OPRF

在PSI中经常用到OPRF技术,现在系统学习一下。

PRF

Pseudo Random Function,伪随机函数,主要就是用来产生为伪随机数的。

伪随机数

什么伪随机数?
伪随机数是用确定性的算法计算出来自[0,1]均匀分布的随机数序列。并不真正的随机,但具有类似于随机数的统计特征,如均匀性、独立性等。C语言中的random()函数产生的随机数就是伪随机数,即假的随机数,因为每次运行生成的随机数都是一样的,所以实现生成随机数时需要种子不一样。

原理

PRF 是一个确定性的函数,记为\(F\)
我们称\(F\)是定义在\((k,X,Y)\)上的 PRF,其中 \(k\) 是密钥空间,\(X\) 是输入空间,\(Y\) 是输出空间。
它有两个输入,一个是密钥 \(k\),另一个是数据块 \(x∈X\)(称作输入数据块)。它的输出\(y=F(k, x) ∈Y\) 也是一个数据块(称作输出数据块)。

对于 PRF,其安全性要求:给定一个随机产生的密钥 \(k\),函数\(F (k,.)\)应该看上去“像”是一个定义在 \(X\)\(Y\) 上的随机函数。

随机函数

给定集合\(X\)\(Y\),定义在\(X\)\(Y\)上的映射\(f:X→Y\)
首先把所有定义在\(X\)\(Y\)上的映射集中起来,形成一个集合。这个集合里的每个元素都是一个类似\(f\)这样的映射(函数),它们的定义域都是\(X\),值域是\(Y\)
这个集合记为\(Funs[X,Y]\),它就是定义在\(X\)\(Y\)上的所有函数的集合。

很明显,这个集合里一共有\(|Y|^{|X|}\)个函数,非常大!
现在,从\(Funs[X, Y]\)随机选择一个函数。这个函数就是“随机函数”。

需要注意的是,所谓的“随机函数”强调的是这个函数是随机地被选择出来的。因此,“随机函数”这个概念和函数的输出是否是随机的没有关系。即使一个函数的输出不是随机的,但只要它被选出的时候是随机选择的,那么它就是“随机函数”。理解这一点非常重要!

实现

OPRF

Oblivious Pseudorandom Function,不经意伪随机函数。

功能


假设Alice有一些输入,Bob有一个\(key\)。OPRF允许Alice将自己的输入与Bob的\(key\)结合经过一系列运算转变成相对应的数。
在这个过程中,Alice不能知道Bob的\(key\),Bob也不知道最后的结果\(F(key,x)\)。每一个输入\(x_i\)都可以计算出一个不同于其他输入的数,这些数就可以被看作伪随机数

这里可以看出,里面用到了PRF,那么原理具体怎么实现呢?

原理

OPRF的实现原理有多种方法,下面介绍几种。

基于DH的OPRF

参考:Fast secure computation of set intersection.

基于DH的OPRF是计算\(F_{\alpha}(x)=H'(H(x)^{\alpha})\),其中\(H\)是一个在\(Z_q^*\)上的hash函数,可以看作是一个喻言机。具体来说,\(G\)是一个\(q\)阶循环群,其中One-More-Gap-Diffie-Hellman(OMGDH)问题是困难的。

在Labeled PSI from Fully Homomorphic Encryption with Malicious Security 中使用的OPRF是这样的:



在Labeled PSI from Homomorphic Encryption with Reduced Computation and Communication 中使用OPRF:



那么就有疑问了:
(1)如何将item 插入到椭圆曲线上的点?
(2)如何从椭圆曲线上的点中提取\(OPRF(k,x)\)
下面给出一种简单的方法:
image

该思想来自:Fast Secure Computation of Set Intersection

基于OT的OPRF

参考:隐私集合求交(PSI)-两方
image

基于RSA的OPRF

出自paper:DupLESS: Server-Aided Encryption for Deduplicated Storage∗

image

其中,\(e\)是公开参数,密钥生成器输入\(e\),输出\(N,d\),且满足\(ed=1(mod \phi(N))\)\(N\)是两个大小近似素数的乘积,且\(N<e\)。公钥是\(N\),私钥是\((N,d)\)
\(x=h.r^e\) , \(y=x^d=(h.r^e)^d=h^d.r\)
\(z=y.r^{-1}=(h^d.r). r^{-1}=h^d\)
\(z^e=(h^d)^e=h\),最后输出\(G(z)\)
这里的OPRF体现在:EvC在不知道\(d\)的情况下获得\(z=h^d=H(M)^d\),且EvS也不知道\(z\)

PPRF

image
其中,\(P\)是一个点集(K-V对)

OPPRF

Oblivious Programmable Pseudo-Random Function,可编程的不经意伪随机函数。
参考:隐私集合求交(PSI)-多方
image
image

参考

1、现代密码学3.5--伪随机函数/PRF
2、【现代密码学入门】24. 伪随机函数(PRF)(1)

posted @ 2022-05-12 23:12  PamShao  阅读(5461)  评论(2编辑  收藏  举报