如何写好Simulation证明(三): 半诚实敌手模型下的OT

4. Oblivious Transfer for Semi-Honest Adversaries

在本文中, 我们将给出一个证明: 基于enhanced OWP, 构造一个半诚实敌手模型下的OT. 首先我们先介绍enhanced OWP概念.

4.1 Enhanced OWP.

对这个特殊的OWP我们先不做过多的解释, 我们先关注参数. 一般正式的定义中, 一个OWP具有四个算法: $(I, S, F, F^{- 1})$ .

$I$ : 这个算法是在一族函数中选择了出一个函数, 用index $α$ 表示, 还有他的陷门 $τ$ .
$S$ : 这个算法是选定函数的定义域, 在定义域中选择一个值 $x$ .
$F$ : 正向计算 $f_{α} (x)$ .
$F^{- 1} :$ 反向计算 $f_{α}^{- 1} (y, τ)$ . 拥有陷门 $τ$ 才能反向计算.

4.2 协议构造

Input: $P_{1}$ 拥有 $b_{0}, b_{1} \in {0, 1}$ , $P_{2}$ 拥有 $σ \in {0, 1}$ . 这两个人都有 $(I, S, F, F^{- 1})$ , 这些参数定义了一个enhanced trapdoor permutation, 以及其 hardcore predicate $B$ .

$P_{1}$ runs $I (1^{n})$ , 获得 $(α, τ)$ , 前者指定了一个enhanced OWP, 后者是其陷门. 把 $α$ 发送给 $P_{2}$ .
$P_{2}$ runs $S (α)$ twice. 第一个值记为 $x_{σ}$ , 第二个值记为 $y_{1 - σ}$ . 计算 $y_{σ} = f_{α} (x_{σ})$ . 发送 $(y_{0}, y_{1})$ 给 $P_{1}$ .
$P_{1}$ 使用陷门, 计算出 $y_{0}, y_{1}$ 对应的 $x_{0}, x_{1}$ . 并计算对应的hardcore, 之后拿想发送的两个值做上异或, 即: $β_{0} = B (α, x_{0}) \oplus b_{0}, β_{1} = B (α, x_{1}) \oplus b_{1}$ . 把 $(β_{0}, β_{1})$ 发送给 $P_{2}$ .
$P_{2}$ 显然能够自己算出 $b_{σ}$ .

4.3 安全性证明

这个协议的正确性是显然的, 我们需要证明其安全性. 我们用MPC的定义去证.

Thm: 假设 $(I, S, F, F^{- 1})$ 构成一族 enhanced OWP, 以及hardcore predicate $B$ . 那么在半诚实敌手的安全性假设下, 上述协议能够安全地计算 functionality $f ((b_{0}, b_{1}), σ) = (λ, b_{σ})$ .

Proof: 根据之前的定义, 我们需要构造两个模拟器 $S_{1}, S_{2}$ 分别模拟 $P_{1}, P_{2}$ 的view.

Step 1: Construct $S_{1}$ .

因为我们的目的是构造的 $S_{1}$ 产生的 view 与真实的不可区分, 所以我们要先想需要考虑哪些参数. $S_{1}$ 的输出是 $P_{1}$ 的输入 $(b_{0}, b_{1})$ 和输出(无). 模拟view时, 需要考虑 $P_{1}$ 的输入, 随机带, 接收到的消息. 构造如下:

$S_{1} (1^{n}, b_{0}, b_{1}) :$

Chooses a uniformly distributed random tape $r$ for $P_{1};$ (后面运行 $I$ 需要)
$(α, τ) \leftarrow I (1^{n}, r);$
Run $S (α)$ twice independently to get $y_{0}, y_{1};$
Output: $((b_{0}, b_{1}), r; (y_{0}, y_{1}));$

下面去证明协议产生的 view 和真实世界的 view 不可区分. 其实很简单, 我们看一下只需要证明 $(y_{0}, y_{1})$ 和真实世界中的 $(f_{α} (x_{σ}), y_{1 - σ})$ 相等就行. 这是因为OWP的映射是一对一的, 是保持分布的. 详细证明如下:

当 $σ = 0$ 时, ${(F (α, x_{0}), y_{1})} \overset{c}{\equiv} {(y_{0}, y_{1})};$
当 $σ = 1$ 时, ${(y_{0}, F (α, x_{1}))} \overset{c}{\equiv} {(y_{0}, y_{1})};$

所以最终: ${S_{1} (1^{n}, (b_{0}, b_{1}))} \overset{c}{\equiv} {{view}_{1}^{π} ((b_{0}, b_{1}), σ)}$ .

Step 2: Construct $S_{2}$ .

