抽象性

隐式传送原语原语原语原用以隐式方式从发送者向接收者传递消息集合OT扩展协议通过先运行少量OT实例后廉价对称运算来降低昂贵非对称运算多数前期作品讨论安全模型或通信复杂性和计算OT通用实例,我们侧重于具体应用假设,特别是OT协议发送者数据库计算少和交互能力有限时。本文建议通用外包OT扩展协议 )将发送者所有非对称运算外包到半诚实服务器以适应上方具体假设我们提供 标准安全定义 并证明协议安全内 ,发件人对飞工作并只对称局部操作所执行轮数OT和OT发送消息长度,协议实现最优复杂性况且 可用于构建高层协议,如私密成员测试和私密集相交我们相信 构造可能也是其他应用中的一个构件

开工导 言

显性转移(OT)是安全计算中最重要的原语协议中疯狂使用一号GMW构造2sPDZ预处理阶段3协议大数据开发 云计算 移动计算 不同组织和个人对联合计算的需求 快速增长为了确保计算任务安全不受复杂外部环境的影响,密码组件必须用于协议设计,OT在协议设计中与同态加密、秘密分享和乱码电路并举

OT公钥原生中心化 这使得计算成本安全计算多位隐私保护协议,如私人成员测试和私有集交叉程序,严重依赖大量OT实例安全计算取舍计算和通信取舍产生多OT实例的最有效方式是通过OT扩展协议4,5..协议中,两位参与者集体运行少数OT实例,然后执行廉价对称操作生成多OT实例

1.1.运动动机

OT扩展协议中发件人 需要与接收器交互 协议期间的每一步都使用指数计算和密集交互某些应用假想 可以是计算功率较低的移动设备或有限交互能力数据库控件调用OT扩展为子协议时 某些复杂计算任务 需求响应请求 越快越好

现时许多应用快速传输云服务,希望寻找服务器辅助OT扩展协议以解析重负 合理安全假设相当多文献6-12环绕施肥函数OT或优化接收器通信成本 .调查OT寄件方适应具体假设时的注意力太少

为此,我们建议通用外包忽略转移扩展协议 仿真模型内 ,发件人 优先外包所有昂贵非对称操作给第三方,第三方经管子协议称OT实例 .基于对应子协议输出 和其他辅助信息 生成对称密钥用于加密OT发送消息结果发件人 工作飞送输入加密对称密钥 转接接收器 ,并因此使两方能够完成整个OT扩展协议

最近OT扩展趋势导致研究扩散显示如何设计高效PSI13-17或PSI协议18号-21号安全模式不同,因为OT扩展协议是安全计算的重要组成部分,在集操作中起关键作用以PSI为例,不侵犯个人隐私,使用PSI联系寻址21号可帮助防止COVID-19的进一步传播正因如此 框架在外包假想中应用范围广,作为构件,我们认为 可方便地应用到高层协议中

1.2.相关工作

拉宾22号开始引入OT概念 接收者接收发件人发文并概率 发件人不知道接收者是否收到消息一行作品试图丰富OT功能, 并主要组成OT6..... OT [7,8k出- OT [九九,10中头两个功能在本论文中考虑一些研究者23号-25码不同安全模型中提议的OT协议,尽管我们注重半诚实模型,足以在今后部署框架,包括恶意模型、隐型对立模型和通用可编译模型

OT以公钥原语居中 效率问题在拉宾工作后22号..比弗26显示OT只能使用前期传输预计过去20年的研究证明,单向函数可以实现微量OT扩展至大数OT实例27号-29..直至2003年Ishai等[4高效法扩展二大OT数例,少有二大OT实例,即IKNP扩展协议科列斯尼科夫和库马里桑5广义IKNP编码理解并提议改进OT扩展协议允许 OTs通信计算成本较低Lindell等[11研究输入尺寸隐藏双方计算完全同态加密并提议安全OT扩展协议以降低发件人和接收人的通信成本Cho等[12聚焦接收者通信成本OT和基于Diffie-Hellman决策假设的拟议laconicOT协议卡特等人[30码提议外包OT协议专用于云接收OT输出的移动使用案例最近Mansy和Rindal提议31号非交互键交换由此产生的OT扩展需要三轮

