模糊傳輸 (Oblivious Transfer)

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

21

收到一個位元而已。

圖 6 二選一模糊傳輸

而在二選一的模糊傳輸協定之後，Brassard 跟 Cre'peau[4]將二選一的協定擴展成 n 選一的模糊傳輸協定，顧名思義就是傳送端擁有 n 個訊息𝑏₁, … , 𝑏_𝑛，而接收端可以挑選 他所想要從傳送端得到的其中一個訊息，而他只有 n 分之一的機會可以得到他所想要的 訊息，在這個協定中，傳送端一樣是無法得知接收端收到的訊息為何，而接收端只會收 到一個訊息而已。

圖 7 n 選一模糊傳輸

在這之後，Chu 和 Tzeng[8]在 2005 年發表了 n 選 t 的模糊傳輸協定，在 n 選 t 的協 定裡，傳送者握有 n 個訊息，接收者可以選擇索取其中 t (t < n)個訊息，同樣的，傳送 端一樣是無法得知接收端收到的訊息是哪 t 個訊息，而接收端只能獲得他所索取的 t 個 訊息，而不能夠獲得其他的n − t個訊息。另外，在 n 選 t 的模糊傳輸協定中，只需將傳 送者所握有的訊息量以及接收者所索取的訊息量，即可將協定簡化並滿足 n 選一或是二 選一的模糊傳輸。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

22

圖 8 n 選 t 模糊傳輸

除了上述所提到的模糊傳輸協定之外，尚有許多基於基本協定所提出的模糊傳輸協 定被專家學者所發表出來，像是非交談式模糊傳輸[5]、可重複使用的模糊傳輸[17]、可 驗證的模糊傳輸[19]等等。另外，在 1999 年更有由 Crescenzo、Ostrovsky 與 Rajagopalan [10]所提出的條件式模糊傳輸協定(Conditional Oblivious Transfer, COT)，這種條件式的模 糊傳輸利用術語判斷式(predicate)，假如判斷式成立，接收者便可以從傳送者端收到索 取的訊息，否則將無法獲得任何的訊息。另外，傳送者在整個協定過程都不會知道判斷 式的成立與否。之後更有許多專家學者提出改良過的 COT 協定，像是強健型條件式模 糊傳輸協定(Strong Conditional Oblivious Transfer, SCOT)[3]、條件式模糊群播協定 (Conditional Oblivious Cast, COC)[9]。

綜合上述，無論是任何一種模糊傳輸協定，都必須要滿足以下的三個安全需求：

1. 傳輸的正確性：只要傳送者跟接收者按照協定步驟進行，接收者就可以得到精確地 得到他所索取的訊息。

2. 接收者的隱私：對接收者而言，他可以選擇他所要索取的訊息，無論是二選一、n 選一還是 n 選 t，傳送者都沒有辦法得知接收者所索取的訊息項目為何，以保障接收 者的隱私。

3. 傳送者的隱私：在協定執行完成後，接收者只能獲得他所索取的訊息，對於其他沒 有索取的訊息是一無所知，縱使接收者有無窮的計算能力(unconditional computation power)也沒辦法得知，以保障傳送者的隱私。

在本論文中所使用的模糊傳輸方案，是由 Naor 與 Pinkas 在 Efficient Oblivious Transfer

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

23

Protocols[20]中所提出的方案(以下簡寫為 EOT)，分別有二選一以及 n 選一的方案，將 在以下的小節做出詳細的介紹。

有效率的模糊傳輸協定(Efficient Oblivious Transfer, EOT) 2.4.2

首先，在提到 EOT 中提到的模糊傳輸協定是在𝑍_𝑞這個群做運算，這個群的序為質數 (prime order)，更特別的是𝐺可以是一個𝑍_𝑝^∗的子群，其序為𝑞, 𝑞|𝑝 − 1。定義𝑔為生成元，