同样, 我们需要关注: 输入: $(σ)$ , 输出: $(b_{σ})$ , view: $(r; α, β_{0}, β_{1})$ . 在构造这个simulator的时候, 我们发现有一个困难, 因为不知道 $b_{1 - σ}$ . 所以没法构造 $β_{1 - σ}$ . 但是事实上是, 就当成是 $0$ 就行. 具体构造如下:

$S_{2} (1^{n}, σ, b_{σ}) :$

Chooses uniformly distributed random tapes $r_{1}, r_{2}$ for $P_{2};$ (后面运行 $I, S$ 需要, 两个是因为运行两次 $S$ , 不过这是小问题)
$(α, τ) \leftarrow I (1^{n}, r);$
$x_{σ} \leftarrow S (α; r_{σ});$
$y_{1 - σ} \leftarrow S (α, r_{1 - σ});$
利用陷门计算出 $x_{1 - σ}$ ;
$β_{σ} = B (α, x_{σ}) \oplus b_{σ};$
$β_{1 - σ} = B (α, x_{1 - σ});$
Output: $(σ, r_{0}, r_{1}; α, (β_{0}, β_{1}));$

首先我们分析真实世界与模拟世界的不同(上面是真实世界):

\begin{aligned} {view}_{2}^{π} ((b_{0}, b_{1}), σ) & = (σ, r_{0}, r_{1}; α, (B (α, x_{σ}) \oplus b_{σ}, B (α, x_{1 - σ}) \oplus b_{1 - σ})); \\ S_{2} (1^{n}, σ, b_{σ}) & = (σ, r_{0}, r_{1}; α, (B (α, x_{σ}) \oplus b_{σ}, B (α, x_{1 - σ}))) \end{aligned}

显然, 当 $b_{1 - σ} = 0$ 时, ${view}_{2}^{π} ((b_{0}, b_{1}), σ) \equiv S_{2} (1^{n}, σ, b_{σ})$ .
所以我们需要考虑的是, 当 $b_{1 - σ} = 1$ 时, 两个分布是不可区分的. 即:

(σ, r_{0}, r_{1}; α, (B (α, x_{σ}) \oplus b_{σ}, B (α, x_{1 - σ}) \oplus 1) \overset{c}{\equiv} (σ, r_{0}, r_{1}; α, (B (α, x_{σ}) \oplus b_{σ}, B (α, x_{1 - σ}))) .

简化一下式子, (把 $α$ 去掉了).

(σ, r_{0}, r_{1}; (B (x_{σ}) \oplus b_{σ}, B (x_{1 - σ}) \oplus 1) \overset{c}{\equiv} (σ, r_{0}, r_{1}; B (x_{σ}) \oplus b_{σ}, B (x_{1 - σ}))) .

假设存在nuPPT的敌手 $D$ , 能够以 $1 / p (n)$ 的概率区分上述分布, 即:

\begin{aligned} (1) & Pr [D (σ, r_{0}, r_{1}; (B (x_{σ}) \oplus b_{σ}, B (x_{1 - σ}))) & = 1] - Pr [D (σ, r_{0}, r_{1}; (B (x_{σ}) \oplus b_{σ}, B (x_{1 - σ}) \oplus 1)) = 1] \geq \frac{1}{p (n)} \end{aligned}

我们将构造一个nuPPT算法 $A$ , 能够猜出hardcore. ( $A$ 把 $σ, b_{σ}$ 的信息hardware到电路里)

$A (r)$ (这里是随机带的意思)

$r_{1 - σ} \leftarrow r;$
随机选择 $r_{σ}, x_{σ} = S (r_{σ}), β_{σ} = B (x_{σ}) \oplus b_{σ};$
随机选择 $β_{1 - σ} \in {0, 1};$
$c \leftarrow D ((σ, r_{0}, r_{1}; (β_{σ}, β_{1 - σ})));$
If $c = 1$ , output $β_{1 - σ};$ else output $1 - β_{1 - σ};$

这个道理是这样的. $(1)$ 式是说, $D$ 收到最后一项为 $B (x_{1 - σ})$ 时, 输出 $1$ 的概率比接收到最后一项为 $B (x_{1 - σ}) \oplus 1$ 的概率显著得大. 所以当 $D$ 输出 $1$ 的时候, 我们就有理由猜测, $D$ 接受到的最后一项为 $B (x_{1 - σ})$ . 即 $A$ 猜对了. 因为这恰好就是 $A$ 要猜的东西, 如果我给 $D$ 的参数对了, 那么你输出 $1$ 的概率会显著的大, 如果我给错了, 你输出 $0$ 的概率会显著的大.

通过一些简单的转化, 我们可以证明:

Pr [A (r) = B (f^{- 1} (S (r)))] \geq \frac{1}{2} + \frac{1}{2 p (n)} .

这和hardcore的性质矛盾, 所以 $S_{2}$ 的输出和真实世界是不可区分的, 这下我们完成了 $S_{1}$ , $S_{2}$ 的构造和证明, 所以安全性就证完了.

Discussion. 很多人看完这个协议会有疑问, 这个协议也得亏在半诚实模型下, 两个人能够按照协议流程走. 不然的话, 稍微自由点的 $P_{2}$ 都能够在第 2 步自己选择 $x_{0}, x_{1}$ , 然后计算对应的 $y$ . 这样 $P_{2}$ 能得到 $b_{0}, b_{1}$ 两个值. 所以我们能够看到, 半诚实的模型其实啥也没保护.