迄今的研究往往更多关注接收者成本,少关注OT发送者,很少有研究调查发送者方计算和通信复杂性这项工作的目的是探索OT发送器的成本并构建高效OT扩展框架,由第三方辅助此外,OT扩展简单但有用地描述隐式伪函数构建不可知PRF近些年来吸引了很多兴趣,例如多党PSI14PSI基础性21号和私有集合32码..这表明,由于实际约束,需要使OT扩展适应外包假设

1.3我们的贡献

本文聚焦服务器辅助OT减少发送者公钥计算和与接收器轮接我们工作的主要贡献如下:i)我们建议通用外包OT扩展协议 . ,服务器和接收者协同运行少量OT实例,此时发件人可脱机第一阶段后发件人可在需要时从服务器取出必要相关随机性发件人可发送输入加密,但只能用对称密钥发送接收者,接收者完成OT实例并正式证明安全 仿真模型二)分析复杂度并实现实战 实验显示建设实用高效三)吾族 可应用构造提高基于OT隐私保护原语在服务器辅助设置中的效率,例如忽略伪函数和高层次协议,如PMT和PSI等独立兴趣

二叉初创性

2.1.标注

除另有说明外,我们使用OT表示OT 表示表示 例2OTI级比特字符串简单化,让我们 表示值随机矩带适当安全输出长度,实际协议中定义清晰矩阵用大写表示,向量用小粗字表示也就是说 表示表示-矩阵行 , 表示表示j大全-第列 .小光前附下标 表示表示 -Th位字符串 .值得注意的是,我们视字符串为向量,不区分字符串和向量之间的区别if 系二字符串后加注 表示值 .相似的表示法 表示向量 .特殊时间 , 表示向量 .

2.2.安全计算安全模型

安全多党协议安全正式定义三十三基础比较两个输出分布 分别来自理想世界和现实世界三方功能 表示为 ,去哪儿 获取 输出式理想/现实模拟范式.在一个理想世界中,参与者发送输入外部信任方计算功能并发送对应输出假设有对立方拥有协议输入输出 并执行攻击实战协议在一个实战协议中,如果没有任何对手比理想世界执行协议能做更多伤害,现实世界协议据说安全性Computationally Indistinguishability.双分布概率编集 传说中computationally indistinguishable表示由 ,if为非一致性多元时算法 ,存在可忽略函数 以至於-切 和每一 : 半诚实反向模型.半诚实对立模型中受腐化参与者必须正确执行协议敌方全面获取败方内部状态.例如并试图获取应保密的额外信息半实模型足够并实际捕捉多例假想,尽管它非常弱敌模型

本文聚焦半诚实模型和诚实多数案例,即对手最多可腐蚀一名参与者和二名参与者不会串通下下文建议正式安全定义

定义一等一等 确定性功能 三方协议计算 .给定安全参数 三重输入 ,去哪儿 出自 , 出自 , 出自 ,视图 协议中 表示为 ,去哪儿 , 随机性使用 , 算法 -t消息接收 ;输出 表示为 ,并联合输出方 .我们说 安全计算 半诚实模型中,如果有下列控件:i)正确性持有 二)概率多时模拟器 , , 中位数

2.2.1. 安全模型

,可使用简单定义,因为三方中二方不产生任何结果(见 图中一号)具体地讲,三方 代表服务器 ,发件人 ,并接收器 ,互斥功能化 可简单写入 ,去哪儿 表示空字符串我们仍然需要正确性安全表示有三个模拟器 , , 中位数 去哪儿 表示输入集 发自 , 表示输出 联想 , 表示无效值


图1
外部疏导转移功能 .
2.3OT扩展

开始输入标准2OT定义 寄件者持有2条消息 与接收者交互持有选择位 .OT第一协议保证接收者获取 不知所措 ,发件人一无所知 .理想功能OT2 ,图解2.


