OPRF

在PSI中经常用到OPRF技术，现在系统学习一下。

PRF#

Pseudo Random Function，伪随机函数，主要就是用来产生为伪随机数的。

伪随机数#

什么伪随机数？
伪随机数是用确定性的算法计算出来自[0,1]均匀分布的随机数序列。并不真正的随机，但具有类似于随机数的统计特征，如均匀性、独立性等。C语言中的random()函数产生的随机数就是伪随机数，即假的随机数，因为每次运行生成的随机数都是一样的，所以实现生成随机数时需要种子不一样。

原理#

PRF 是一个确定性的函数，记为 $F$ 。
我们称 $F$ 是定义在 $（ k, X, Y ）$ 上的 PRF，其中 $k$ 是密钥空间， $X$ 是输入空间， $Y$ 是输出空间。
它有两个输入，一个是密钥 $k$ ，另一个是数据块 $x \in X$ （称作输入数据块）。它的输出 $y = F (k, x) \in Y$ 也是一个数据块（称作输出数据块）。

对于 PRF，其安全性要求：给定一个随机产生的密钥 $k$ ，函数 $F (k, .)$ 应该看上去“像”是一个定义在 $X$ 到 $Y$ 上的随机函数。

随机函数#

给定集合 $X$ 和 $Y$ ，定义在 $X$ 到 $Y$ 上的映射 $f ： X \to Y$ ：
首先把所有定义在 $X$ 到 $Y$ 上的映射集中起来，形成一个集合。这个集合里的每个元素都是一个类似 $f$ 这样的映射（函数），它们的定义域都是 $X$ ，值域是 $Y$ 。
这个集合记为 $F u n s [X, Y]$ ，它就是定义在 $X$ 到 $Y$ 上的所有函数的集合。

很明显，这个集合里一共有 $| Y |^{| X |}$ 个函数，非常大！
现在，从 $F u n s [X, Y]$ 随机选择一个函数。这个函数就是“随机函数”。

需要注意的是，所谓的“随机函数”强调的是这个函数是随机地被选择出来的。因此，“随机函数”这个概念和函数的输出是否是随机的没有关系。即使一个函数的输出不是随机的，但只要它被选出的时候是随机选择的，那么它就是“随机函数”。理解这一点非常重要！

实现#

OPRF#

Oblivious Pseudorandom Function，不经意伪随机函数。

功能#

假设Alice有一些输入，Bob有一个 $k e y$ 。OPRF允许Alice将自己的输入与Bob的 $k e y$ 结合经过一系列运算转变成相对应的数。
在这个过程中，Alice不能知道Bob的 $k e y$ ，Bob也不知道最后的结果 $F (k e y, x)$ 。每一个输入 $x_{i}$ 都可以计算出一个不同于其他输入的数，这些数就可以被看作伪随机数。

这里可以看出，里面用到了PRF，那么原理具体怎么实现呢？

原理#

OPRF的实现原理有多种方法，下面介绍几种。

基于DH的OPRF#

参考：Fast secure computation of set intersection.

基于DH的OPRF是计算 $F_{α} (x) = H^{'} (H (x)^{α})$ ，其中 $H$ 是一个在 $Z_{q}^{*}$ 上的hash函数，可以看作是一个喻言机。具体来说， $G$ 是一个 $q$ 阶循环群，其中One-More-Gap-Diffie-Hellman(OMGDH)问题是困难的。

在Labeled PSI from Fully Homomorphic Encryption with Malicious Security 中使用的OPRF是这样的：

在Labeled PSI from Homomorphic Encryption with Reduced Computation and Communication 中使用OPRF：

那么就有疑问了：
（1）如何将item 插入到椭圆曲线上的点？
（2）如何从椭圆曲线上的点中提取 $O P R F (k, x)$ ？
下面给出一种简单的方法：

该思想来自：Fast Secure Computation of Set Intersection

基于OT的OPRF#

参考：隐私集合求交（PSI）-两方

基于RSA的OPRF#

出自paper：DupLESS: Server-Aided Encryption for Deduplicated Storage∗

其中， $e$ 是公开参数，密钥生成器输入 $e$ ，输出 $N, d$ ，且满足 $e d = 1 (m o d ϕ (N))$ ， $N$ 是两个大小近似素数的乘积，且 $N < e$ 。公钥是 $N$ ，私钥是 $(N, d)$
$x = h . r^{e}$ , $y = x^{d} = (h . r^{e})^{d} = h^{d} . r$
$z = y . r^{- 1} = (h^{d} . r) . r^{- 1} = h^{d}$
$z^{e} = (h^{d})^{e} = h$ ，最后输出 $G (z)$
这里的OPRF体现在：EvC在不知道 $d$ 的情况下获得 $z = h^{d} = H (M)^{d}$ ，且EvS也不知道 $z$ 。