可验证的茫然传输协议.pdf

第9卷 第2期 广州大学学报(自然科学版) Vo1．9 No．2 2010正 4月 JournalofGuangzhouUniversity(NaturalScienceEdition) Apr． 2010 文章编号2010)02-0020—05 可验证的茫然传输协议 唐春明 ，姚正安2，谢冬青 (1．广州大学a．数学与信息科学学院，b．计算机科学与教育软件学院，广东 广州 510006； 2．中山大学 数学与计算科学学院，广东 广州 510006) 摘 要：茫然传输协议是一种重要而极其有用的密码学基本协议，目前在密码学的众多领域中得到应用，特别 在安全多方计算协议的构造中．然而，在 目前的茫然传输协议 中，由于它的秘密性要求，使得协议本身存在两 个缺陷：①接收者无法知道他所得到的信息是不是发送者拥有的信息之一；②发送者无法知道接收者接收到的 信息是否属于自己指定的信息中．为了克服这两个缺陷，文章首次提出了可验证的茫然传输协议的概念，并且 利用知识证 明协议 ∑一协议构造 了可验证的茫然传输协议． 关键词 ：密码学；茫然传输协议；安全多方计算；∑一协议 中图分类号：TP309 文献标志码：A 样的完全诚实的可信双方S和尺，特别当茫然传输 0 引 言 协议被用来构造安全多方计算协议时，这样 的假 设更加不成立．这样，我们不得不设计一种茫然传 茫然传输协议(oblivioustransferprotoco1)简称 输协议，使得如果参与双方 s和 是诚实的，则满 为 OT协议，最初 由RABIN在 1981年引入 ¨，后 足上述两个条件，然而，如果双方有一个不诚实， 来经过发展 J，OT成为密码学领域的一个重要工 则另一方能够做 出正确的判断，然后决定是否继 具 j．特别，它是构造安全多方计算协议的一个 续协议的执行 (诚实，则继续执行；否则，终止协议 基本工具 j，YAO最早给出的两方计算协议 J 的执行)．我们把能够判断一方不诚实的茫然传 就用到一个 OT协议． 输协议称为可验证的茫然传输协议． 通常一个 OT协议有两个参与者，称为发送方 现有的茫然传输协议都是不可验证的，也就 (sender，简记为 s)，和接收方 (receiver，简记为 是说，①R无法知道他所得到的信息是不是 s拥 R)．5掌握 2／个秘密 m ，m ，…，m ，R掌握一个整 有的信息之一；②s无法知道 接收到的信息是 数 i∈[1，…，n]．一个OT协议要满足下面的秘密 否属于 自己指定的信息中．在本文，我们将构造一 性要求 ： 种可验证的茫然传输协议． (1)如果 ．s和尺诚实地执行协议，那么最后R 我们使用的基本工具是被称为∑一协议的知识 得到秘密m ，可以把 掌握的指标 i理解为他的 证明协议 ¨，该协议是一种三步的诚实验证者零 一 个选择，同时要求除了m 以外，R对于5的其他 知识证明系统，同时，它也是证据不可区分和证据 秘密 m 一，m ，m ，…，m 一无所知 ； 隐藏协议… 引．目前，存在大量的∑．协议，特别 (2)协议执行完后 ，S对于 的选择 i一无所 是证 明如下几个关系式的∑-协议：①存在 ，满足 知，即S不知道 尺到底选了哪一个秘密． 口=g(o，g是公开的)¨；②存在 ，Y，满足 0= 我们把满足上面条件的OT协议记为D (2／ gh(n，g，h是公开的)15J；