图2
i-out2隐式传输功能 .

多数环境需要同时运行大数OT实例多运OT称批量OT3表示为 .IKNP扩展协议4实战里程碑开发OT研究计算 高效化小数计算 并发运行 时间虽然计算通信费用高故OT扩展法最高效执行 取代运行 并行OT实例


图3
批量忽略传输功能 .

图中显示3功能IKNP 接收消息 不知所措 ,时段 一无所知 ,去哪儿 表示表示 -百分位 .IKNP协议接收器 并运行它 时间详解 计算 对称键表示 ,用于加密每对消息 ,去哪儿 .双对称密钥 , 唯一知道精确一 依据他的选择字符串 .IKNPOT扩展关键洞察力是执行OT键协议 方式如下:

表单 矩阵化 随机计算矩阵 中位数 . 选择 随机计算面向每个 , 引用 带输入 , 行为化接收器带选择位 . 接收器 后计算 并发表矩阵 .列矩阵 ,意指 .基本观察是,对每一行矩阵 ,握住它

准备键对 完全知道 ,去哪儿 生成方式 本地化并因随机性 选择对象 , 学习 概率不大于微小 .接下去 可执行对称操作以便用键对加密每对消息 并发送 双加密消息 .终于 可解密对应消息 下对 .

如上所述,IKNP协议从运行开始 时间并随后执行多对称运算以“扩展”这些OT实例,这些实例也被称为“基础”OTs

2.4.盲目PRF

Freedman等[34号并泛泛构思OT的OPRFOPRF协议双方协议发件人 输入随机种子 取不取而代之接收器 输入评价点 获取 伪函数族 .OPRF功能4可定义由 .


图4
显性PRF功能 .

OPRF总定义是接收者 输入评价集 并盲目获取PRF评价 .图中的功能4可视之为特殊简化案例,尽管为某些假设情况构建这样一个高效OPRF就足够了。本文中我们只考虑定义接收器 单点评价PRF ,可高效大规模构造

2.4.1挂起OPRF基础OT扩展

科列斯尼科夫和库马里桑5泛泛IKNP和拟议的KK协议实现 OTs高效方式IKNP方程 表示矩阵的每一行 或全部0或全部0特征被解读为重复代码kk使用a提高线性错误校正代码表示由 .立即对行 ,并持有 ,去哪儿 公共线性错误校正维码 代码长度 .KK方程5归来

值得一提的是 表示 -矢量中th元素 ,和现在,它不再二进制方程5)但a -位字符串编码长度 判定长度 列数矩阵 ,代之以IKNP 高山市 相对安全参数 )KK求达到相同的安全需求 代码长度 约二倍多 .也就是说 .结果KK中BaseOT数比IKNP翻番

基础一出 OT扩展件,Kolesnikov等[13提议OPRF变式并描述高效协议生成批量OPRF实例 )从适应点OT扩展变换OPRF函数基础方程6)是 去哪儿 现为伪代码代之以线性错误校正代码

值得注意的是随机种子 组成 ,表示方程6基本即时处理 不同的OPRF总和,正因如此 称它为浸泡键相关OPRF外加伪代码编码长度 大约比KK线性错误校正代码输出长度2倍长,这是实现安全需求所必须的基于OPRF,构建私人成员资格测试无关紧要,下文将说明这一点。

3级概述我们建设

功能化 图解一号.介质差 图中3 图中一号似似无损和免用性,在实用OT扩展应用中,这种区分变得更显突出,而在外包OT假想中则更显突出。

代码长度方程6)和(b)7)伪代码和线性错误校正代码,确定拟评价的OT实例数提供直觉,我们可以使用特定数OT扩展所需的大数OT实例Ishai等[4和Kolesnikov等[5,13显示 长字符串OTs可缩到 基础OT短字符串即提供伪随机生成器和小数OTs 我们希望因此,我们用程序命名式方式执行OT(见图图)。5)实现最终功能 .此处,为清晰性,我们表示选择字符串 由粗体字 取而代之 , -Th元素 表示由 .