並具有 Computational Diffie-Hellman assumption(CDH assumption)。而這個協定利用了一 個函數 H，這個函數被假設為一個隨機預言(random oracle)。

二選一模糊傳輸 (1-out-of-2)

2.4.2.1

1. 傳送者隨機選取一個亂數𝑟 ∈ 𝑍_𝑞，以及公布一個亂數𝐶 ∈ 𝑍_𝑞，同時計算𝐶^𝑟與𝑔^𝑟。 2. 接收者隨機選取一個亂數1 ≤ 𝑘 ≤ 𝑞，計算公鑰𝑃𝐾_𝜎 = 𝑔^𝑘, 𝑃𝐾_1−𝜎 = _𝑃𝐾^𝐶

𝜎, 𝜎 = {0,1}，接 著傳送𝑃𝐾₀給傳送者。

3. 傳送者在接收到𝑃𝐾₀之後，計算(𝑃𝐾₀)^𝑟以及(𝑃𝐾₁)^𝑟= _(𝑃𝐾^𝐶𝑟

0)^𝑟，接著傳送𝑔^𝑟與對兩個明 文𝑀₀, 𝑀₁分別加密後的資訊𝐸₀ = 𝐻((𝑃𝐾₀)^𝑟, 0)⨁𝑀₀以及𝐸₁ = 𝐻((𝑃𝐾₁)^𝑟, 1)⨁𝑀₁給接 收者。

4. 接收者收到傳送者傳來的資訊之後，計算𝐻((𝑔^𝑟)^𝑘, 𝜎) = 𝐻((𝑃𝐾_𝜎)^𝑟, 𝜎)並與𝐸₀, 𝐸₁做⨁

運算即可得到索求的明文。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

24

圖 9 二選一模糊傳輸協定流程圖

N 選一模糊傳輸 (1-out-of-N)

2.4.2.2

1. 傳送者隨機選取一個亂數𝑟 ∈ 𝑍_𝑞，以及公布𝑁 − 1個亂數𝐶₁, 𝐶₂, … , 𝐶_𝑁−1∈ 𝑍_𝑞，同時計 算(𝐶_𝑖)^𝑟, 1 ≤ 𝑖 ≤ 𝑁 − 1與𝑔^𝑟。接著將𝐶₁, 𝐶₂, … , 𝐶_𝑁−1與𝑔^𝑟做完傳送者的公鑰傳送給接收 者。

2. 接收者隨機選取一個亂數1 ≤ 𝑘 ≤ 𝑞，計算𝑃𝐾_𝜎 = 𝑔^𝑘。如果𝜎 ≠ 0則計算𝑃𝐾₀ =_𝑃𝐾^𝐶𝜎

𝜎， 接著傳送𝑃𝐾₀給傳送者，並且同時也運算(𝑔^r)^𝑘 = (𝑃𝐾_𝜎)^𝑟作為解密的金鑰。

3. 傳送者在接收到𝑃𝐾₀之後，計算(𝑃𝐾₀)^𝑟以及(𝑃𝐾_𝑖)^𝑟 = ^{(𝐶𝑖)𝑟}

(𝑃𝐾0)^𝑟, 1 ≤ 𝑖 ≤ 𝑁 − 1，並且選取 一個隨機的字串𝑅，這個字串的長度必須夠長，必須大於2 log 𝑛位元。接著對於每個 明文𝑀₀, 𝑀₁… 𝑀_𝑁−1分別加密得到𝐸_𝑖 = 𝐻((𝑃𝐾_𝑖)^𝑟, 𝑅, 𝑖)⨁𝑀_𝑖，最後傳送𝐸_𝑖以及字串𝑅給 接收者。

4. 接收者收到傳送者傳來的資訊之後，計算𝐻((𝑃𝐾_𝜎)^𝑟, 𝑅, 𝜎)並與𝐸_𝑖做⨁運算即可得到索 求的明文。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y