行 OT，后生成混淆电路！

上述协议可以扩展到任意的 第一个消息是随机数$x_j^0$，第二个消息是第一个消息的函数值$x_j^1=f_j(x_j^0)$ 的不经意传输上。对于每一行$1\le j\le m$，$f_j$可以是任意的不同函数。

发送方设置
$$x_j^0=H(q_j),y_j^0=x_j^0\oplus H(q_j)=0$$

然后仅仅发送一个密文

$$y_j:=y_j^1=x_j^1\oplus H(q_j\oplus s)=f_j(x_j^0)\oplus H(q_j\oplus s)$$

接收方获得了
$$x_j^{r_j}=(r_j\cdot y_j)\oplus H(t_j)$$

在根据矩阵$Q$计算和发送密文的过程中，C-OT 协议的通信量减半！

Random OT

R-OT 专用于加速使用 Beaver Triple 的 GMW

在构建乘法三元组时，需要利用 OT 发送随机比特对$b_0,b_1$，密文为
$$y_j^0=b_0\oplus H(q_j),y_j^1=b_1\oplus H(q_j\oplus s)$$

Asharov 等人又双叒叕发现，因为两个消息是独立的随机数，如果不再随机选择，而是直接设置$b_j^0=H(q_j)$以及$b_j^1=H(q_j\oplus s)$，那么$y_j^0=0,y_j^1=0$就都不用发送了！

发送者不必发送密文，而接收者直接计算
$$b_j^{r_j}=H(t_j)\{\begin{array}{rlrl}H(q_j)& =b_j^0,& & r_j=0\\ H(q_j\oplus s)& =b_j^1,& & r_j=1\end{array}$$

利用上述的 R-OT 协议，可以构建两方功能$f_{ab}$，双方都没有输入，一方获得$(a,u)$，另一方获得$(b,v)$，它们都是随机的布尔值，满足约束$ab=u\oplus v$，协议如下：

然后利用两次$f_{ab}$（也就是两次 R-OT），可以计算 Beaver Triple $(a,b,c=ab)\in \{0,1{\}}^3$，

1. 令$a=a_0\oplus a_1$，$b=b_0\oplus b_1$，$c=c_0\oplus c_1$，一方持有$0$的那些 shares，另一方持有$1$的那些 shares，需满足约束
   $$c_0\oplus c_1=(a_0\oplus a_1)(b_0\oplus b_1)=a_0{b}_0\oplus a_0{b}_1\oplus a_1{b}_0\oplus a_1{b}_1$$

2. $P_0$作为发送者，$P_1$作为接收者，执行$f_{ab}$，使得$P_0$获得$(a_0,u_0)$，$P_1$获得$(b_1,v_1)$，满足
   $$a_0{b}_1=u_0\oplus v_1$$

3. $P_0$作为接收者，$P_1$作为发送者，执行$f_{ab}$，使得$P_0$获得$(b_0,v_0)$，$P_1$获得$(a_1,u_1)$，满足
   $$a_1{b}_0=v_0\oplus u_1$$

4. 那么，$P_i$设置
   $$c_i=a_i{b}_i\oplus u_i\oplus v_i$$

容易验证$c_0\oplus c_1=(a_0\oplus a_1)(b_0\oplus b_1)$，双方获得了随机的 Beaver Triple $(a,b,c)$ 的 shares

在根据矩阵$Q$计算和发送密文的过程中，R-OT 协议的通信量可以完全去除！

总结

Asharov 等人对 IKNP 的通信量复杂度做了优化，

1. Base-OT：基于DDH假设，每个 OT 都使用相同的$u=g^r$，$n$越大，平均通信量越小。
2. G-OT：先用 Base-OT 传输$\kappa \times \kappa$的小矩阵$K_0,K_1$的列。用它们作为密钥的随机性，利用 PRG 扩展为 OT 密钥来传输矩阵$T,U$。特殊地设置$T$的每一列，使得$T$的密文为$0$，因此这一部分的通信量减半。
3. C-OT：基于 G-OT，根据矩阵$Q$加密两条消息。特殊地设置随机消息$x_j^0=G(q_j)$，使得它的密文为$0$，因此这一部分的通信量减半。
4. R-OT：基于 G-OT，根据矩阵$Q$加密两条消息。特殊地设置随机消息$x_j^0=G(q_j),x_j^1=G(q_j\oplus s)$，使得它们的密文都为$0$，因此这一部分的通信量完全消失。