图5
OT迭代概述

为了更好地了解我们的工作,让我们审查IKNPOT扩展 控件 双叉 -长消息 ,并接收器 控件 -位选择向量 .图显示5,我们现在聚焦 唯一面向 ,每一行矩阵 组成 ,相选即两者 矩阵和矩阵 .现在 IKNP中的BaseOT作用,而最终功能即实现 ,去哪儿 安全参数 , .后传 , 计算方程5并发送加密 .仅使用对称键运算 接收器 发自 盲目方式面向 ,每一行矩阵 华府市 .迄今我们已审查全框架IKNP协议, , , .写算法实现 递归函数 编程语言中关键步骤IKNP 引用 ; 降为 ,去哪儿 安全参数IKNP因此,我们实施 通过引用 先执行对称密钥加密操作

泛例中,二方 准备运行协议 ,去哪儿 代理发件人 持有消息矩阵 时段 控件选择向量 .后传 , 获取输出 组成消息heshe选择接收根据OT扩展协议 首发运行 ,去哪儿 行为化接收器 行为化发件人.面向每个 ,握住它

表示表示 -矩阵行 , 表示值 -Th元素 , 某些编码图例,如复用代码方程5线性错误校正方程代码6)详细介绍 具体协议中强调

命名为外边内部OT,分别特别 最深层的后发现两个输入向量 由输入判定 外表 .角色化 每一次反转 引用 ;即表示 OT外部化接收器内部OT, .况且 (如果存在)是外边OT相关 ;输入向量 由判定 .

变换 , , 是我们工作主体关键观察点是 双方输入 自主性也就是说 , , 自主性if 协议中必备分量 辅助半诚实服务器集中处理特殊但满足性案例 准备执行 ;显着,内部 图解6取而代之 .假设中 不小安全参数if 正常用户表示接收者 数据库计算能力有限,框架变得更有用高效因此,我们认为服务器辅助传输会减少发送者所有公钥计算和与其他各方交互数图中显示6, 外包计算标有蓝矩形到服务器


图6
建设 .

吾族 协议分两个主要阶段上头外包阶段, 服务器 运行 详解 输入随机选择字符串 ,时段 输入二随机 矩阵化 .后传 , 获取输出 并准备 )For .第二阶段 目标对响应请求For .阶段可总结为 引用 发送消息对 加密方式 ) .上阶段 从输出 ,可视之为 引用 .

4级外源可忽略转移扩展

本节显示如何搭建外包忽略转移扩展协议 ,三方功能 可安全计算 出现伪敌

吾族 协议分三大阶段发件人 ,接收器 ,服务器 .6显示显示 编程式构造 少数OT实例 最深层 ,优先协同执行事实上,我们让 ,并成为 ,去哪儿 安全参数实战协议从全局角度讲,我们给程序 图中7以便更好地了解三方在每个阶段所扮演的角色


图7
外包盲目转移程序

上头外包阶段, 运行 详解 输入随机选择字符串 ,时段 输入二随机 矩阵化 .后传 , 获取输出 并准备 )For .第二阶段 目标对响应请求For .阶段可总结为 引用 发送消息对 加密方式 ) .上阶段 从输出 ,可视之为 引用 .

我们描述 图中8实现功能 图中4.引用程序 可写为 .


图8
外包忽略转移扩展协议

按方程计算8),每一次 引用 ,并握住 .等一等 表示相异编码方法内 , ,都放 重复代码输出长度 ,

值得注意的是,比较泛泛地说,输出 可不相等长度,由判定 ,互斥图解78插图 框架程序中符号一致性和输出重复代码嵌入矩阵列数 .

