Протокол отпчм

Вход:ОтправительRимеет входb₁,b₂,...,b_k{0,1}^k, а получательS имеет входi{1,...,k} и обе стороны имеют дополнительный параметр безопасности 1ⁿ.

1. Отправитель Sравномерно выбирает паруодносторонних функций с секретом(,t) (см. Приложение), выполняя алгоритм их генерацииGпо входу 1ⁿ. Параметр отсылаетсяR.

2. Получатель Rравномерно и независимо выбираетe₁,...,e_k_R*D_, устанавливаетy_i=f(e_i) иy_j=e_jдля каждогоjiи отсылает (y₁,y₂,...,y_k) к отправителюS. Для этого:

2.1. Равномерно и независимо выбирает e_j_R*D_каждый раз, вызывая алгоритм генерацииe_j=D(,r_j),r_j_R*Z,j=1,...,k.

2.2. Вычисляетy_i=f(e_i).

2.3. Для jiприсваиваетy_j=e_j.

2.4. Получатель Rотсылает (y₁,y₂,...,y_k) к отправителюS. Таким образом, получатель знаетf_^-1(y_i)=e_i, однако не может предсказатьb(f_^-1(y_i)) дляji.

3. После получения (y₁,y₂,...,y_k), используя знание секрета для инвертирования односторонней функции с секретом, отправительSвычисляетx_j=f_^-1(y_j) дляj{1,...,k}. В свою очередь,Sпосылает (b₁b(x₁),b₂b(x₂),...,b_kb(x_k)) получателюR.

4. По получении (c₁,c₂,...,c_k) получатель локально выдаетc_ib(e_i).

Отметим сначала, что вышеупомянутый протокол корректно вычисляет OT^k₁так как

c_ib(e_i)=b_ib(x_i))b(e_i)=b_ib(f_^-1(f_(e_i)))b(e_i)=b_i.

Аргументы для доказательства того, что протокол действительно конфиденциально вычисляет OT^k₁ следующие. Интуитивно, отправительSне получает никакой информации при выполнении протокола, так как для любого возможного значенияiвсе потенциальные отправители «видят» одно и то же распределение равномерно и независимо выбранных элементов изD_.

Интуитивно, получатель Rне получает никакой (с вычислительной точки зрения) информации при выполнении протокола, так как дляji, единственные данные, которые могут «говорить» оb_j– это кортеж (,e_j,b_j(f_^-1(e_j))), из которого невозможно предсказатьb_jлучше, чем простым угадыванием.

Формальные аргументы даны в работе [Go1].

2. Двухсторонние вычисления Безопасные протоколы для получестной модели

В этом подразделе описывается метод построения протоколов конфиденциального вычисления любой заданной вычислимой функции. Конструкция представляет собой булеву схему для реализации заданной функции, вычисления в которой выполняются в соответствии с протоколом. Конструкция носит модульный характер.

Сначала определяется соответствующее понятие редукциии показывается, как получить протокол для конфиденциального вычисления функцииgпо данной редукции (конфиденциально вычислимой) функцииgк (конфиденциально вычислимой) функцииfвместе с протоколом для конфиденциального вычисленияf. В частности мы сводим конфиденциальное вычисление обобщенных вычислимых функций к конфиденциальному вычислению детерминированных вычислимых функций.

Затем, без потери общности, рассматриваются булевы схемы с логическими вентилями andиxorс коэффициентом объединения по входу равным 2. В общем случае можно представить следующий сценарий. Первый процессор «содержит» параметрыa₁,b₁, а второй процессор -a₂,b₂, гдеa₁+a₂- значение одной входной линии иb₁+b₂- значение другой входной линии. Необходимо обеспечить каждый из процессоров «случайной» долей значения выходной линии, то есть долей значения (a₁+a₂)^(b₁+b₂). Другими словами нас интересует конфиденциальное вычисление следующей рандомизированной вычислимой функции:

((a₁,b₁),(a₂,b₂))(c₁,c₂), (3.1)

где c₁+c₂=(a₁+a₂) ^(b₁+b₂). (3.2)

То есть значения (с₁,с₂) равномерно выбраны среди всех решенийc₁+c₂=(a₁+a₂)^(b₁+b₂). Вышеупомянутая вычислимая функция имеет конечную область значений и может быть вычислена (в общем случае) сведением к одному из вариантов забывающего обмена (OT). Ниже показывается, как это может быть сделано при условии существования односторонней перестановки с секретом (см. Приложение).

Конфиденциальное вычисление c₁+c₂

Теперь мы непосредственно обращаемся к вычислимой функции, определенной в равенствах (3.1)-(3.2). Все арифметические операции выполняются в поле GF(2). Ниже приводится алгоритм редукции (конфиденциальным образом) этой вычислимой функции к вычислениюOT⁴₁.