简单不经意传输（OT）及代码示例

不经意传输（Oblivious Transfer，OT）

不经意传输是考虑这样一个场景，A拥有两个数据 $m_0$ 和 $m_1$ ，B想要从A中获取一个数据，但是，不想A知道B到底获取了什么。比如，A是一个云服务器，提供存储服务，B是一个用户。用户想要从服务器上获取一些资源，但是，出于隐私考虑，用户不愿意让服务器知道，他从服务器上到底获取了什么资源，更强一点，云服务器除了用户选择的资源外，他不想让用户知道其他的资源的内容。因为对于云服务器来说，这些资源可能是有价值的，用户购买了一个资源，但是不能把所有资源都暴露给用户，否则，下一次就没办法向用户收钱了。这时候，OT就派上用场了。我们通常把A叫做发送方，B叫做接收方。

本文将介绍文献[1]中提出的一个根据DH（Diffie-Hellman）密钥协商的构造一个简单快速的二选一不经意传输（1-out-of-2 OT）。被后面的多篇论文[2]指出，其原论文的安全性证明是有问题的，并不是UC（universal composability ）安全的，但是并不影响，我们在半诚实的假设的安全性。也就是参与协议的两方都会遵守协议的规则，但是可能会做一些额外的计算去获取对方的隐私信息。

DH（Diffie-Hellman）密钥协商

先简单回顾一下DH密钥协商协议，假设 $p$ 是一个大素数， $\mathbb{Z}_p$ 是模 $p$ 的剩余类群。现在A和B想要协商一个共同的密钥，用于加密。但是没有一个安全的信道，所以，不能由其中一方，比如A生成密钥，然后直接发送给B。

在协商开始之前，A和B确定公共参数， $p, q, g$ ，其中 $g$ 是 $\mathbb{Z}_p$ 的一个 $q$ 阶生成元，也就是 $g^q \equiv 1\mod p$ ，且任何 $0 < k < q$ ， $\in \mathbb{Z}_p$ 都有 $g^k \mod p \neq 1$ . 为了保证安全， $q$ 需要足够大。

首先，A从 $\mathbb{Z}_p$ 中选取一个随机数 $a$ ，计算 $x=g^a \mod p$ ，然后将 $x$ 发送给B。

同时，B也从 $\mathbb{Z}_p$ 选取一个随机数 $b$ ，计算 $y=g^b \mod p$ ，然后发送给A。

A收到 $y$ 后计算 $k_A=y^a \mod p$ 。

B收到 $x$ 后计算 $k_B=x^b \mod p$ 。

显然， $k_A=y^a=(g^b)^a=(g^a)^b=x^b =k_B$ 在模 $p$ 的意义下是相等的。接下来，我们使用雷士的流程来构造OT。

简单OT的构造

首先，公共参数和DH协商的参数是一样的， $p, q, g$ ，此外还需要确定一个加密算法，比如AES，一个哈希函数或者是密钥派生函数 $H (x)$ ，将 $\mathbb{Z}_p$ 中的元素 $x$ 转化为加密算法的加密密钥。

A有两个消息 $m_0,m_1$ ，B从中选则一个消息， $m_c$ 其中， $c = 0$ 或者 $c = 1$ 。

A从 $\mathbb{Z}_p$ 中选择一个随机数 $a$ ，计算 $x=g^a \mod p$ ，然后发送给B。

B从 $\mathbb{Z}_p$ 中选择一个随机数 $b$ ，如果 $c = 0$ ，那么计算 $y=g^b \mod p$ ，如果 $c = 1$ ，那么计算 $y=xg^b \mod p$ 。然后将 $y$ 发送给A。

A计算 $k_0=H(y^a),$ 和 $k_1=H((\frac{y}{x})^a)$ ，注意，这里的 $\frac{y}{x}$ 使用的除法是 $\mathbb{Z}_p$ 中的除法，也就是 $y$ 乘以 $x$ 在 $\mathbb{Z}_p$ 中的逆元。

然后A使用 $k_0$ 加密 $m_0$ 得到密文 $e_0$ ，使用 $k_1$ 加密 $m_1$ 得到密文 $e_1$ 。A将两个密文都发送给B。

B计算自己的密钥 $k_c=H(x^b)$ ，然后根据自己的选择，解密对应的密文 $e_c$ ，得到想要的 $m_c$ 。

正确性解释

如果 $c = 0$ ，那么 $y=g^b$ ，此时，A计算的 $k_0=H(y^a)=H(g^{ab})$ ，而 $k_1=H((\frac{g^b}{g^a})^a)=H(g^{ab-a^2})$ ，而B拥有的密钥 $k_c=H(x^b)=H(g^{ab})$ 。这样，B就只能解密出 $e_0$ 。

同理，如果 $c = 1$ ，那么 $y=xg^b=g^{ab}$ ，此时，A计算的 $k_0=H(y^a)=H(g^{a^2b})$ ，而 $k_1=H(\frac{xg^b}{x}^a)=H(g^{ab})$ 。B的密钥 $k_c=H(x^b)=g^{ab}$ ，则B只能解密出 $e_1$ 。

我们注意到，对于A来说， $k_0$ 和 $k_1$ 都是一个随机数，当B选择不同的 $c$ 时，A是没有办法区分。而对于B，假设加密方法是安全的，那么，B在没有正确密钥的时候，也是没有办法解密得到另外一个没有选择的消息。

python代码示例

我们需要注意的是，使用离散对数构造的方案，是可以平推到椭圆曲线的。只需要将刚刚的 $g$ 变成一个椭圆曲线上的点， $KaTeX parse error: Undefined control sequence: \mathBB at position 1: \̲m̲a̲t̲h̲B̲B̲{Z}_p$ 变成一个椭圆曲线上的域，就可以直接平推过去。
目前有一个实现了这个椭圆曲线版本的简单OT的库，叫做otc库。使用命令

python -m pip install otc

可以直接安装。

下面是一个简单的例子：

import otc
s=otc.send()
r=otc.receive()

def round(select: int, m0:int , m1: int):
    selecttion=r.query(s.public,select)
    replies=s.reply(selecttion,m0.to_bytes(16,"little",signed=True),m1.to_bytes(16,"little",signed=True))
    res=r.elect(s.public,select,*replies)
    return int.from_bytes(res,"little",signed=True)

print(round(0,2,3))
print(round(1,2,3))

以下是几个需要注意的点：
选择比特只能是0或者1，reply的输入，两个消息m0和m1都是16比特长度的字节流，最后返回的结果也是一个字节流。

参考文献

[1] Chou, Tung, and Claudio Orlandi. “The simplest protocol for oblivious transfer.” Progress in Cryptology–LATINCRYPT 2015: 4th International Conference on Cryptology and Information Security in Latin America, Guadalajara, Mexico, August 23-26, 2015, Proceedings 4. Springer International Publishing, 2015.
[2] Genç, Ziya Alper, Vincenzo Iovino, and Alfredo Rial. ““The simplest protocol for oblivious transfer” revisited.” Information Processing Letters 161 (2020): 105975.