定理一上头 图中协议8安全计算功能 下图4)仿真环境定义描述一号,给定随机acle和功能 下图一号)

证明我们先证明正确性后传 ,证明 仅接收 却一无所知 计算时 .外包阶段,它持有 取响应阶段第五步 基本计算 步骤6 ,通过计算 , 获取 时间 并获取 时间 .应付 , 面向 , 计算 并基本发送 下消息 : 书中写道 仅if .具体化时 , 计算 何时 , 计算 简言之 仅接收 无法恢复 通过计算 一无所知 , .
判断正确性 .
建构三大模拟器 , , 模拟腐烂 , , 产生笔录和视图实执行计算不可分也就是说 去哪儿 表示输入集 发自 , 表示输出 联想 , 表示无效值漏洞处理 .给定 ,很容易完全模拟视图服务器 执行协议期间仅存输入或接收消息或输出也就是说 计算不可分 .漏洞处理 .协议中发件人 仅工作响应阶段 接收消息 并发送加密输入 .消息获取 .也就是说 由输入组成 并发消息 ,去哪儿 .无关紧要 生成模拟 都指随机值 .现在 模拟模拟 通过选择 -长度字符串 , -长字符串 , 矩阵化 , 矩阵化 随机计算 等一等 e输出 .因此,我们主张由 和视觉腐烂 实协议计算不可分漏洞处理 .我们搭建模拟器 模拟损耗视图 实战协议执行先分析 视图 . 获取矩阵 外包阶段 输出阶段正因如此 组成 输入 并发消息 .构造视图模拟 工作如下i)外包阶段参保安全参数 , 输入 ,随机性 , 调用模拟 带输入 并获取输出 .接下去 附加输出 ,矩阵化 ,归结自制输出二)输出阶段中,给定安全参数 , 输入 ,随机性 ,输出 , 模拟模拟 通过选择 -长字符串 并计算 接下去 附加件 归结输出
合并上文描述的两个阶段顺序, 我们最后称输出 计算不可分实执行 .
完成三个模拟器搭建 , , .简言之 安全仿真模型

4.1.性能分析

我们现在分析性能 仿真模型复杂度 表显示一号.i)计算复杂性.对称和对称操作数 基本取决于矩阵大小 , , ,互斥外包阶段 组成 公钥 私钥操作 (代理发送器) (代理接收器)响应阶段 随机acle执行XOR操作 时间间隔接下去 恢复矩阵 并加密消息 ,中唯一组成 对称运算输出阶段 执行对称运算 时间计算输出二)通信复杂性.外包阶段比特数 受界 .响应阶段 接收消息 并发送加密消息 ,内含 .输出阶段 接收器 -位消息汇总 .三)轮复杂.唯一交互 存于外包阶段 , .交互数轮 受一界

表1
复杂度 .
4.2效率比较

自我们注重发送器效率 OT中,我们比对前经典协议 表中点视图2.内 ,所有非对称操作均由接收者操作 云服务器 , 工作飞并局部对称计算

表2
效率比较

5级性能显示

本节测试性能 .Linux机实验,机内装有4核心3.40GHz英特尔核心i5-7500CPU和8GB内存

测试指Github实现https://github.com/emp-toolkit/emp-ot.模拟主非对称运算 单机上我们比较 与OT协议最近工作使用32码s计算至少450OT实例 从128BaseOTs因此,我们认为 并模拟外包阶段安全参数长度定为128后,我们模拟 For , , ,互斥我们重复每次模拟20次,结果显示在图中九九.虽然 显示几乎完全相同的性能Vladimir's,运行时间趋向稳定时快 .此外,图中九九中发件人 联想 模拟期间大部分时间脱机工作,这是长处之一 .


图9
运行时间比较

另一长处 性能测试发现发件人减少通信阻塞 .OT扩展协议的主要思想是扩展小数OT执行多OT结果,从基础OTon搭建到协议完成并计算每个原创OT平均时间平均时间图解10.测试 OT实例不同 并计算单OT平均运行时间 .从图10中可以看到平均时间稳定 不足8扩展基础OT到适当数OT ,平均时间剧增无关紧要 ,扩展过程介于 外包阶段


图10
平均时间OT实例 .

6级应用

上头 框架在外包假想中应用范围广本节使用私密集交叉案例研究并显示,作为一个构件 可方便地应用到高层协议

我们先引入私密成员测试协议 估计元素是否 归宿集 或非并描述如何高效实施 .生成协议可简单扩展计算功能 图中11通过应用 -基础PMT协议


图11
私有集交叉功能 .
6.1.OPRFPM协议

PMT协议涉及两个方面:爱丽丝持有元素者 鲍勃持有集 .PMT后鲍勃一无所知 ,爱丽丝只知道她是否元素 归宿集 或非

基于OPRF,我们可以构建PMT协议如下第一,OPRF阶段鲍勃行为化发件人带随机种子 .爱丽丝装模作样接收器输入元素 .后OPRF爱丽丝获取 鲍勃开过 .接下去鲍勃全部发送 爱丽丝比较者 逐个处理最后爱丽丝输出1 中位数 等输出0

PMT通过OPRF安全依赖OPRF协议安全这一事实安全OPRF保证 单向伪函数 等值安全参数正因如此爱丽丝接收器 并学习是否存在 中位数 ,但她不会学习精确值 概率不可忽略在此省略具体安全证明

6.2 -基础PMT协议

给定功能 ,可简单构建 PMT协议本节介绍如何设计OPRF协议 .方程分解7表示一出 OT扩展隐含 ;因此,我们注重从一出- OT扩展 .结果 可很容易地用于构建 PMT协议

可应用伪代码方程8定义新关系 图中6执行功能 图中3.内 ,然而,我们强调它常态化控件 ,去哪儿 重复代码表示我们用外包方式执行INKP协议,因为我们使用相同的重复代码 .即三方 , , ,整体评价 例2OT -位信息重复代码总用量为2倍, ,互斥假设爱丽丝鲍勃想要执行 例一出 OT去哪儿鲍勃输入 爱丽丝输入她选择向量 ,并需要作以下调整:i)鲍勃组织输入 矩阵化 ,何地 -矩阵行 华府市 .二)爱丽丝令选择向量插进 .

之后,他们唯一需要接受的适配 是这样吗 ,去哪儿 线性错误校正码 .实现安全需求13 ,安全参数重置 而不是 精密化 .

给定一出 OT协议设计 ,无关紧要设计 -基础OPRFso -基础PMT再一次爱丽丝准备元素 ,时段鲍勃控件集 .简言之,如果它支持 说到 去哪儿 重复代码 伪随机代码; 隐含功能 哪里种子 组成 生成方鲍勃爱丽丝获取 .同时,这基本完成主构 -基础PMT协议下一步需要做的就是鲍勃发送 爱丽丝比较者 本地化

6.3 -基础PSI协议

获取最终PSI协议计算 ,爱丽丝简单引用PMT协议 .图中协议12计算 外包方式直觉显示爱丽丝持有集 ,时段鲍勃控件 ,PMT后爱丽丝知道她是否元素 归宿 或非两套相交


图12
外包专用集相交协议

图中简单省略预处理项方法的一些细节12.we can hash项目转箱操作 -基础PSI协议单存具体地说,我们使用Cuckoohing35码PSI使用以下方式第一爱丽丝鲍勃协议3随机散列函数 适合三路Cuckoohing爱丽丝置件入 中任选 , , ,和每个bin最多包含一项鲍勃位置项 位址 , , .上点爱丽丝以假项目插入插件,使每个bin都完全包含1项注意当我们使用cuckoohashing时,会有一些项目无法放入表并不得不移到存储器中,这无关紧要,因为使用没有cuckoohshing20码..终于爱丽丝鲍勃逐箱执行PSI

7结论未来工作

本文建议通用外包OT扩展协议 )它可以将所有baseOT从发件人外包到半诚实服务器协议建议实现最优计算和通信复杂性相对于安全参数并显示 可高效使用私密成员考试和私密集相交未来我们会考虑恶意模型 并构建高效外包OT扩展协议 安全避免恶意对手

数据可用性

性能测试数据支持本项研究的结果包含在文章中

利益冲突

作者声明他们没有利益冲突

感知感知

这项工作得到了中国自然科学基金会支持61572294和61632020,山东省科技重大创新项目2018CXGC0702山东省自然科学基金会山东大学基础研究基金2017JC019